Por: Por Julio Francisco Naranjo Figueroa – Maestría en Ciberseguridad- Ingeniero Civil Informático.
Como lo comenté en mi artículo “Tormenta Digital Perfecta”, el entorno variable actual VUCA y la digitalización acelerada, producto de muchos factores, entre ellos la pandemia de COVID-19, empuja a las organizaciones a adaptarse rápidamente a los cambios de la tecnología y el mercado, implementando, por medio de la tecnología, desarrollos estratégicos cada vez más rápidos, ágiles y adaptables.
Punto débil de los desarrollos ágiles, riesgos externos
El punto débil de los desarrollos ágiles más común, es la menor visibilidad y tratamiento de los riesgos externos, normativos, regulatorios y el cumplimiento de políticas en cada proyecto estratégico, generando la necesidad de incluir una mirada distinta, temprana e independiente como la de un auditor, que permita aportar como uno más del equipo, sin perder su posición de independencia de la Auditoría, al desarrollo de los proyectos, considerando aspectos relacionados con la gestión de riesgos, apoyando la identificación y elaboración de las estructuras de control adecuadas en el diseño de las soluciones en etapas tempranas, pudiendo incluirlas en los objetivos del proyecto, siendo parte del presupuesto y alcance del mismo.
En los entornos y equipos de desarrollo de proyectos tecnológicos estratégicos, ágiles y no ágiles, comúnmente, no se ve la participación de las unidades independientes de aseguramiento de auditoría interna, perdiendo un enorme potencial de aporte al asesoramiento oportuno a los proyectos estratégicos, de parte de estas unidades, a las organizaciones, para identificar o evaluar las estructuras de control y los procesos que mejor facilitan el logro de los objetivos, promoviendo un gobierno sólido y una adecuada gestión de riesgos, gracias a las propias funciones de auditoría descritas en los siguientes ámbitos de acción:
- Mantiene la responsabilidad primaria, ante el organismo de gobierno y la independencia de las responsabilidades de la gestión.
- Comunica el aseguramiento independiente y objetivo, junto con el asesoramiento a la dirección y al organismo de gobierno, sobre la adecuación y la eficacia de este, así como también, la gestión de riesgo (incluyendo el control interno), para apoyar el logro de los objetivos organizacionales, promover y facilitar la mejora continua.
- Informa al organismo de gobierno, las deficiencias en la independencia y la objetividad, aplicando las salvaguardas necesarias.
Así mismo, la guía del 2015 “Aprovechar el COSO en las tres líneas de defensa” desarrollada entre el Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO) y el Instituto de Auditores Internos para ayudar a las organizaciones a mejorar sus estructuras generales de gobierno en materia de control interno, al aplicar cada uno de los 17 principios, abre la posibilidad a que las áreas de auditoría, puedan de cierta forma combinar un asesoramiento, consulta o supervisión más cercano a las áreas gestoras y dueñas del control interno, para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, controles y gobierno de forma preventiva, que en este caso, sería a los equipos de proyectos estratégicos, manteniendo estrictamente la independencia y la objetividad de la función de la Auditoría Interna. Adicionalmente, es importante recordar que, en materia de auditorías de la efectividad de las estructuras de control interno, existen dos perspectivas: (i) la auditoría de la operatividad de los controles que están implementados, pero también (ii) la auditoría del diseño de estas estructuras de control interno, que permite identificar controles incorrectamente diseñados, o simplemente la ausencia de controles, para abordar los riesgos que deberían. Nos solemos quedar con la primera, y desgraciadamente olvidamos la segunda, que normalmente es más importante, si cabe.
Lamentablemente, en la realidad de las organizaciones por la dinámica de los proyectos , el mercado digital, o el propio time to market, comúnmente no se ve la participación permanente de las unidades de Auditoría Interna en etapas tempranas, dejando supeditado su campo de acción en el entorno productivo, perdiendo de esta forma la oportunidad de concretar un aporte con su visión holística e independiente de gestión de riesgos, adquirida por el conocimiento y entendimientos de las estructuras y entornos de control de la organización. Justamente, esa mirada más amplia de las estructuras de control, es la que habitualmente no tienen los proyectos ágiles, dado que están muy enfocados en el avance de la funcionalidad, además de los riesgos propios del propio proyecto, apalancado por la velocidad que le imprimen, perdiendo de vista los riesgos externos en el desarrollo de las estructuras de control, desde la génesis del proyecto, dejando esta tarea a las áreas operativas de producción y haciendo más costosa su implementación, corriendo el riesgo de incumplimiento regulatorio, como en la protección de datos personales o leyes de delito informático, o simplemente aumentando la exposición innecesaria a los ciber-riesgos, exponiendo a las organizaciones a daño reputacional o compromiso de la continuidad operativa, dejando en manos de la tercera línea de defensa la detección de hallazgos como los anteriormente mencionados.
Oportunidades para las unidades de Auditoría
Hoy, la tercera línea defensa, como le llaman algunos, o la función de supervisión independiente que debe representar Auditoría Interna, cuenta con muchas más herramientas para adelantar su evaluación del diseño de estructuras y entrono de control, pudiendo utilizarlas en etapas tempranas del desarrollo de los proyectos. Esto supone sinergias económicas para la Organización, dado que la auditoría de diseño se ejecuta antes de que el proyecto “nazca” con debilidades relevantes en su diseño, cuya corrección posterior resulte más onerosa. En este sentido, una de las herramientas que se pueden utilizar es la Auditoría Continua, descrita en la Guía del Instituto de Auditores Internos GTAG-3, donde se habla de realizar una revisión de la efectividad del diseño de controles, que sean realmente clave de forma continua, con el fin de mantener una retroalimentación a las áreas gestoras de los desvíos detectados. En este caso, lo que aplicaría sería sobre controles clave de los nuevos proyectos, que se encuentra en desarrollo, como por ejemplo, controles de segregación de entornos de desarrollo tecnológicos, controles de versionamiento en entornos de desarrollo, porcentajes de cobertura de los test o QA, controles de gestión de identidades, evaluación de calidad del código fuente, pruebas de seguridad de la información de datos personales, controles de activación de pistas de auditoría (integración con SIEM), entre otros. Evitando con esto, el tener que realizar correcciones posteriores al final del proyecto, que resultan extremadamente costosas y suelen ser más lentas. Todo lo anterior, debiese estar acompañado de auditorías cortas o light, con foco en los hallazgos y retroalimentación ágil, a las unidades de desarrollo en el feedback, sobre la construcción de las estructuras de control, cuando se están creando y no cuando están en operación.
Conclusiones:
La respuesta a la pregunta planteada al principio de este artículo es Sí, las unidades de auditoría deben participar y asesorar, a través de una auditoría de diseño, en el aseguramiento independiente de la eficacia de los procesos de gestión de riesgos en los desarrollos estratégicos. En este sentido, hoy se cuenta con abanico de posibilidades y herramientas para realizar dicha función, aportando de forma significativa a la calidad de los proyectos con una mirada holística y de aseguramiento de los entornos de control interno conforme se van diseñando, asesorando mediante su visión experta en control interno a los equipos de desarrollo, como uno más de los equipos de proyectos, manteniendo la independencia de la función de auditoría ya que los hallazgos son debidamente reportados, buscando ser un aporte en etapas tempranas en el diseño de las estructuras de control, cuando se están creando en el desarrollo.
Para ello, propongo un modelo concreto y mixto de dos componentes o evaluaciones contrastados, desarrollando un auditoría continua de diseño en controles clave y un Self Assesment, dirigido a los equipos de proyecto, donde el objetivo de la auditoría continua sería la evaluación permanente de controles clave siendo mucho más oportuna y preventiva que la auditoría tradicional aportando con la visión histórica de la efectividad de los controles como por ejemplo en la segregación de entornos de desarrollo tecnológicos, controles de versionamiento, porcentajes de cobertura de los test agiles o QA, aspectos de protección de datos personales, entre otros. Así mismo, el objetivo del Self Assesment de los equipos de desarrollo ágiles estratégicos, sería un proceso de auto evaluación que aporte valor a través de la mirada interna de los equipos como dueños del control interno sin ralentizar la velocidad propia de la agilidad. Al identificar los puntos de contraste de estas evaluaciones, se podría efectuar la detección y el levantamiento y para la gestión oportuna de mejoras, por medio de retroalimentaciones ágiles de parte de auditoría a los equipos de desarrollo, ganando entre otras cosas, mejorar los desvíos de forma más económica, ya que las desviaciones o debilidades son remediadas de una forma oportuna en fases iniciales del proyecto, aportando incluso a la disuasión de posibles fraudes o afectación de índices clave para el gobierno corporativo en su plan estratégico.
Referencias
Guía de Auditoría Continua GTAG-3
https://auditoresinternos.es/uploads/media_items/f%C3%A1bricaaudcontinuaweb.original.pdf
COSO “Aprovechar el COSO en las tres líneas de defensa” 2015
https://global.theiia.org/translations/PublicDocuments/COSO-2015-3LOD-Thought-Paper-Spanish.pdf
COSO “ERM 2017 y la Generación de Valor Deloitte” 2017
Modelo de las tres líneas de defensa 2020: https://global.theiia.org/translations/PublicDocuments/Three-Lines-Model-Updated-Spanish.pdf
