Tecnología y auditoría: principales retos
Aunque parezca una obviedad, es preciso recordar que hace relativamente pocos años no teníamos móviles, ni tablets, ni SmartTVs ni un sinfín de dispositivos y tecnologías que hoy en día forman parte nuestra vida cotidiana. Muchos de estos dispositivos y tecnologías, se fueron incorporando a nuestras rutinas personales para, antes o después, formar parte de nuestra rutina profesional.
A día de hoy, nuestro “ecosistema” (entendiéndose sistema y medio donde vivimos e interaccionamos unos con otros) no se parece demasiado a lo que nuestros padres y abuelos conocieron. El término “Internet de las cosas (IoT, Internet of Things)” desarrolla el actual “ecosistema” de forma muy representativa, refiriéndose a la interconexión digital de objetos cotidianos a Internet. En este sentido, algunas previsiones de la evolución tecnológica asociada a esta transformación de nuestro “ecosistema”, son difícilmente imaginables incluso hoy en día. Por ejemplo, actualmente se estima que hay unos 5.000 millones de objetos conectados a Internet; en el año 2020 se estima que habrá 25.000 millones de objetos (según Gartner). Otro ejemplo - si cabe más representativo- es el número de aparatos que disponemos en nuestra casa y que estarán conectados a Internet; se prevé que más de 500 para el año 2022 en una casa familiar tipo de un país desarrollado y rico (según Gartner); sin duda, el sólo hecho de identificar la tipología de aparatos u objetos que podría tener sentido interconectar, ya supone una tarea altamente compleja. Todo ello, lo que viene a decir es que quizás estemos inmersos en la mayor revolución tecnológica desde la aparición de Internet. Y aunque hasta ahora, esas tecnologías emergentes no han sido explotadas en exceso, se empieza a vislumbrar su potencial aplicación en el ámbito empresarial o profesional, lo que dará lugar a nuevas oportunidades y, por consiguiente, a nuevos riesgos que deberemos ser capaces de entender y minimizar.
Esta revolución tecnológica ya está teniendo impactos derivados inmediatos. El primero de ellos, la proliferación del desarrollo de productos con posibilidad de conectarse a Internet; se prevé que el mercado global de “Internet de las cosas” alcance los 7 billones de dólares en 2020 (según IDC). El segundo de ellos, la generación y potencial utilización de un volumen ingente de datos (lo que se conoce como “Big Data”), asociado al uso de estos objetos que tienen la posibilidad de enviar información constantemente a través de Internet. Estos hechos, permitirán la aparición de nuevos negocios, de nuevos servicios o de nuevas formas de interactuar con clientes, proveedores o colaboradores; todo ello, terminará definiendo las bases de nuestro actual “ecosistema” y su evolución en el futuro más inmediato.
Como auditores, debemos ser capaces –en primera instancia- de conocer y entender esos nuevos escenarios, donde el uso de las tecnologías emergentes es clave para la consecución de los objetivos (transformación digital de las compañías). Sólo bajo esa premisa, se podrán identificar y evaluar la totalidad de los potenciales riesgos que el auditor debería tener en consideración.
Pero del mismo modo, esa evolución tecnológica también nos debería permitir a los auditores realizar nuestro trabajo de una forma más eficiente y completa. Las técnicas de almacenamiento y tratamiento masivo de datos o Big Data, son un claro ejemplo de tecnología emergente con potencial para mejorar nuestro trabajo como auditores. De todos modos, y antes de pensar en la tecnología como la solución a todos nuestros problemas, conviene recordar las necesidades actuales de la función auditora, e identificar dónde la tecnología podría tener un papel destacado para cubrirlas. De forma resumida y no exhaustiva, se pueden identificar las siguientes necesidades:
- Incrementar el testing. Quiero disponer de una mayor frecuencia en el testeo de los controles, y así tener un mejor input acerca de la efectividad de los controles automáticos.
- Optimización de los recursos. Dispongo de un número de recursos limitado y necesito optimizar el testing, para así poder dedicar tiempo a otras tareas también muy relevantes.
- Mayor énfasis en el seguimiento de excepciones. Necesito un mayor control de los planes de remediación vinculados a los testeos concluidos con excepciones; desde la definición hasta la ejecución del mismo.
- Mejorar el nivel de reporting. El top management de la organización y los agentes externos reclaman un mayor nivel de reporting, de un modo más dinámico y en menor período de tiempo.
De la auditoría tradicional a la auditoría avanzada
Para ayudar a visualizar donde la tecnología puede tener un papel destacado a la hora de cubrir necesidades actuales de la función auditora, es necesario echar la vista atrás, y explicar la evolución que la auditoría de las tecnologías de la información ha tenido en los últimos tiempos. Tanto la aparición de la auditoría de las tecnologías de la información (auditoría TI) como su posterior evolución, también han estado directamente asociadas al hecho de cubrir necesidades pasadas de la función auditora.
En sus inicios, la incorporación de sistemas informáticos en las compañías estaba muy orientada al almacenamiento centralizado de datos y a la capacidad de cálculo. Ya por entonces, se vislumbró la necesidad de abordar la evaluación del entorno informatizado; en este sentido, la auditoría TI se limitaba a entender y evaluar preliminarmente el entorno informatizado, verificando el correcto funcionamiento de unos controles generales asociados al acceso lógico (algunos ejemplos son la revisión de usuarios y permisos concedidos, o la evaluación de la política de contraseñas establecida) y a los cambios en programas (algunos ejemplos son la verificación de los planes de pruebas o la evaluación del flujo de solicitudes y aprobaciones de cambios). A día de hoy, y demostrada su eficacia, este tipo de pruebas han pasado de ser opcionales a obligatorias (según marca por ejemplo, la norma internacional de auditoría NIA-ES 315).
Posteriormente, los sistemas informáticos dejaron de ser vistos como simples herramientas de cálculo o como grandes repositorios de información, para ser vistos como herramientas facilitadoras para automatizar procesos o actividades de negocio; esta nueva visión posibilitó la definición e implantación de controles automáticos para reforzar el marco de control interno de las compañías (hasta la fecha, muy orientado a controles manuales). Estos cambios fueron aprovechados también por la función auditora, permitiendo mejorar y facilitar algunas de sus actividades.
La ampliación del marco de control de las compañías, el aumento de complejidad del mismo, y por consiguiente, la imperiosa necesidad de aumentar los recursos para su supervisión y mantenimiento, provocaron la aparición de herramientas informáticas destinadas a dar soporte a la propia gestión de auditoría (planificadores de actividades, gestión de recursos, consolidación de resultados, seguimiento de salvedades…etc.). Todo para optimizar los tiempos de la función auditora, y con el propósito final de minimizar el impacto en los recursos necesarios a destinar.
Ya en los últimos años, han aparecido también múltiples herramientas informáticas que automatizan parte del propio proceso de auditoría relativo al ámbito de las tecnologías de la información (principalmente, el testeo de controles automáticos). Este hecho, permite una supervisión constante del marco de control, pudiendo obtener una “foto” sobre la efectividad de los controles implantados en cualquier momento.
Lo que actualmente está en desarrollo o en fase de pruebas, es la aplicación de técnicas de tratamiento masivo de datos o “Big Data” aplicadas a la función auditora. De forma resumida, consistiría en obtener la totalidad de los datos de una compañía (volcados de todos sus sistemas informáticos) para posteriormente ejecutar los máximos posibles procedimientos de auditoría de forma automatizada. Con este cambio de paradigma se intenta conseguir implementar el concepto de auditoría continua o avanzada, que permitiría cubrir algunas de las necesidades que la función auditora tiene actualmente (ya comentadas): incrementar el testing, optimizar recursos, hacer énfasis en el análisis de excepciones y mejorar el nivel de reporting. A continuación, se muestra de forma gráfica las diferencias más significativas entre la auditoría tradicional y lo que se ha denominado auditoría avanzada.
Sin duda, este último es el salto más significativo en la evolución no sólo de la auditoría TI sino de la propia función auditora. Ser capaces de utilizar conjuntos y análisis de datos más grandes posibilitará comprender mejor el negocio, identificar con más exactitud áreas de riesgo, ofrecer mayor cobertura y proporcionar más valor añadido. Todavía queda camino por recorrer, pero todos los indicios apuntan en esta dirección como oportunidad de mejora en la función auditora.
¿Será posible la auditoría en un click?
Hasta el momento, se ha hablado de la evolución tecnológica que estamos viviendo, del impacto que está teniendo en el proceso de transformación de los negocios y del aprovechamiento de las tecnologías emergentes para mejorar la función auditora. Alguien en este punto, podría llegar a plantearse si en algún momento la evolución tecnológica permitiría ir más allá, imaginándose la posibilidad de realizar auditorías con un click; a fin de cuentas, dispondremos de la totalidad de los datos de una compañía y de la tecnología necesaria para procesarla.
A día de hoy, pensar en la posibilidad de realizar auditorías a golpe de ratón (click), es algo bastante improbable. La tecnología difícilmente podrá definir la estrategia de auditoría, cubrir los juicios de valor o tener la capacidad para tomar decisiones en base a los resultados obtenidos en los procedimientos de auditoría. Por el momento, el objetivo es claro: aprovechar la evolución tecnológica y las tecnologías derivadas, para transformar la auditoría tradicional en auditoría avanzada; es decir, aprovechar los avances tecnológicos como herramienta soporte de la función auditora. Pero incluso para ello, antes se deben superar muchas barreras y aclarar algunos de los dilemas que supone.
Barreras más significativas que hay que superar:
- Dificultades o reticencias para autorizar la entrega de todos datos de la compañía al auditor.
- Complejos procedimientos de extracción de datos, derivados de la gran variedad de sistemas informáticos que disponen las compañías.
- Complejos procedimientos para la consolidación, integración y procesamiento de los datos extraídos, derivados de los múltiples formatos y estándares utilizados por los diferentes sistemas informáticos de las compañías.
Dilemas que supone:
- Tipo de evidencia de auditoría proporcionada por las técnicas de tratamiento masivo de datos o “Big Data”.
- Procesos de validación de los datos usados.
- La auditoría para detectar errores materiales.
Por tanto, lo que sí parece claro es que para lograr esta transformación, la profesión tendrá que trabajar en estrecha colaboración con las principales partes interesadas, desde las compañías auditadas hasta los reguladores y emisores de normas.
El posible impacto en el rol de auditor
Con todo lo comentado anteriormente, se puede llegar a deducir que la creciente evolución tecnológica y su aplicación al mundo profesional implicarán una adaptación o conversión del actual rol de auditor. Para conseguir esa adaptación, los auditores tendrán que enfrentarse a dos nuevos retos:
En primer lugar, será conveniente que el auditor disponga de unos conocimientos adecuados de las tecnologías emergentes que están ayudando a transformar los negocios de las compañías. Este hecho permitirá obtener el conocimiento necesario de la entidad, de su entorno y de su control interno; en esa misma línea, también permitirán valorar de forma adecuada los riesgos asociados.
En segundo lugar, también será oportuno que el auditor disponga de unos conocimientos específicos asociados al uso de herramientas informáticas utilizadas como soporte a la función auditora; principalmente, orientadas al tratamiento masivo de datos. Como se ha comentado anteriormente, el volumen y la complejidad del conjunto de datos que tendrá a su disposición el auditor serán tan elevados, que resultará inviable tratarla con los mecanismos habituales hoy en día (normalmente, hojas de cálculo).
Actualmente, existen especialistas (auditores informáticos o de sistemas) que forman parte del equipo de trabajo de auditoría, y son los encargados de abordar la valoración de riesgos de las tecnologías de la información de una compañía. Desde mi punto de vista, en un futuro no existirán roles tan diferenciados para abordar las distintas actividades del trabajo de auditoría. Los auditores de sistemas deberán ir adquiriendo mayor conocimiento en el ámbito financiero, del mismo modo, que –como hemos comentado anteriormente- el auditor de cuentas deberá hacer lo propio en el ámbito de las tecnologías de la información. O dicho de otra manera, ambos roles actuales deberán converger en un punto, dotando al futuro rol de unas capacidades comunes pero manteniendo un grado de especialización diferenciado.
Ignacio Pérez García es Senior Manager en EY y miembro de la Comisión de Innovación y Tecnología (CIT) del ICJCE.
