Requisitos y recomendaciones de auditores, analistas de riesgos y legisladores: factores psicológicos y limitaciones

A lo largo de mi experiencia he tenido ocasión de observar cómo, muy frecuentemente,  las recomendaciones de auditoría y los requisitos de control derivados de los análisis de riesgos internos, así como de leyes y normativas, generan una gran controversia entre los responsables de su implementación.  (A lo largo de este artículo, cuando hable de la práctica de auditoría me estaré refiriendo principalmente a auditorías operativas, de cumplimiento o informáticas).

Las críticas mas frecuentes son que estas recomendaciones o requisitos son de difícil aplicación en la vida real; que están alejadas de la misma; que no sirven realmente para mitigar los riesgos; que, de hecho, su implementación supone un riesgo aún mayor;  que no son coste eficientes; que sobreestiman los riesgos reales; que son emitidas desde la ignorancia de la tecnología; que van en contra del desarrollo del negocio…

En muchas ocasiones, claro, estas críticas no son objetivas y vienen derivadas de la normal resistencia al cambio;  de que alguien ajeno a nuestra area de experiencia (y claro, “mucho más inexperto desde nuestra perspectiva”) ponga en tela de juicio cómo se hacen las cosas “en casa” y del estrés que genera pensar en el sobreesfuerzo que implica la implementación de las medidas.  Al fin y al cabo somos seres humanos y cuando nos sentimos amenazados se activan los mecanismos de defensa…

Frecuentemente, por el contrario, he de decir que estas críticas están fundadas y son objetivas. También los auditores, los reguladores y aquellos que ejercemos funciones de control y gestión de riesgos somos humanos y falibles.  El miedo a cometer errores que se vuelvan contra nosotros en el futuro así como nuestro ego, nuestros prejuicios y nuestras expectativas y situación laborales limitan, a veces de manera inconsciente, nuestra independencia y objetividad.  Otras veces no se dispone ni del tiempo, la información o los  recursos necesarios para hacer un trabajo óptimo y esto también supone una limitación, aún cuando seamos conscientes de ella y la misma quede expresamente reconocida en los informes.

A continuación voy a enumerar las que son en mi opinión algunas de las casuísticas psicológicas y situaciones limitantes más frecuentes que subyacen a recomendaciones, observaciones o requisitos genuinamente poco útiles, inespecíficos o de difícil aplicación. Vaya por delante que mi intención no es la mera ctítica en vacío. Me gustaría que esta reflexión pudiera ser de utilidad para la mejora de la práctica profesional y el debate constructivo:

PRAGMATISMO MIOPE

Esta categoría suele manifestarse con auditores no muy experimentados en aquellas sitaciones en las que el trabajo de auditoría se lleva a cabo a partir de una lista de verificación (checklist), a veces preparada por una persona distinta a la que la va a usar y que fué elaborada para otro trabajo.  La reutilización de este tipo de lista puede suponer un ahorro de tiempo, especialmente porque en muchos casos las listas estan diseñadas para evaluar el cumplimiento con respecto a un estándar que la organización auditada adopta y además no se dispone de mucho tiempo. El problema del pragmatismo miope se produce cuando el auditor pone excesivo énfasis en la literalidad de la lista, olvidándose de los objetivos de control finales y de cómo estos están cubiertos por el particular marco de control de la organización auditada. En estos casos el auditor pierde el foco y no evalúa realmente el grado en que los objetivos de control son o no cubiertos, sino si la realidad de la organización se ajusta a la plantilla que el auditor superpone sobre la realidad.

Aunque el uso de una lista de verificación prefabricada es una buena ayuda y usarla como guia es sin duda un enfoque pragmático que ayuda cuando el tiempo escasea,  el audior no puede por ello escatimar en la tarea de entender en profundidad el entorno de control de la organización y la existencia de controles compensatorios y juzgar si el entorno cumple con los objetivos de control aún cuando haya ciertas desviaciones con respecto a la literalidad de la lista.

En definitiva lo que ocurre en estos casos es que el auditor se aferra en exceso (a veces por inseguridad o por cuestiones prácticas) a la literalidad de la lista, quedándose en una mera evaluación de la forma y olvidándose del porqué de los controles; esto es, sin evaluar el grado en que la organización cumple con los objetivos de control aún cuando se observen desviaciones con respecto a los párrafos genéricos de la lista de verificación y a la interpretación que el auditor hace sobre como esperaría él encontrar cubiertos dichos objetivos

AVERSIÓN AL NO RIESGO

Esta categoría se manifiesta cuando el profesional tiene la creencia inconsciente de que no es posible emitir un informe de auditoría o de análisis de riesgos sin que se haya identificado alguna situación de criticidad alta, ya que ello parecería indicar que no ha realizado un buen trabajo. Esta creencia puede llevar a la sobreestimación inconsciente de las situaciones observadas o los escenarios evaluados. Obviamente este sesgo se suele dar en mi opinión en analistas no muy expertos y que muestran todavía cierta inseguridad y/o con aquellos muy motivados a mostrar su valía.  La ausencia de un criterio bien definido de evaluación del riesgo es un factor que también influye.
Recuerdo una conversación con un consultor se seguridad que estimaba como “un riesgo crítico para la organización”, el que un mensaje de error no bien filtrado mostrase en una página web la marca de base de datos usada. Obviamente la utilización subjetiva de la escala de criticidad era el problema. En el contexto de la organización, el problema identificado por el auditor fue clasificado como de criticidad “media-baja”, aunque esto supuso varias horas de debate (constructivo) ….

MAGNIFICACIÓN DEL RIESGO DE LO DIGITAL

Ocurre a veces que los profesionales de la auditoría y de la seguridad informática tienden a sobreestimar de manera automática los riesgos que supone el uso de la tecnología. Recuerdo una conversación en la que un analista de riesgos estimaba como “muy alto” el riesgo de empezar a enviar a  los clientes documentación por correo electrónico y recomendaba continuar enviando la documentación por servicio postal ordinario. Cuando se le preguntó que riesgos adicionales conllevaba el uso del correo electrónico, no supo que decir . De hecho, en aquel caso, la conclusión consensuada fué que la magnitud del riesgo era equivalente en ambas situaciones.

MIEDO A QUEDARSE CORTO

Esta categoría se pone de manifiesto cuando el auditor, legislador o analista de riesgos ,debe emitir requisitos o recomendaciones para cubrir escenarios o situaciones que no pueden ser anticipados con precisión, o cuando no tiene el conocimiento y/o información suficiente para hacer una estimación adecuada de la probabilidad o impacto de la situación. Ante estas circunstancias, el auditor o analista puede sentir miedo a quedarse “corto” en la definición de requisitos y, ante la posibilidad de que esta definición insuficiente de controles pudiera propiciar un incidente futuro, el analista, legislador o auditor “disparan por elevación” exigiendo los requisitos o controles más exigentes.

Esta estrategia sin duda minimiza la probabilidad de no cubrir adecuadamente situaciones de riesgo; sin embargo, tiende a establecer marcos de control ineficientes en costes y no ayuda a generar credibilidad hacia los auditores, legisladores o analistas de riesgos. Este “tirar por elevación” suele llevar a situaciones desproporcionadas y a veces incoherentes.

Esta taxonomía puede ser de usada por los responsables de auditorías o analistas de riesgos, antes de la emisión de conclusiones, para hacer un ejercicio de autoreflexión y tratar de identificar si alguna de estas limitaciones están presentes. De ser así, la mejor opción es que el auditor o analista busque el consejo y colaboración de otros profesionales de cara a obtener una valoración más objetiva de los puntos en cuestión.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s