Auditar el pasado vs Auditar el futuro
Siempre se ha tenido en mente que un auditor debe revisar las evidencias recogidas tras una auditoría realizada en una organización o en una área en específica. Pues se debe verificar que el personal esté cumpliendo con las normas establecidas y sus documentos relacionados.
En la década de los 70's y 80's la auditoría de tecnologías de la información estaba relacionada a la revisión técnica de los dispositivos de la red. Sin embargo, de un tiempo a esta parte, la auditoría de TI ha evolucionado a tal punto que se convierte en un soporte de toma de decisiones para la alta dirección. En base a ello nace la siguiente pregunta:
¿Se podrá auditar el futuro?
Toda empresa tiene una visión que se basa en la ejecución de la misión soportada por los objetivos estratégicos, de estos objetivos nacen los demás ítems de soporte que podrán fortalecer la misión para cumplir sus metas, tal como los indicadores, planes operativos, etc. Pero todo no puede ser color rosa, toda ejecución de plan de un negocio puede estar sujeto a riesgos que contrarrestarían su culminación de manera exitosa. Estos riesgos dependerán de la coyuntura de la organización y su gestión de riesgos dependerá del nivel de conocimientos que se tiene de ella, es por ello que para una correcta gestión de riesgos se necesitará dominio y experiencia por parte de una persona o un equipo de auditoría de TI para establecer los planes de acción más alineados a los objetivos de la organización con una aceptable inversión y riesgos.
Pero no sólo basta con determinar los riesgos que puedan perjudicar el plan, existe otra rama de la informática que nos puede ayudar a las predicciones de resultados en la organización, esto es Business Intelligence con soporte en Data Mining. Esto brindará una sólida base del comportamiento de la organización y las tendencias de resultados esperados según temporada del año, por lo tanto una de las principales fuentes de información que un auditor debe utilizar para la definición de planes de acción será el análisis de minería de datos aplicados (sobretodo los que se enfocan en patrones negativos dentro de la organización como fraudes).
¿Es aplicable para cualquier empresa?
Se puede pensar que esto no es aplicable para una startup ya que esta no cuenta con suficiente información como para aplicar un minería de datos, pero se está en lo incorrecto, recordemos que el éxito de toda organización dependerá de su nivel de adaptabilidad. Se deberán tomar las buenas prácticas de minería de datos para una mejora de competitividad, reducción de costes, etc. Obviamente una empresa grande tendrá mejores recursos de inversión, pero correrá con mayores riesgos debido a su tamaño.
Consejo AudIT
No dude en analizar los datos del pasado para establecer un camino hacia el futuro aplicando cambios correctos bajo un nivel aceptable de riesgos. Toda organización se forma y madura en base a las tomas de decisiones que se ejecutan, y si estas se realizan sin un fundamento sólido, será un tiro al aire.