Auditoria Inteligente

Resultados, no procesos

Invítame a un café en Ko-fi!

Análisis de datos e IA en gestión de riesgos de terceros

Análisis de datos e IA en gestión de riesgos de terceros

Si hacemos un alto para pensar en la evolución de la auditoría, y como lo hemos tratado en nuestros anteriores artículos, notamos una clara transición. Empezamos por evaluar las reglas del juego a través de la gobernanza estratégica impulsada por el requisito temático del IIA. Luego, nos metemos en las trincheras, conectando los mandatos del Dominio V de las Normas Globales (NOGAI) con los esquemas de COSO e ISO para probar los controles sobre el terreno.

Sin embargo, con la auditoría tradicional existe un problema significativo: se basa casi por completo en mirar hacia atrás.

En un entorno corporativo donde un subcontratista logístico puede paralizar líneas enteras de producción o una vulnerabilidad en una plataforma de facturación tercerizada puede filtrar datos bancarios en segundos, esperar a nuestra auditoría anual de “Riesgo de Proveedores” para encontrar el error es, sencillamente, llegar tarde.

Para que la Auditoría Interna agregue verdaderamente valor y mitigue los riesgos emergentes del ecosistema de terceros, debe evolucionar hacia el aseguramiento continuo.

 Bienvenidos a la Auditoría 4.0 aplicada al TPRM.

El mandato tecnológico del auditor

Adoptar tecnología no es solo un “bono” o un proyecto especial para el equipo de auditoría: es una necesidad que imponen los propios estándares de la profesión. Las NOGAI son claras al respecto en su sección de “Fundamentos de la auditoría interna” y a lo largo de las normas de desempeño (como la Norma 14.3 de Evaluación de la Información). Los auditores internos deben tener los conocimientos y habilidades necesarios para aprovechar la tecnología de auditoría, incluido el análisis de datos.

La Guía Complementaria (GTAG) del IIA sobre “Fundamentos de TI para Auditores Internos” resalta la importancia de entender y auditar la tecnología, en particular la empleada por servicios externos (bases de datos, nube, etc.), independientemente de la especialidad de cada auditor.

De lo retrospectivo al aseguramiento continuo

La forma tradicional de hacerlo es sacar del proveedor una muestra de 50 facturas y comprobar que coincidan con el contrato. ¿Y si en vez de eso pudiéramos analizar el 100% de las transacciones de todos nuestros proveedores en tiempo real? Ese es el poder de la analítica de datos en el aseguramiento continuo.

1. Monitoreo de facturación y cumplimiento de SLA

Al conectar nuestros scripts de auditoría y tableros (dashboards) de Power BI, Tableau u otras herramientas especializadas directamente con nuestro sistema ERP y las plataformas de los proveedores, Auditoría Interna puede programar alertas automáticas para cuando se presenten banderas rojas (red flags) tales como:

  • Anomalías de Costos: Proveedores que aumentan ligeramente los precios por encima del límite establecido en el Acuerdo de Nivel de Servicio (SLA), o patrones de sobrefacturación (como facturas divididas para evitar los controles de aprobación).
  • Indicadores clave de rendimiento (KPIs): Cuando un proveedor tecnológico tiene en su SLA un uptime del 99.9%, los datos nos permiten hacer un seguimiento en tiempo real de los reportes de caídas del sistema y cruzarlos con las penalidades contractuales que debería estar aplicando Compras.

2. Gestión de riesgo cibernético y de datos

Una de los temas más sensibles en el ecosistema TPRM es quién tiene acceso a nuestra información. El Requisito Temático sobre Terceras Partes del IIA subraya la importancia de revocar los accesos (offboarding) cuando el tercero se desvincula.

Con el análisis de datos, Auditoría puede relacionar los registros de “fechas de finalización de contratos” de Legal o Compras con los logs del sistema de “Directorio Activo” (Active Directory) que administra TI. Así podemos identificar de inmediato a los “usuarios fantasma”, empleados del proveedor que hace meses que han finalizado su contrato, pero que misteriosamente siguen teniendo activo el acceso a la red o a la VPN de la empresa.

Prediciendo el riesgo del tercero con IA

Ilustración de la evaluación automatizada de los contratos con proveedores
Ilustración de la evaluación automatizada de los contratos con proveedores (Gemini/Auditoria Inteligente)

La analítica de datos nos dice qué está sucediendo hoy con el 100% de nuestra población, mientras que la Inteligencia Artificial (IA) y el Aprendizaje Automático (Machine Learning) nos ayudan a predecir qué podría suceder mañana con nuestra cadena de suministro.

  • IA para el riesgo geopolítico y de la cadena de suministro: Los algoritmos avanzados de IA pueden buscar a través de miles de fuentes de noticias globales, redes sociales y bases de datos gubernamentales. Cuando la IA detecta un informe de inestabilidad política en la región de un proveedor importante (Tier 1) o, como señala el Requisito del IIA, en el país de una "cuarta parte" clave para nuestra producción, avisa a la organización antes de que haya problemas con el suministro.
  • Análisis de contratos (PNL): Las funciones de auditoría pueden escanear rápidamente cientos de contratos de proveedores utilizando el Procesamiento de Lenguaje Natural (NLP). La IA puede detectar los contratos que carecen de las cláusulas de “Derecho a auditar” actualizadas, los que no imponen notificaciones de brechas de datos en 24 horas, o donde las cláusulas de responsabilidad favorecen desproporcionadamente al proveedor.

Un cierre estratégico

La tercerización de servicios no es una tendencia, sino la trama misma de los negocios modernos. A medida que crece nuestra dependencia de estos complejos ecosistemas, debe crecer también nuestra habilidad para garantizar que ellos no se conviertan en nuestro punto débil.

En el inicio de esta serie ya hemos dicho que la gobernanza lo es de todo. Si la alta dirección establece el tono adecuado y la estrategia de TPRM se alinea con los requisitos del IIA, los esfuerzos tendrán más probabilidades de éxito. Luego aprendimos que hay que utilizar marcos probados como COSO e ISO para dar rigor a nuestras pruebas, asegurando que los CUEC y las cláusulas de derecho a auditoría no sean letra muerta.

Por último, con la incorporación de la Auditoría 4.0, pasamos de ser “revisores históricos” a “protectores proactivos”. Para Auditoría Interna, la combinación de analítica de datos e inteligencia artificial no es ciencia ficción, sino una expectativa presente del Consejo.

Las herramientas y las normas están dadas. Ahora, nos corresponde asegurar el eslabón más débil, otorgando poder a nuestras organizaciones para que se desempeñen en este mundo interconectado con plena confianza y resiliencia.

Con este artículo concluyo la serie relacionada con la auditoría sobre la gestión de proveedores. ¡Espero que les haya interesado! Si tiene algún tema que le interese sea cubierto aquí, contáctenos para consideración en el formulario de contacto o por el perfil de LinkedIn de Auditoría Inteligente.

Redactado por:

Christian Vargas

Christian fundó Auditoría Inteligente para compartir sus conocimientos y experiencias sobre la transformación y mejora de procesos de aseguramiento en toda Latinoamérica.

Categorías: