Skip to main content
Auditoría Interna y el gobierno de los datos

Auditoría Interna y el gobierno de los datos

La supervivencia y crecimiento de una organización a menudo ha venido determinada por su capacidad para escalar negocios basados ​​en modelos de datos, utilizar los mismos para la toma de decisiones de negocio y promover e impulsar la innovación en sus productos, servicios y experiencia de clientes. Asimismo, la piedra angular de la transformación digital, entendida como la aplicación de capacidades digitales a procesos, productos y activos para mejorar la eficiencia y el valor para el cliente, gestionar el riesgo y descubrir nuevas oportunidades de generación de ingresos, son los datos. Por ello los datos se han convertido en un activo crítico a explotar y proteger, sobre todo en entornos altamente competitivos.

El gobierno de datos es una necesidad con impacto en la estrategia de la organización que permite asegurar que los datos son íntegros, precisos, utilizables y seguros. Además de la relevancia del propio cumplimiento normativo, el crecimiento de datos no estructurados y la dificultad para obtener información que facilite la toma de decisiones son otros factores determinantes en los que el gobierno de datos juega un papel relevante.

El nivel de madurez de los programas de gobierno de datos en nuestro país es dispar. A pesar de la importancia estratégica de los datos, muchas organizaciones todavía están en fases incipientes de implementación de marcos de responsabilidad y gestión, lo que permitiría un enfoque mejor coordinado y más eficaz en el uso de los mismos. Sin embargo, otras organizaciones vienen realizando inversiones relevantes en infraestructura tecnológica para relanzar su propia agenda digital y adaptarse a los cambios del entorno y necesidades del mercado, pero es igual de cierto que los sistemas no se han implementado en todos los casos de forma ordenada.

Tradicionalmente, las unidades de negocio, el departamento de compliance y el área de tecnologías de la información se han posicionado para liderar el gobierno de datos en la organización. Los datos son un activo compartido y la proliferación de usuarios crea alianzas internas que permiten impulsar proyectos de innovación e inversión. La transformación digital y los nuevos modelos organizativos basados ​​en datos han ampliado el interés y utilidad sobre este ámbito a nuevas áreas y creado nuevas alianzas dentro de las organizaciones. En este nuevo paradigma, ha ido apareciendo y ganando importancia e influencia en las organizaciones la figura de Chief Data Officer, llegando a formar parte del comité de dirección, generando un mayor conocimiento y familiaridad del C-Suite con las herramientas de gobierno de datos, incluidos los metadatos y el ciclo de vida de los mismos. Esta situación presenta una oportunidad sin precedentes para las funciones de auditoría interna en lo relativo a un acercamiento y colaboración directos con el departamento de gobierno de datos en lo que respecta al acompañamiento en el diseño y posterior monitorización de la estrategia de gestión de datos en toda la organización y su aprovechamiento para incrementar la eficacia e impacto de los trabajos que realiza.

El gobierno de datos no sólo consiste en maximizar el valor de los datos en la búsqueda de la excelencia operativa, toma de decisiones eficiente y cumplimiento normativo, sino también en la minimización de los riesgos asociados con una gestión inadecuada de los mismos. Tener una comprensión clara de dónde se almacenan los datos, su soporte documental y cómo se utilizan en todo el ecosistema ayuda a las organizaciones a mantener de forma proactiva el conocimiento de las vulnerabilidades y amenazas. A su vez, la privacidad, el panorama regulatorio y los posibles impactos reputacionales y de negocio son tales que las organizaciones no deben conformarse solo con definir su estrategia interna de datos, sino también disponer de programas de monitorización de riesgos sobre terceras partes, especialmente en lo respectivo al acceso de los mismos a sus datos, o los datos que han monetizados, y a la capacidad de resiliencia de ellos ante una filtración o infracción.

Si bien la integridad y fiabilidad de los datos, así como el buen gobierno son cruciales en la toma ágil y eficiente de decisiones de negocio, una gestión inadecuada puede comprometer la sostenibilidad y viabilidad de la organización a futuro. Con demasiada frecuencia, las organizaciones descubren no saber qué datos existen y cómo se usan por parte de las distintas áreas, líneas de negocio, geografías, y otros ecosistemas internos.  Por ello el gobierno de datos ha venido escalando posiciones dentro de las áreas de foco y priorización de las funciones de auditoría interna desde hace tiempo, por un doble factor. Por un lado, analizando la cobertura de los riesgos vinculados a la calidad, seguridad y privacidad de la información en toda la organización y a lo largo de todo el proceso de acceso, uso, información y modificación de los datos. Por otro, como parte interesada dentro del marco de la optimización de recursos de la función vinculados a la estrategia de digitalización de la misma, y el uso de datos disponibles en todo el ciclo de auditoría interna y en particular, para la auditoría continua.

La confianza y la experiencia del cliente, por otro lado, son impulsores de valor arraigado en una sólida gobernanza de datos. Para organizaciones con modelos de negocio basados en datos de clientes, la transparencia en la gestión de sus datos es crucial. El nivel de transparencia requiere por supuesto de un programa de gobierno de datos robusto, información precisa sobre qué datos tiene la organización, cómo se usan y dónde se almacenan o comparten. Sin embargo, esta transparencia conlleva cierto riesgos.

En línea con el framework de DAMA (Data Management Association), como principal referencia de la práctica de gestión de datos, para crear un programa de gobierno de datos exitoso, las organizaciones deben alinear personas, procesos y tecnología para identificar, clasificar y documentar información sobre sus activos de datos. Involucrando empleados de varios departamentos y definiendo claramente roles y responsabilidades, las organizaciones generan una comprensión consistente y concreta de los datos para empoderar la toma de decisiones por parte de los mismos, a la vez que se cumple eficazmente con los programas de aseguramiento internos y marcos regulatorios complejos.

En este sentido, el conocimiento transversal de la organización que posee la función de auditoría interna, así como su visión de aspectos tales como la segregación de funciones, es clave a la hora de desarrollar la colaboración entre propietarios y consumidores de datos para eliminar cualquier confusión sobre qué significan los datos o dónde residen. La función de auditoría interna, como tercera línea de defensa, está en una posición única para desempeñar un papel clave para seguir proporcionando un aseguramiento crítico, como asesor a la dirección y al máximo órgano de gobierno sobre el cambiante panorama de riesgos partiendo de un conocimiento organizacional profundo y con un conjunto de habilidades muy relevantes. Y ello se debería traducir en ciertas acciones por parte de ellas en los ámbitos de actuación siguientes:

  • Revisión de las actividades derivadas de las políticas de gobierno y gestión de la información definidas en la organización para asegurar que las mismas son acordes a las metodologías diseñadas, incluyendo la monitorización y seguimiento del cumplimiento de los planes estratégicos y proyectos que utilicen el dato como centro de la toma de decisiones.
  • Evaluación de las políticas de minimización de datos, consistente en la revisión de los controles y criterios establecidos en torno a la recopilación, almacenamiento y eliminación de datos.
  • Revisión de controles de seguridad de datos, trabajando de forma coordinada con el departamento de sistemas de la información para revisar y evaluar la existencia de controles de seguridad suficientes para los activos de datos, a la vez que se determina si las distintas áreas involucradas en la gestión de datos tienen visibilidad y control sobre cuáles se almacenan y retienen, su clasificación y criticidad para la organización.
  • Participación en grupos de trabajo y comités relevantes, aportando el conocimiento transversal que la función de auditoría interna dispone en el marco del diseño del programa de gobierno de datos y modelo de aseguramiento respectivo en la fase de definición de la estrategia y sus características.
  • Revisión de planes de migración de datos, trabajando con el departamento de sistemas de la información para examinar el cronograma y el presupuesto asignados para los proyectos de migración de datos, a la vez que se evalúan las posibles deficiencias operativas de los proyectos y de que existan mecanismos de seguridad, como inventarios de datos y copias de seguridad, para abordarlos.
  • Evaluación de los planes de resiliencia y recuperación para los inventarios de datos críticos involucrados en los proyectos de migración de datos y sistemas, así como el nivel de preparación de las distintas áreas involucradas para hacer frente a la posibilidad de pérdidas de datos.

Artículo de opinión de David Eraso, gerente de Risk Advisory, publicado en la revista Auditoría Interna (Instituto de Auditores Internos de España).

Did you find this useful?

Thanks for your feedback

If you would like to help improve Deloitte.com further, please complete a 3-minute survey