Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Acelerador digital y hoja de ruta para el aseguramiento moderno

Acelerador digital y hoja de ruta para el aseguramiento moderno

En el tercer artículo realizamos una detallada “plantilla arquitectónica”. Hemos demostrado que la auténtica gobernanza en la era digital se consigue cuando utilizamos con cuidado los 5 componentes del Marco COSO y los ajustamos de manera clara a las obligaciones de colaboración del Modelo de las Tres Líneas de Defensa del IIA. La Primera Línea ejerce el control, la Segunda asesora a través de la evaluación dinámica del riesgo, y la Tercera asegura continuamente, todo ello dirigido por la Junta Directiva.

Pero, como todo líder corporativo sabe, las mejores estrategias diseñadas sobre papel tienden a morir fulminadas al chocar con la cruda realidad del "lunes por la mañana". Si nos quedamos con este modelo teórico, la organización volverá rápidamente a la inercia de los silos departamentales, operando con correos electrónicos fragmentados y hojas de cálculo desactualizadas.

En este cuarto y último artículo de nuestra serie de Sinergia Organizacional, dejaremos de lado la filosofía para adentrarnos en la práctica de su implementación. Vamos a explorar la herramienta exacta que pone en práctica este modelo, desglosaremos el verdadero costo de ignorarlo mediante un caso de estudio del mundo real y le ofreceremos una hoja de ruta de tres pasos para transformar la gobernanza de su empresa hoy mismo.

El "mapeo cruzado" o crosswalk digital

¿Cómo evitamos en la práctica el típico síndrome corporativo de “yo creí que ese control era de Auditoría” o “yo pensé que TI lo estaba revisando”? La respuesta está en la evolución de un viejo conocido en el mundo del cumplimiento: la Matriz de Riesgos y Controles.

Para lograr la sinergia que demanda la era digital, necesitamos convertir esta tabla plana en una matriz de control digital basada en el “mapeo cruzado” (Crosswalk). En un modelo tradicional, Operaciones ve un riesgo desde su óptica de rentabilidad, Riesgos lo observa desde una perspectiva normativa y Auditoría lo analiza en función de su plan anual. Hablan del mismo riesgo, pero no lo relacionan.

Al hacer el cruce en una matriz moderna, estamos tomando un riesgo unificado y lo estamos anclando irrevocablemente a un principio. Veamos un ejemplo práctico: El peligro de que haya una fuga masiva de datos de clientes en nuestra aplicación web alojada en la nube.

  1. El ancla metódica: Acto seguido, conectamos este riesgo tecnológico con nuestra base común, por ejemplo, el Principio 11 de COSO (Selecciona y desarrolla controles generales sobre la tecnología).
  2. La asignación de roles (el crosswalk): En esa misma fila de la matriz, obligamos a las tres líneas a definir su rol exacto, sin solapamiento:
  • Primera línea (TI/Negocio): Se compromete a diseñar y configurar la base de datos con encriptación de extremo a extremo y doble factor de autenticación embebido en el código (Actividad de Control).
  • Segunda línea (Ciberseguridad): Se compromete a monitorear las tendencias de tráfico web de forma continua, 24/7, mediante herramientas analíticas y de Risk Sensing, detectando cualquier intento de violación de dicha configuración por parte de actores externos (Evaluación de Riesgo).
  • Tercera línea (Auditoría interna): Se compromete a auditar, a través de scripts automatizados, la solidez del diseño arquitectónico que aprobó la Primera Línea (Actividades de monitoreo).

Este nivel de claridad elimina las zonas grises de un tajo. Todos están trabajando en el mismo riesgo, con el mismo principio metodológico COSO, pero en responsabilidades complementarias. Este “blueprint” o matriz exacta es lo que sus ingenieros luego tienen que programar dentro del software de gestión corporativa (GRC).

El costo de los silos vs. el valor de la sinergia (casos reales)

Todo este proceso de reestructuración puede parecer un esfuerzo titánico. Para entender por qué es una inversión de supervivencia, debemos contrastar qué pasa cuando se ignora la sinergia con lo que pasa cuando se adopta como el ADN de la compañía.

El desastre (sin sinergia): La anatomía del caso Equifax

Vamos a mirar hacia el año 2017, cuando Equifax, una de las agencias de informes crediticios más grandes del mundo, sufrió una violación que expuso los datos personales de más de 147 millones de consumidores. Como se señala en el detallado “Informe Oficial del Congreso de EE. UU. sobre la Brecha de Equifax”, este desastre no fue simplemente la obra maestra de un hacker brillante e indetectable. Fue un fallo catastrófico fundamental de operar en “silos organizacionales” y una ruptura total del COSO.

La primera línea, el departamento de TI, recibió la alerta crítica por parte del gobierno para actualizar un parche de seguridad en un software vulnerable (Apache Struts), pero el proceso falló y no se ejecutó en todos los servidores. Al mismo tiempo, la Segunda Línea (Seguridad de la Información) estaba ejecutando escaneos de red, pero no vieron la vulnerabilidad, ya que sus herramientas no estaban integradas con el inventario completo que tenía TI. La Tercera Línea (Auditoría Interna), no contaba con procesos de monitoreo continuo sobre la efectividad de la política de parcheo.

El componente de Información y Comunicación de COSO estaba totalmente roto. Las líneas no tenían la misma taxonomía, ni miraban el mismo tablero de riesgos. El resultado final fue un histórico daño reputacional, caída del valor de sus acciones y pérdida financiera multimillonaria en multas. Ese es el costo de trabajar en silos.

El éxito (con sinergia): La gobernanza integrada de Microsoft

Ahora bien, veamos el otro lado de la moneda. Veamos cómo funciona la gobernanza interna actual en gigantes tecnológicos como Microsoft, con su enfoque de Gestión de Riesgos Integrada (Integrated Risk Management – IRM).

Microsoft pronto entendió que no puede frenar la despiadada innovación de sus equipos de desarrollo (Primera Línea) para que cumplan con formularios de riesgo manuales. Lo que hicieron fue poner en marcha una única taxonomía de riesgos a nivel global. Cuando la Primera Línea diseña un nuevo servicio en Azure, el riesgo inherente de ese despliegue se ingresa en una plataforma GRC centralizada. Los equipos de Cumplimiento y Seguridad (Segunda Línea) automáticamente obtienen visibilidad en tiempo real de los controles de seguridad que la Primera Línea incrustó en el código. Finalmente, Auditoría Interna (Tercera Línea) utiliza herramientas de análisis de grandes cantidades de datos para hacer un aseguramiento continuo sobre ese mismo universo de registros.

En Microsoft todos están mirando la misma pantalla. Han entendido que la tecnología no es su defensa por sí sola; su verdadera defensa es la sinergia que habilita la tecnología y guía marcos de trabajo estructurados y compartidos.

La realidad del terreno para la implementación

Con beneficios tan claros y consecuencias tan catastróficas de no hacerlo, ¿por qué no están todas las empresas operando de esta manera ahora mismo? Debemos ser realistas. La implementación de esta matriz de control digital choca con tres tremendas fricciones:

  1. Resistencia cultural: En el mundo de la consultoría solemos decir que “la tecnología es lo fácil; lo verdaderamente difícil es cambiar las mentes de la gente”. Los departamentos están acostumbrados a sus porciones de poder. Operaciones no quiere que Riesgos “se meta” en su software, y a veces, Auditoría Interna malinterpreta la idea de “independencia” como “aislamiento absoluto”, negándose a trabajar juntos en el diseño preventivo de los controles. Para superar la inercia del “siempre lo hemos hecho así” se requiere de un liderazgo férreo y visionario desde la Junta Directiva (Entorno de Control).
  2. La calidad de los datos: En artículos anteriores hemos hablado de auditoría continua y el uso de inteligencia artificial. Todo esto es lindo en teoría, pero sigue una regla de oro universal de las ciencias computacionales: Basura entra, basura sale (Garbage in, garbage out). Si su empresa tiene los datos transaccionales en un sistema legado (viejo) y sus matrices de riesgo viven en hojas de cálculo llenas de errores manuales, ninguna IA podrá generar alertas milagrosas. El gobierno de datos es un requisito previo innegociable.
  3. El presupuesto y la deuda tecnológica: Una plataforma GRC sólida que aúne a las tres líneas tiene un precio, y su conexión con la infraestructura existente requiere tiempo. El verdadero desafío de los líderes de Riesgos y de Auditoría radica en saber cómo vender este caso de negocio al Cuerpo de Gobierno. No deben venderlo como un “gasto administrativo para que el auditor esté más cómodo”, sino como una inversión estratégica en agilidad para que el negocio pueda escalar sin sufrir el destino de Equifax.

Tres pasos para el lunes por la mañana

Profesionales derribando un muro que dice Inercia del pasado para revelar un entorno luminoso de la era digital
Profesionales derribando un muro que dice Inercia del pasado para revelar un entorno luminoso de la era digital (Gemini/Auditoría Inteligente)

Para que no nos paralicemos por análisis ante la magnitud de este cambio, le propongo una hoja de ruta con tres pasos inmediatos. No trate de convertir toda la empresa en una semana.

  • Paso 1: Unificar la taxonomía (plazo cortísimo – inmediato). Lo primero y más rentable que puede hacer no requiere de presupuesto. El próximo lunes nos reuniremos con los líderes de Operaciones, Riesgos y Auditoría, y definiremos: "A partir de hoy, nuestros riesgos y controles se van a clasificar con base en los 17 principios de COSO". Evitar el uso de jergas departamentales y adoptar un lenguaje común para reducir los silos organizacionales.
  • Paso 2: El Comité Piloto (plazo corto – 30 días). No pretenda hacer el mapeo de todos los procesos de la empresa simultáneamente: elijan solo un proceso crítico como “Plan piloto” (por ejemplo, Gestión de Accesos de TI, o Compras). Los representantes de las 3 líneas están en la misma sala virtual. Ellos aplican el “Mapeo Cruzado” a ese único proceso, definiendo sin ambigüedades quién hace qué. Con esto se mostrará la intención de colaborar de forma estrecha, sin comprometer la independencia de nadie.
  • Paso 3: La evolución tecnológica (mediano plazo – 90 días). Haga un inventario honesto de cómo y dónde guarda la empresa sus matrices de riesgo y sus evidencias de monitoreo. Si descubre que la organización depende de decenas de archivos fragmentados de Excel en forma crítica, es el momento perfecto para que la Segunda y Tercera línea se unan, diseñen un caso de negocio conjunto y vayan a la Junta Directiva a solicitar una plataforma moderna de GRC.

El ADN de la gobernanza moderna

A lo largo de esta serie, hemos desglosado el desafío de la hiperconectividad, hemos modernizado el Marco COSO y el Modelo de las Tres Líneas, y hemos aterrizado la teoría en matrices de control digital.

Si tuviésemos que resumir todo este esfuerzo en un solo postulado, este sería: La tecnología más avanzada no lo va a proteger por sí sola. Un caro firewall de última generación es inútil si está mal configurado por la primera línea y nadie lo audita. Los marcos metodológicos más rigurosos, por su parte, no por sí solos lo harán más rápido. Ese libro COSO brillante, impreso y guardado en el cajón de un director, solo sirve para acumular polvo.

Solo y exclusivamente la sinergia entre el rigor atemporal de COSO, la distribución innegociable de responsabilidades de las Tres Líneas, y el músculo automatizado de la digitalización, harán de la gobernanza y del control interno de su organización, su mayor y más duradera ventaja competitiva.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: ,