El reciente acuerdo entre Equifax y ocho estados, a raíz de una demanda presentada después de la violación masiva de datos de la agencia de informes de crédito, señala el final de esos procedimientos legales. Pero creo que sus detalles también reflejan una declaración audaz sobre la importancia de la auditoría interna: un sistema sólido de administración de riesgos y controles internos debe incluir una función de auditoría interna independiente y con recursos suficientes que aborde toda la cartera de riesgos de una organización.
De hecho, los escándalos de Volkswagen a Wells Fargo a Equifax han aumentado la conciencia de que todos los actores en la gestión de riesgos deben trabajar de forma colectiva e igualmente para tener éxito. En definitiva, hay consecuencias siempre que fallan los componentes clave de los sistemas de gestión de riesgos.
La orden de consentimiento de Equifax refleja esas consecuencias para la agencia de informes de crédito con problemas, abordando las deficiencias en la auditoría interna y la supervisión de la junta y la administración. Una revisión rápida del acuerdo sugiere la preocupación de los funcionarios de asuntos bancarios y del consumidor de los ocho estados de que Equifax no hizo lo suficiente para auditar sus controles de TI.
Su llamado a una acción rápida, dentro de los 30 días, para que el comité de auditoría supervise el establecimiento de un programa de auditoría “capaz de evaluar eficazmente los controles de TI …” refleja una decidida falta de confianza en lo que se estaba haciendo antes. Su llamado para mejorar la supervisión de la junta y la administración del programa de seguridad de la información dentro de los 90 días también podría decirse que no cumple con las condiciones deseables.
En ambos casos, la orden de consentimiento enumera las acciones específicas que deben tomarse dentro de los plazos que son tan detallados como cualquier plan anual de auditoría. Secciones adicionales del decreto de consentimiento requieren acciones relacionadas con la administración de proveedores, la administración de parches y las operaciones de TI relacionadas con la recuperación ante desastres y la continuidad del negocio.
¿Qué podemos concluir de esto?
Las señales para los profesionales que auditan los controles de TI, aunque desalentadores, no pueden ser descuidados por la auditoría interna o el comité de auditoría. En el siglo XXI, casi se garantiza que las fallas en el control de TI tendrán consecuencias: financieras y de reputación.
El IIA publicó una Guía Global de Auditoría de Tecnología recientemente este año que proporciona dirección y conocimiento sobre el enfoque de la auditoría interna para la auditoría del gobierno de TI. Su resumen capta la importancia de la participación activa de la auditoría interna en el aseguramiento y la supervisión de TI.
“La gobernanza eficaz de TI contribuye a controlar la eficiencia y efectividad, y permite que la inversión de la organización en TI logre beneficios, tanto financieros como no financieros. A menudo, cuando los controles están mal diseñados o deficientes, una causa raíz es un gobierno de TI débil o ineficaz.”
Señales a los interesados. Servir en un comité de auditoría o comité de tecnología no es un acto pasivo. Las organizaciones no pueden permitirse tener miembros de la junta que esperan respuestas de la gerencia y la auditoría interna. Deben estar lo suficientemente comprometidos como para hacer las preguntas difíciles. Si no comprende, se siente abrumado por los informes o simplemente está confundido, solicite a la gerencia o a la auditoría interna que le ayuden a conectar los puntos.
El decreto de consentimiento me dejó pensando en la metáfora frecuentemente utilizada de que la taza estaba medio llena o medio vacía. Es tentador elegir cada palabra del decreto de consentimiento para tratar de armar una autopsia en la violación Equifax. Ese sería el enfoque de copa medio vacía.
Los ejecutivos de los ocho estados que firmaron la orden de consentimiento: Alabama, California, Georgia, Maine, Massachusetts, Nueva York, Carolina del Norte y Texas, reconocen y entienden el valor y la importancia de los Estándares de IIA. También es notable que la orden identifica la seguridad de la auditoría interna sobre los controles de TI y la supervisión adecuada del comité de auditoría como la solución para los problemas de TI de la compañía. Esta conclusión concuerda con uno de los mensajes centrales del IIA: la auditoría interna es esencial para la buena gobernanza y el buen gobierno es esencial para proteger y mejorar el valor de la organización.
No es sorprendente que el reconocimiento de la auditoría interna sea la piedra angular de la estrategia de defensa de América del Norte del IIA. El IIA continúa presionando para que la Comisión de Bolsa y Valores de los EE. UU. facilite al público saber si las empresas que cotizan en bolsa tienen una función de auditoría interna. En los términos más simples, el IIA cree que el público está mejor atendido cuando sabe que la auditoría interna está en el trabajo y proporciona seguridad sobre la efectividad del proceso de gestión de riesgos de una organización.
Es de esperar que esto sea cierto en Equifax en el futuro.
Como siempre, espero sus comentarios.
Declaración
Richard F. Chambers, presidente y director general del Instituto de Auditores Internos Global, escribe un blog semanalmente para InternalAuditor.org., sobre temas y tendencias relevantes para la profesión de la auditoría interna.
Fuente: Lo Que el Acuerdo de Equifax Señala Sobre la Importancia de la Auditoría