El informe sobre auditoría interna de TI realizado por KPMG pone de manifiesto que sólo el 16% de los participantes cuenta con procesos de planificación continuos o trimestrales, y una cuarta parte no dispone en absoluto de ningún marco de planificación, lo cual puede aumentar la vulnerabilidad de la auditoría de TI e impedir que la dirección aborde los principales riesgos de negocio.

En el informe de KPMG, que contó con la participación de 297 profesionales financieros de Europa, Oriente Medio y África y ha sido elaborado en colaboración con el Instituto de Auditores Internos de España e ISACA Capítulo de Madrid, se identifican las tendencias actuales de las prácticas de auditoría interna de TI.

Del informe también se desprende que más de las tres cuartas partes de los participantes (78%) desarrolla su planificación de auditoría sólo una vez al año. En un entorno en el que la tecnología ocupa un lugar crucial en la estructura de los negocios, las posibilidades de que se produzca un sabotaje deliberado son muchas, al tiempo que la necesidad de revisar con regularidad los planes nunca ha sido mayor.

Ramón Poch, socio responsable de IT Advisory de KPMG en España comenta que “nuestro informe establece con claridad que los auditores internos de TI deben ocupar una posición central en la entidad para garantizar que los riesgos tecnológicos y de negocio se comprendan a la perfección.”

“La necesidad de efectuar revisiones regulares y actualizadas debería constituir una parte fundamental del proceso de auditoría – especialmente en el entorno actual en el que las tecnologías de la información siguen expuestas a potenciales ataques. Para las empresas, la vida sin tecnología es impensable y la necesidad de hacer las cosas bien a este respecto debería ser una prioridad para todos los consejos de administración”, añade Ramón Poch.

Sin embargo, el problema parece ser más profundo ya que el informe indica que la mayoría (59%) de los participantes no adaptan su auditoría interna de TI a sus planes de gobierno corporativo más generales. Además, sólo algo más de una tercera parte parece ir por el buen camino, ya que cuentan con algún tipo de coordinación y han planificado un mayor alineamiento, lo que indica que muchas empresas no están “conectadas” en cuanto a su enfoque de gobierno corporativo general.

Respecto a la divulgación de sus conclusiones, la mayoría de los participantes (72%) afirma que presentan sus conclusiones al Comité de Auditoría; no obstante, algo más preocupante resulta que sólo el 37% de auditores externos reciban una copia de sus conclusiones, lo que muestra que existen divergencias entre los procedimientos informativos internos y externos.

En Banca y seguros, el 40% de las entidades bancarias no dispone de profesionales con un profundo conocimiento técnico y utilizan recursos externos para sus auditorías de TI.

Para finalizar, el informe refleja que sólo algo más de la mitad (56%) de los participantes valoran la calidad de la auditoría interna de TI, mientras que los demás no cuentan con controles de calidad, y en el 41% de los casos únicamente realizan evaluaciones informales o, lo que es peor, ninguna evaluación en absoluto.

Para descargar el documento (PDF, Inglés, 479 Kb, 29 páginas), pulse aquí