Embed Size (px)
Citation preview
Auditoría Interna del Gobierno del Dato
El INSTITUTO DE AUDITORES INTERNOS DE ESPAÑA es una asociación profesional fundada en 1983, cuya misión es contribuir al éxito de las organizaciones impulsando la Auditoría Interna como función clave del buen gobierno. En España cuenta con más de 3.200 socios, auditores internos en las principales empresas e instituciones de todos los sectores económicos del país.
LA FÁBRICA DE PENSAMIENTO es el laboratorio de ideas del Instituto de Auditores Internos de España sobre gobierno corporativo, gestión de riesgos y Auditoría Interna, donde participan más de 150 socios y profesionales técnicos expertos.
El laboratorio trabaja con un enfoque práctico en la producción de documentos de buenas prácticas que contribuyan a la mejora del buen gobierno y de los sistemas de gestión de riesgos en organizaciones de habla hispana. Además de desarrollar contenido, fomenta el intercambio de conocimientos entre los socios.
ENCUENTRA TODOS LOS DOCUMENTOS DE LA FÁBRICA EN www.auditoresinternos.es
AUDITORÍA INTERNA BUENAS PRÁCTICAS EN GESTIÓN DE RIESGOS OBSERVATORIO SECTORIAL PRÁCTICAS DE BUEN GOBIERNO
A U D I T O R Í A I N T E R N A
LA FÁBRICA DE PENSAMIENTOINSTITUTO DE AUDITORES INTERNOS DE ESPAÑA
MIEMBROS DE LA COMISIÓN TÉCNICA
COORDINACIÓN: Eduardo Villalobos Fernández, CIA, CISA. GRUPO COOPERATIVO CAJAMAR.
María Aísa Sánchez-Horneros, COSO. TELEFÓNICA.
Isabel Arias Pozas, CISA. GRUPO BBVA.
Cristina Bausá Rosa, CIA, CISA, CRMA, CRISC, CISM, CGEIT. SAREB.
Ana Cendón. PwC.
Silvia Díaz Rodríguez, CISA, CISM. DELOITTE.
Fe Fernández Martín, GREA. PELAYO MUTUA DE SEGUROS.
Laura Lama Outeiriño. ALPHABET ESPAÑA - BMW GROUP.
Manuel Mendiola Antona, CIA, CISA, CRMA, CRISC, CISM, CGEIT. PKF ATTEST.
José Luis Picazo Martínez, CISA, CISSP, CEH. ING DIRECT.
Daniel Ponz Lillo, CIA, CISA, CRMA, CFE, CISM. IBERDROLA.
José Ignacio Sánchez Libreros. LIBERBANK
Jorge Sánchez López. MAPFRE, S.A.
Juan Santonja Lillo, CISA. SABIS - BANC SABADELL.
José Manuel Vidal Formoso, CISA, CRIS, CGEIT. GRUPO BBVA.
Febrero 2020
Auditoría Interna del Gobierno del Dato
3
Contar con un buen gobierno del dato es una cuestión crítica para las orga-
nizaciones. El primer paso para realizar un gobierno del dato adecuado es
definir y aprobar una política por parte del Consejo de Administración. El se-
gundo, implica desarrollar e implantar procedimientos operativos para identi-
ficar y clasificar los datos, así como para medir su calidad y trazabilidad, en-
tre otros aspectos. También habrá que adaptar procedimientos ya implanta-
dos para mejorar la seguridad y protección del dato. Auditoría Interna debe
tener una implicación directa, proactiva y preventiva.
Este documento analiza al detalle los problemas a los que se enfrentan las
compañías a la hora de tratar los datos con la tecnología y métodos tradicio-
nales y facilita pautas sobre cómo se deben abordar estos problemas desde
Auditoría Interna.
Desde una perspectiva teórico-práctica, este documento identifica y analiza
las mejores prácticas en gobierno del dato y los nuevos roles que están sur-
giendo en las compañías para mejorarlo. También se explica el concepto de
trazabilidad del dato y las diferentes fases de su ciclo de vida. Se apuntan,
además, algunas reflexiones sobre la seguridad del dato y la infraestructura
tecnológica necesaria para que las organizaciones puedan gobernar los da-
tos adecuadamente. Y finalmente, se proponen métodos prácticos para medir
un aspecto muy relevante: la calidad de los datos.
Confiamos en que sea un documento útil para la profesión y agradecemos a
los miembros de la Comisión Técnica su colaboración para llevarlo a cabo.
Instituto de Auditores Internos de España
5
Índice
RESUMEN EJECUTIVO
MODELO DE GOBIERNO DEL DATO
Estándares para el gobierno del dato ................................................................. 09
Mejores prácticas en materia de gobierno del dato ........................................ 11
Relación entre el “gobierno y calidad del dato” y otras disciplinas de sistemas .............................................................................. 12
Nuevos actores en el gobierno del dato .............................................................. 13
El rol de Auditoría Interna ....................................................................................... 15
GESTIÓN DEL DATO
Ciclo de vida del dato ................................................................................................. 17
Calidad del dato .......................................................................................................... 21
Trazabilidad del dato .................................................................................................. 30
Calidad de los informes ............................................................................................. 32
ARQUITECTURA TÉCNICA: FACILITADOR DEL BUEN GOBIERNO DEL DATO
El rol de Auditoría Interna ......................................................................................... 35
MEJORES PRÁCTICAS EN LA SEGURIDAD EN ACCESO A LOS DATOS
El rol de Auditoría Interna ......................................................................................... 37
06
09
17
33
36
6
Este documento aborda la problemática delgobierno del dato, especialmente desde laperspectiva de Auditoría Interna. No obstante,hay que destacar que el gobierno del dato esun aspecto de una enorme complejidad y ex-tensión. Se analizará un conjunto limitado decuestiones relacionadas con el gobierno deldato, ya que no se puede abarcar en toda suextensión sin pecar de falta de rigor. Así pues,es necesario comenzar con un disclaimer so-bre algunas cuestiones:
• Este documento no versa sobre Big Data,un conjunto de datos que no se pueden“explotar” mediante técnicas tradicionalesde tratamiento de datos. Normalmente, ladificultad en la explotación del Big Data sedebe a que se maneja un gran volumen deinformación o porque los datos a tratar tie-nen una estructura compleja.
• Tampoco se plantean las implicaciones delnuevo Reglamento General de Protecciónde Datos (RGPD1) y cómo se les debe tratarpara cumplir con el mismo, ya que estacuestión es tan amplia y compleja que me-rece un documento aparte.
• La seguridad no es el tema central de estedocumento. Es evidente que es una parterelevante del gobierno del dato, pero ya
existen múltiples fuentes, documentos y
know-how de cómo abordar los temas de
seguridad.
¿Qué se analiza entonces en este documen-
to? Precisamente, los problemas a los que se
enfrentan las organizaciones a la hora de tra-
tar los datos con la tecnología y métodos tra-
dicionales, y de cómo se deben abordar estos
problemas desde Auditoría Interna. Se de-
sarrollan los siguientes aspectos:
• Se identifican las mejores prácticas en rela-
ción con el gobierno del dato y cuáles son
los nuevos roles que están surgiendo en las
compañías para mejorarlo.
• Se analiza cuál puede ser el ciclo de vida
del dato.
• Se proponen métodos prácticos para medir
la calidad de los datos.
• Se estudia un concepto que genera cierta
confusión: la trazabilidad del dato.
• Se analiza la tendencia que hay en algunas
organizaciones de incluir “los informes” co-
mo un elemento más dentro de los proce-
sos de calidad y gobierno del dato (espe-
cialmente, los que se remiten a los órganos
de gobierno de las sociedades).
Resumen ejecutivo
1. Los requisitos que establece el RGPD han sido recogidos en el ordenamiento español en la Ley Orgánica 3/2018, de5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales.
7
• Por último, se incluyen algunas pinceladasrelacionadas con la seguridad del dato ycon la infraestructura tecnológica necesariapara que las compañías puedan gobernarlos datos adecuadamente.
• Se analiza el Estado del arte. Es decir, lasnormativas o metodologías que tratan so-bre la calidad y el gobierno del dato.
LA NECESIDAD DE GOBERNAR EL DATO Y CÓMO SE ABORDA ENLAS ORGANIZACIONESLas organizaciones cada vez gestionan mayor
volumen de datos y, en consecuencia, cada
vez hay más dificultades para realizar una
gestión adecuada de estos datos. Por tanto, y
derivado de todas las actividades que están
apareciendo para gobernar el dato, ha surgi-
do una nueva disciplina relacionada con la
gestión de las TI: el gobierno del dato.
El primer paso para realizar un buen gobierno
del dato es definir y aprobar una política por
parte del Consejo de Administración. El se-
gundo paso consiste en desarrollar e implan-
tar procedimientos operativos para implantar
dicha política.
Pero no todos los procedimientos a desarro-
llar serán nuevos, por lo que habrá que modi-
ficar algunos de los ya existentes. Por ejem-
plo, si las compañías ya han aprobado sus po-
líticas de seguridad de la información y han
desarrollado procedimientos sobre esta mate-
ria, es posible que sea necesario modificarlos
dado que el gobierno del dato también incor-
pora un componente de seguridad del dato.
Los procedimientos más relevantes que unaorganización tendría que desarrollar en estamateria son:
• Procedimiento para la identificación y clasi-ficación del dato.
• Procedimiento para medir la calidad del da-to.
• Procedimiento para garantizar la trazabili-dad del dato.
Algunas compañías ya han comenzado a me-dir la calidad de sus datos. Por ejemplo, soncapaces de presentar un cuadro de mando alConsejo de Administración que indique el ni-vel de calidad de cada tipología de datos2.
Si bien esas mediciones son una buena prácti-ca, implican un nuevo riesgo: ofrecer una fal-sa sensación de seguridad. Este riesgo apare-ce desde el momento en que las medicionesde calidad no dejan de ser un mero artificiopara tratar de medir la calidad real de los da-tos. Pero, como se verá, esa calidad se estámidiendo con respecto a una serie de contro-les establecidos por el responsable del dato. Y,de partida, estas mediciones tienen una seriede limitaciones.
El primer paso pararealizar un buen
gobierno del dato esdefinir y aprobar unapolítica por parte del
Consejo deAdministración.
2. En estos casos, se suele presentar con un elevado nivel de agregación. Por ejemplo, en esos cuadros de mando se po-drían observar “afirmaciones” (de forma gráfica) de este tipo: i) la calidad de los datos de clientes es del 98,75%; ii)la calidad de los datos de operaciones es del 99,3%, etc.
8
Un ejemplo real: si el dispositivo que se usapara medir no es bueno, ofrecerá lecturas im-precisas. De poco sirve un velocímetro quemarque una velocidad de 49km/h si un vehí-
culo está viajando, en realidad, a 81km/h. Y,en el mundo de la calidad del dato, construirun velocímetro entraña un elevado grado dedificultad.
La auditoría delgobierno del dato comodisciplina nace en elámbito de la auditoríade riesgos tecnológicosy demanda perfiles TIespecializados enanalítica de datos.
IMPACTO EN EL TRABAJO DE AUDITORÍA INTERNA
También está surgiendo una nueva disciplinadentro de Auditoría Interna: la auditoría delgobierno del dato. En principio, es una disci-plina que nace en el ámbito de la auditoría deriesgos tecnológicos y que demanda un perfilde auditores de TI especializados en el análi-sis y tratamiento de datos.
Por tanto, es necesario adaptar el plan de Au-ditoría Interna para introducir trabajos de au-ditoría que analicen cómo se gobierna el datoen las organizaciones. En la práctica, esto sepodría hacer de dos formas compatibles entresí:
• Añadiendo nuevos trabajos de auditoría.
• Modificando el alcance de trabajos ya exis-tentes (ya sea de otros trabajos de audito-ría de TI o de procesos de negocio).
En el caso de la auditoría de procesos de ne-gocio, se trataría de añadir –como objetivodel trabajo– la opinión sobre el gobierno delos datos que se utilizan en el proceso que seva a auditar. Hay que ser cuidadoso con esteenfoque, ya que verificar este objetivo consu-me un elevado número de recursos. En estesentido, es importante valorar los riesgos delproceso de negocio y la importancia de losdatos. Hay miles de datos distintos en lascompañías y no es posible opinar sobre la ca-lidad de todos ellos, ya que no se estaríanempleando los recursos de Auditoría Interna
de forma eficiente, al no centrarse en los da-tos con mayor nivel de criticidad.
No hay una respuesta única a cuántos traba-jos habría que incluir en el plan de AuditoríaInterna. Depende de las características de ca-da organización y de la estrategia que quieraseguir su Dirección de Auditoría Interna:
• En algunas organizaciones puede que solose introduzca un único trabajo de auditoría,donde se ofrezca una opinión integral detodo el proceso de gobierno del dato.
• Otras unidades de Auditoría Interna preferi-rán incluir varios trabajos en el plan, perocon alcances más limitados y reducidos encada uno de ellos.
En cualquier caso, las revisiones de AuditoríaInterna deben incluir una serie de puntos críti-cos, independientemente de si se analizan enun único trabajo o en varios trabajos a lo lar-go de varios años:
• La existencia y suficiencia de una políticade gobierno del dato.
• Opinar sobre la calidad de los datos. Enaquellas compañías en que ya se esté mi-diendo su calidad, Auditoría Interna tam-bién debería opinar sobre la suficiencia ycalidad de esas mediciones.
• La trazabilidad de los datos.
9
El gobierno del dato esel conjunto de
personas, procesos ytecnologías que
permiten capturar,mantener y gestionar
los datos de formafiable, preservando la
integridad yconfidencialidad.
3. Comité de Supervisión Bancaria de Basilea. Principios para una eficaz agregación de datos sobre riesgos y presenta-ción de informes de riesgos. Enero de 2013. El acrónimo RDA deriva del nombre de la norma en inglés: Principles foreffective Risk Data Aggregation and risk reporting.
4. DAMA International. The DAMA Guide to the Data Management Body of Knowledge 2nd editon. Junio 2017. Lugarde publicación: DAMA International https://dama.org.
5. Comité de Supervisión Bancaria de Basilea: organización mundial que reúne a las autoridades de supervisión banca-ria, cuya función es fortalecer la solidez de los sistemas financieros.
6. Acrónimo de Bank for International Settlementes (en castellano: Banco de Pagos Internacionales).
Modelo de gobierno del datoEn primer lugar, es imprescindible definir quése entiende por gobierno del dato. Existendistintas definiciones según la fuente analiza-da. A grandes rasgos –y realizando una defi-nición propia– se puede decir que es el con-junto de personas, procesos y tecnología quepermiten a una compañía capturar, mantener
y gestionar los datos de su actividad de formafiable y eficiente, para asegurar la veracidad,integridad, confidencialidad y disponibilidadde los datos; y conseguir que éstos ayuden ala compañía a tomar las decisiones oportunasen el momento adecuado.
ESTÁNDARES PARA EL GOBIERNO DEL DATO¿Existen normativas o estándares que ayudena gobernar los datos? En realidad, apenashay referencias internacionales en esta mate-ria. Solo se pueden citar dos fuentes de ciertarelevancia:
• Los Principios para una eficaz agregaciónde datos sobre riesgos y presentación deinformes de riesgos (comúnmente conoci-dos como RDA3)
• El DAMA-DMBOK2 framework4.
RDA
Para entender su significado, hay que hacervarias precisiones:
• RDA fue publicado en enero de 2013 por elComité de Supervisión Bancaria de Basilea5
del BIS6. El BIS es un organismo constituidopor los bancos centrales de 60 países cuyamisión es ayudarles en su búsqueda de laestabilidad monetaria y financiera, así co-mo fomentar la cooperación internacionalen esas áreas y actuar como un banco paralos bancos centrales.
• Una de las principales actividades de esteComité es emitir documentos que sirvancomo guía tanto a las entidades financierascomo a los bancos centrales.
• Uno de esos documentos es el ya mencio-nado Principios para una eficaz agregaciónde datos sobre riesgos y presentación deinformes de riesgos (RDA)”.
10
• Aunque en cuanto a su “forma” no es unanorma, en el “fondo” –y mediante una se-rie de complejos mecanismos normativos–se ha convertido de facto en una norma in-ternacional para bancos: los bancos sisté-micos deben cumplir ya con RDA y se espe-ra que los no sistémicos también cumplanen el futuro.
¿EN QUÉ CONSISTE?
El nacimiento de RDA está perfectamente ra-zonado en el punto 1 de su introducción, quese reproduce a continuación por su interés:
Por tanto, hay que tener en cuenta que dichanorma está muy orientada hacia los bancos, ya mejorar la capacidad que tienen de generarinformación correcta y relevante sobre susprincipales riesgos.
RDA está construido en base a 14 principios:
• 11 son los que deben cumplir los bancos: - Gobernanza.- Arquitectura de Datos e Infraestructura TI. - Exactitud e Integridad.
- Completitud.- Prontitud.- Adaptabilidad.- Exactitud.- Exhaustividad.- Claridad y utilidad.- Frecuencia.- Distribución.
• 3 principios que están dirigidos a los or-ganismos supervisores: - Examen.- Acciones correctivas y medidas de super-
visión.- Cooperación origen/acogida.
DMBoK
Es un marco para la gestión de los datos pu-blicado por DAMA (Data Management Asso-ciation International), una asociación sin áni-mo de lucro e independiente de los proveedo-res, que está compuesta por profesionales in-dependientes especialistas en gestión de da-tos, y cuya misión principal es proporcionarayuda y asistencia a los profesionales de losdatos.
El marco publicado por DAMA es de pago yestá organizado en 11 áreas de conocimien-to: - Gobierno del dato.- Arquitectura de datos.- Modelado y diseño de datos.- Almacenamiento y operación de los datos.- Seguridad de los datos.- Integración e interoperabilidad del dato.- Gestión documental y de contenidos.- Datos maestros y de referencia.- Data Warehousing y Business Intelligence.- Metadatos.- Calidad de datos.
7. Comité de Supervisión Bancaria de Basilea. Principios para una eficaz agregación de datos sobre riesgos y presenta-ción de informes de riesgos. Página 8.
Una de las principales lecciones de la crisis fi-nanciera mundial iniciada en 2008 fue que la in-adecuación de las tecnologías de la información(TI) y las arquitecturas de datos de los bancosimpidió realizar una gestión integral de los ries-gos financieros. Muchos bancos fueron incapa-ces de agregar sus exposiciones al riesgo e iden-tificar con prontitud y precisión sus concentra-ciones a nivel de grupo bancario, así como entrelíneas de negocio y entre personas jurídicas. Enalgunos bancos, la incapacidad para gestionaradecuadamente los riesgos respondía a caren-cias en la agregación de datos sobre riesgos yen las prácticas de presentación de los corres-pondientes informes. Esto tuvo consecuenciasgraves para los propios bancos y para la estabili-dad del sistema financiero en su conjunto7.
11
Lograr una buena gobernabilidad y gestión delos datos implica a diversas áreas, funciones yrecursos dentro de una compañía, desde sumáximo responsable (el Consejo de Adminis-tración) hasta el personal que actúa en sunombre; y desde el diseño de arquitectura desistemas al minucioso control del registro otransformación de los datos, considerandoposibilidades tanto de error como de omisión.
Es necesario un documento que regule lasresponsabilidades de ejecución, control y su-pervisión en todas las fases del proceso degestión del dato, y en todos los niveles de lacompañía, desde su captura hasta su apropia-da utilización para cualquiera de los fines au-torizados.
Por tanto, la mejor práctica comienza con laaprobación por el Consejo de Administra-ción de una política de gobierno y calidaddel dato que regule las responsabilidadesen cada proceso que implique gestión dedatos y que otorgue facultades en la tomade decisiones.
Para desarrollar la política, la principal premi-sa es que se debe cuidar su redacción y evitarla inclusión de demasiados detalles operati-vos. Sería ineficaz que –para implantar uncambio menor en cualquier procedimiento–fuera necesario modificar la política y, portanto, ser aprobada de nuevo por el Consejode Administración.
Una política de gobierno y calidad del datodebería incluir:
• Definición de lo que se entiende por dato.
• Definición de las funciones y responsabili-dades en el proceso. En esta parte de la po-lítica se asignan responsabilidades concre-tas dentro de la compañía. Más adelante semencionan las principales funciones queestán surgiendo en relación al gobierno deldato.
• Enumeración de los principales textos nor-mativos8 que deben existir en una compa-ñía. En este punto, el Consejo dará ciertasdirectrices a la dirección de la entidad, perosin entrar en cuestiones eminentementeoperativas. Por tanto, parece razonable queel Consejo exija que la Alta Dirección ela-bore, al menos, los siguientes procedimien-tos:
- Para la identificación y clasificación deldato. Tiene una importante relación conlos demás, ya que –por lo general– a losdatos de mayor criticidad se les debenaplicar controles más intensos. Es decir,sería aconsejable que en los distintosprocedimientos que se desarrollen se es-tablezcan diferencias en función de la cri-ticidad de los datos.
- Para medir la calidad del dato.
- Para garantizar la trazabilidad del dato.
Adicionalmente, el Consejo de Administraciónpodría exigir a la Dirección la creación deotros procedimientos, en función del tamaño,estructura y complejidad de la organización.Algunos procedimientos son:
• Certificación de un conjunto de datos me-diante un mecanismo que garantice una re-
Lograr un buengobierno del datoimplica a diversasáreas, funciones yrecursos; desde el
diseño de arquitecturade sistemas al registro
y transformación de los datos.
MEJORES PRÁCTICAS EN MATERIA DE GOBIERNO DEL DATO
8. Cada organización puede tener su propia forma de desarrollar sus políticas en diferentes textos normativos. No obs-tante, con objeto de facilitar la lectura, en adelante, se va a utilizar el término “procedimiento” para hacer referenciaa estos textos normativos. De hecho, incluso, en algunas organizaciones, la palabra “política” tampoco sería el térmi-no exacto que se utiliza para definir los documentos de primer rango o nivel que aprueban las compañías.
El “gobierno y calidad del dato” se con-figura como una nueva disciplina en elmundo de la gestión de la tecnología.
Si se hiciera una división (muy simplista)de la gestión de sistemas, se podríanconfigurar tres disciplinas, que tienen in-terrelaciones entre sí.
12
visión exhaustiva de la calidad de un con-junto de datos.
• Certificar la calidad de un informe con laexistencia de un mecanismo que la garanti-ce.
• Garantizar la calidad de las transformacio-nes y cálculos que se realicen sobre los da-tos. Este punto tiene una fuerte relacióncon las metodologías de desarrollo de soft-ware, ya que se trata de garantizar que serealizan las pruebas adecuadas para asegu-rar que no se producen errores en los trata-mientos de datos.
• Crear y mantener un diccionario único dedatos9.
• Gestionar el acceso a los datos de formasegura.
• Disociar los datos bajo determinadas cir-cunstancias. Es decir, realizar una copia deuna base de datos para que no sea posibleidentificar a qué persona física pertenececada dato.
• Almacenar, transmitir y eliminar los datosde manera segura.
• Adquirir datos de un proveedor externo y/ocompartir/ceder datos con un tercero.
Dos consejos a la hora de elaborar una políti-ca de esta naturaleza:
• La política debe servir para trasladar direc-trices (no es un lugar para definir procedi-mientos), por lo que se recomienda evitardetalles excesivamente operativos.
• Si es la primera vez que la compañía va acrear una política de gobierno del dato, hayque evitar definir una política demasiadoambiciosa al principio por si no se consigueimplantarla en un tiempo razonable al serdemasiado exigente. Hay que tener encuenta que es costoso implantar la políticay todos los procedimientos asociados.
Una vez implantada la política aprobadapor el Consejo, se podrá ir modificando pa-ra hacerla más exigente.
Es necesario determinarlas responsabilidadesde ejecución, control ysupervisión en todas lasfases del proceso degestión del dato y entodos los niveles de lacompañía.
9. El diccionario de datos es, en esencia, un repositorio donde se describe lo que significa cada dato. Aunque no existeun único criterio para documentar este significado, sí existe un consenso de que el diccionario de datos debe de serentendible por el usuario final. Es decir, si un usuario quiere conocer qué significa un campo de una tabla, deberíapoder buscar su definición en el diccionario y entenderla.
RELACIÓN ENTRE EL GOBIERNO Y CALIDAD DEL DATO Y OTRAS DIS-CIPLINAS DE SISTEMAS
SISTEMAS DESARROLLO
SEGURIDAD
13
Con la aparición del “gobierno y calidad deldato”, se podría visualizar una cuarta discipli-na, que presenta interacciones con las tresanteriores.
Esta interrelación provoca que no sea sencilloelaborar una política sobre gobierno y calidaddel dato, ni desarrollar sus procedimientosasociados. Por ejemplo, esta política podríaentrar en conflicto con la “política de seguri-dad de la información”, existente en la mayo-ría de las organizaciones.
SISTEMAS DESARROLLO
SEGURIDAD
GOBIERNOY CALIDADDEL DATO
PROCEDIMIENTOS RELACIONADOS CON LA DISCIPLINA DE LA SEGURIDAD
Gestionar el acceso a los datos de forma segura.
Disociar los datos bajo determinadas circunstan-cias.
Almacenar y transmitir los datos de manera segu-ra.
Eliminar los datos de manera segura.
Adquirir datos de un proveedor externo y/o com-partir/ceder datos con un tercero.
PROCEDIMIENTOS RELACIONADOS CON LA DISCIPLINA DE GOBIERNO Y CALIDAD DEL DATO
Procedimiento para la identificación y clasificación del dato.
Procedimiento para medir la calidad del dato.
Procedimiento para garantizar la trazabilidad del dato10.
Garantizar la calidad de las transformaciones y cálculos que se realicen sobre los datos.
Certificación de un conjunto de datos.
Crear y mantener un diccionario único de datos.
Certificar la calidad de un informe.
Si examinamos los procedimientos que se han recomendado en el punto anterior, se observa que exis-ten varios relacionados con la disciplina de la seguridad. Y en otra tabla se muestra la relación entre laperspectiva RDA y los procedimientos.
NUEVOS ACTORES EN EL GOBIERNO DEL DATOA medida que va creciendo la preocupación yla exigencia por un adecuado gobierno deldato, surge una serie de figuras organizativasque ayudan a mantener ese adecuado buengobierno. Destacan:
Chief Data Officer (CDO)
Es el máximo responsable del gobierno deldato en las compañías.
Este rol empieza a surgir a medida que el ta-
maño de los datos va creciendo exponencial-
mente, a la vez que su complejidad. Se tiene
constancia de que la primera CDO fue Cathry-
ne Clay Doss, de la empresa Capital One, en
2002.
Existen muchas razones por las que este rol
es necesario (especialmente, en compañías
10. Aunque también se podría considerar que este procedimiento tendría más relación con la disciplina de desarrollo desoftware.
grandes). Por ejemplo, CAP GEMINI11 mencio-na hasta 18 motivos por los que resulta acon-sejable establecer este rol. Algunos son:
• Las operaciones suelen ser complejas, dis-pares y, a menudo, ineficientes en sus enfo-ques para la gestión de la información. Lamayoría de las grandes compañías de servi-cios financieros de hoy son multinacionales.Sus operaciones abarcan varios países. Estoimplica la intervención de personal con di-ferentes idiomas. Y, con frecuencia, sonoperados y gobernados de forma local ydescentralizada.
• La información crítica suele estar en silos. Yeso perjudica los informes a nivel empresa-rial, la toma de decisiones y la optimizacióndel rendimiento.
• Ciertas funciones comerciales requieren lainformación agregada, pero no está dispo-nible fácilmente.
• Los departamentos de negocio y de siste-mas no hablan el mismo idioma, ni tienenun entendimiento común sobre la gestiónde la información. Esto provoca una brechade conocimiento considerable con respectoa los elementos de datos críticos para laempresa.
Entre las principales funciones que suele te-ner el CDO conviene resaltar:
• Asegurar la implantación de las políticasaprobadas por el Consejo de Administra-ción.
• Coordinar la actuación del resto de figurasque intervienen en la gestión de los datos.
• Racionalizar y estandarizar el uso de herra-mientas y mejoras prácticas para la gestiónde los datos.
• Realizar un reporte periódico al Consejo deAdministración sobre el gobierno y calidaddel dato.
Responsable funcional del dato (Dataowner)
En general, es una persona del negocio encar-gada de definir conceptualmente los datosdentro de su ámbito de responsabilidad. Susprincipales funciones suelen ser:
• Identificar cuáles son los datos necesariospara la gestión del negocio, definiéndolosde forma clara en el diccionario único dedatos.
• Establecer la calidad mínima necesaria quedeban tener los datos.
• La toma de decisiones en lo referente a laforma de capturar los datos o de corregirlosen caso de incidencias.
Lo normal es que en una compañía existanvarios data owners, normalmente en funciónde las diferentes áreas de negocio.
Responsable técnico (Data architect)
Diseña y/o mantiene los sistemas de informa-ción que dan soporte a la operativa, a los pro-cesos o al reporting de la entidad.
Al igual que con los data owners, lo normales que existan varios data architect, que ten-
14
El Chief Data Officer(CDO) es el máximoresponsable delgobierno del dato enlas compañías.
11. CAP GEMINI. The Role of the Chief Data Officer in Financial Services. Junio de 2012. https://www.capgemini.com/gb-en/resources/the-role-of-the-chief-data-officer-in-financial-services/
15
drán una estrecha relación con los data ow-ners e irán tomando con ellos decisiones con-sensuadas para mejorar la gestión de los da-tos.
Usuario de los datos (Data user)
Tendrá sus responsabilidades y obligacionesen el proceso.
Responsable de informes (Report ow-ner)
Figura que está surgiendo en algunas organi-zaciones para:
• Garantizar la calidad de los informes.
• Decidir los criterios que se deben utilizar ala hora de elaborar un informe.
• Controlar el acceso y distribución de los in-formes.
Es clave que enAuditoría Interna existaun plan de trabajo para
analizar el proceso degobierno del dato.
EL ROL DE AUDITORÍA INTERNAEn relación con el gobierno del dato, es im-portante que exista en el plan de Auditoría In-terna un trabajo para analizar el proceso degobierno del dato. ¿Cuál debería ser el conte-nido y alcance de este trabajo de auditoría? y¿cuáles son las verificaciones más comunesque se deberían llevar a cabo?
Antes, hay que enumerar algunas cuestionesque podrían formar parte de la revisión deAuditoría Interna (que cobrarán más sentidoen los siguientes capítulos):
1. Analizar la suficiencia de la política apro-bada por el Consejo de Administración.
2. Asegurar que ha sido comunicada adecua-damente dentro de la organización.
3. Verificar la existencia de los órganos degobierno de la calidad del dato.
4. Verificar que se han desplegado los roles yfunciones en la compañía.
5. Analizar los umbrales de calidad, cómo sevigilan y el reporte que se realiza.
6. Analizar los procesos relacionados con eldiccionario de datos y la trazabilidad (fun-cional y técnica).
7. Verificar la existencia de planes de acciónpara remediar las incidencias de calidaddel dato.
8. Analizar los procesos relacionados con laseguridad del dato.
Los cuatro primeros aspectos para revisar noconllevan una excesiva complejidad. Se pue-den realizar con un único trabajo de AuditoríaInterna (un único entregable), sin consumirdemasiados recursos y en un tiempo de ejecu-ción corto; las pruebas necesarias para verifi-car dichos puntos tampoco son excesivamen-te complejas.
En cambio, a partir del quinto punto, la verifi-cación se vuelve más compleja y consumidorade recursos. Hay que tener en cuenta quecualquier compañía puede superar con facili-dad el millar de tipologías de datos distintos.¿Cómo verificar el establecimiento de umbra-les sin entrar en las peculiaridades de cada ti-po de dato? ¿Cómo verificar la trazabilidadsin entrar en cada uno de los datos que nece-sitan ser trazados? ¿Cómo compaginar la dis-ciplina de seguridad con la del gobierno deldato? Y, aunque se pueda (y se deba) trabajar
16
con muestras, ¿cómo elegir esas muestras pa-ra poder llegar a conclusiones válidas para to-da la compañía? Por ejemplo, suele ser nor-mal que las políticas se hayan implantado conmayor intensidad en ciertos conjuntos de da-tos más críticos y que, en cambio, en los con-juntos de datos de menor criticidad apenas sehayan implantado (o sean más relajadas).
Por tanto, parece razonable que la verificaciónde los puntos más complejos (del quinto enadelante) se realice a través de otros trabajosde auditoría independientes, y se limiten a larevisión de conjuntos acotados de datos (enlugar de a todos los datos de la compañía).
Lo que se plantea como una posible estrate-gia es incluir en el plan de Auditoría Interna:
• Un trabajo para verificar los puntos más“troncales” del gobierno del dato (porejemplo, las cuatro primeras tareas expues-tas al principio).
• Varios trabajos de auditoría para verificar elresto de puntos. Por ejemplo:
- Dividiendo todos los datos de la organi-zación en varios conjuntos o ejes12. Y po-niendo el foco en aquellos ejes que ten-gan un mayor nivel de riesgo (desde elpunto de vista del riesgo del proceso enque se usan esos datos).
- Separando las “disciplinas” que se hanmencionado en el apartado anterior Re-lación entre el gobierno y calidad del da-to y otras disciplinas del sistemas. Es de-cir, se puede planificar una serie de tra-bajos para revisar los procedimientos re-lacionados con la seguridad, separando
estos trabajos de los que están más rela-cionados con la disciplina del gobiernodel dato (calidad, trazabilidad, etc).
No obstante, algunos departamentos de Audi-toría Interna preferirán abordar el cumpli-miento de la política con una menor cantidadde trabajos/informes, pero con un alcancemayor. Ambos enfoques son válidos y depen-den de la estrategia que cada departamentode Auditoría Interna considere más eficaz ensu compañía.
Para que los trabajos de Auditoría Interna so-bre esta materia se realicen con solvencia ycalidad, es necesario contar con varios perfi-les de auditoría. En la mayoría de las compa-ñías, el peso y el liderazgo de este tipo de au-ditorías recaerá dentro del área de Auditoríade TI. Se podrían distinguir varios perfiles pararealizar estos trabajos:
• Ya se ha mencionado que el gobierno y lacalidad del dato podría ser una nueva disci-plina de la gestión de TI. También se podríadecir que surge una nueva disciplina de au-ditoría de TI: Auditoría del gobierno y cali-dad del dato. Para auditar esta disciplina,es necesario un perfil de auditores de TI es-pecializados en el análisis y tratamiento dedatos.
• Para el éxito de estos trabajos de auditoríaes fundamental que se establezcan colabo-raciones robustas con el resto de las áreasde Auditoría Interna, ya que en ella resideun mayor conocimiento del negocio (y de laimportancia y criticidad de los datos quemaneja la organización). Por tanto, es im-
Auditoría Internanecesita contar convarios perfilesprofesionales ycolaborar con otrasáreas para velar por el gobierno del dato.
12. Se usa el término de ejes para hacer referencia a tipologías de datos de diferente naturaleza. Por ejemplo: los datosde clientes serían un eje y los datos de empleados podrían ser otro eje distinto (ya que sus atributos son diferentes,se capturan de forma distinta y, probablemente, tengan distinta criticidad).
17
prescindible que muchos de los trabajos deauditoría que se van a exponer en este do-cumento se realicen de forma conjunta en-tre el área de Auditoría de TI y otras áreasde Auditoría Interna especializadas en losprocesos de negocio cuyos datos se vayana auditar. Habría que prescindir de estascolaboraciones en aquellos casos en losque el auditor de TI posea un gran conoci-
miento del negocio cuyo dato está auditan-do.
• Finalmente, como esta nueva disciplina tie-ne interrelación con otras disciplinas mástradicionales (la auditoría de sistemas, laauditoría de seguridad y la auditoría dedesarrollo software) también sería necesa-ria la implicación de esos tres perfiles.
Gestión del dato
La información es uno de los activos más im-portantes de las compañías, siendo el dato elelemento mínimo en la generación de conoci-miento. Como cualquier bien de la empresa,la información tiene un ciclo desde su crea-ción o captura y almacenamiento; pasandopor su uso en distintas actividades de proce-samiento; hasta que éstos se vuelven obsole-tos y se eliminan.
La gestión del ciclo de vida de los datos deprincipio a fin es clave para que se extraiga lamáxima utilidad de los mismos.
Las empresas que trabajan con datos comomateria prima deberían adoptar el enfoquede “ciclo de vida del dato”, es decir, identifi-car cómo se produce el flujo de informaciónen sus procesos y actividades tanto internoscomo externos. Simplificando, el ciclo de vidade los datos se podría agrupar en tres gran-des bloques.
Fases del ciclo de vida del dato
Cada uno de estos tres bloques se podría di-vidir en varias fases secuenciales13.
CICLO DE VIDA DEL DATO
RECOLECCIÓN USOCONSERVACIÓNY ELIMINACIÓN
CICLO DE VIDA
DEL DATO
Obtención
Relevancia
Clasificación
Almacena-miento
Transmisióny
transporteTratamiento
Backup
Retención
Destrucción
13. Elaboración propia, a partir de SEARCHSECURITY. Data-Lifecycle-Management-Model-Shows-Risks-and-Integrated-Data-Flow. Web. Julio 2018
18
Obtención. Creación y captura de datosque no existían en la compañía. Hay diversasformas para adquirir datos, como la obtenciónde datos ya existentes que han sido creadospor entes ajenos al negocio o la creación dedatos por parte del factor humano y/o dispo-sitivos del propio negocio.
Relevancia. Valoración del interés y per-tinencia de la información para el negocio. Sedebe establecer tanto la utilidad de la infor-mación, como los criterios de idoneidad de di-cha información. Esta fase también se puedeubicar dentro del proceso de clasificación.
Clasificación. La clasificación de la infor-mación y su correcta identificación es uno delos pasos fundamentales del ciclo de vida delos datos. Cualquier tipo de información nue-va para la empresa tendrá que ser clasificadaantes de su incorporación a los flujos de da-tos de los sistemas.
Hay innumerable información sobre los dife-rentes criterios de clasificación. Por ejemplo,el estándar ISO 27001:2005 indica que la in-formación debe ser clasificada en términos desu valor, requerimientos legales, confidenciali-dad y grado crítico para la compañía.
Otros criterios de clasificación, basados enriesgos e impactos asociados a la informaciónpueden ser:
- Integridad. La información es actual, cohe-rente, completa y solo se realizan cambiosautorizados sobre ella.
- Disponibilidad. Solo los usuarios autoriza-dos tienen acceso y pueden usar la infor-mación cuando sea necesario.
- Confidencialidad. A la información se acce-de solo por usuarios autorizados, entidades
o procesos. El valor de la información parala empresa determina de forma directa losniveles de confidencialidad.
Almacenamiento. Los datos deben deser almacenados en unos repositorios ade-cuados y seguros. Dependiendo del tipo dedato o información, la ubicación será distinta.Las bases de datos y sistemas de ficheros sonlos más frecuentemente utilizados. Esta carac-terística es clave puesto que la organización,acceso y control de datos es indispensablepara el correcto funcionamiento de las com-pañías.
Transmisión y transporte. Los datos semueven según las necesidades de la empresa,tanto internamente como externamente. Engeneral, existen dos grandes medios de trans-misión y transporte: i) las redes de telecomu-nicaciones y ii) los dispositivos de almacena-miento portátiles (discos duros, pendrives,etc.).
En esta fase habría que prestar una especialatención a la transmisión del dato a otrascompañías (ya sea como encargados del tra-tamiento, o como cesionarios del dato), tantopor los requerimientos legales como por elposible impacto sobre la privacidad de losusuarios
Tratamiento, conversión y alteración.Los escenarios en los que una compañía ne-cesita tratar los datos son muy heterogéneos.Los tipos de tratamientos más usuales son:
- Tratamiento de los datos para elaborar in-formación de gestión y contable.
- Combinación de los datos existentes entresí para enriquecer los mismos y aportar me-jor información a la compañía.
19
- Gestión operativa de los datos. Aquí se po-dría incluir desde el movimiento de los da-tos de un entorno a otro hasta la concesióno revocación de permisos a los usuarios.
Backup. Los sistemas de copia de seguri-dad son una pieza fundamental en los siste-mas de gestión de la información, al ser ele-mentos necesarios para garantizar la disponi-bilidad de los datos. Pero es necesario que losniveles de seguridad entre los datos en entor-nos productivos y sistemas de backup esténalineados.
Retención. Los datos pueden ser utiliza-dos por la empresa durante el tiempo que le-galmente este establecido para el tratamientoo esté autorizado por el propietario de la in-formación. Se deben regular los criterios pararetener los datos. Esta fase también se puedeubicar dentro del proceso de destrucción.
Destrucción. Particularmente importantecon información sensible, pues será necesarioel asegurar que la misma no recaerá en ma-nos de terceras personas, así como garantizarque se cumplen los requerimientos legales re-lacionados con la retención.
El rol de Auditoría Interna
Auditar el ciclo de vida del dato es muy com-plejo. No tanto por las dificultades técnicas delas tareas de Auditoría Interna, sino por laenorme cantidad y heterogeneidad de datosque hay en una organización. Por ejemplo, notienen nada que ver cómo se obtienen los da-tos de los clientes de una compañía a cómose obtienen los datos de los empleados.
Como estrategia de Auditoría Interna, es muyprobable que no tenga sentido auditar todas
las fases descritas anteriormente en un solotrabajo de auditoría interna.
Lo primero que debería hacer Auditoría Inter-na es plantearse dos grandes preguntas acer-ca de cómo abordar la auditoría del ciclo devida del dato:
• ¿Cómo voy a dividirlo? En este capítulo,por ejemplo, se han realizado dos clasifica-ciones: una más general, en tre bloques (re-colección, uso y conservación); y otra másdetallada, en nueve fases (desde la obten-ción hasta la eliminación).
• Una vez realizada la división anterior, ¿có-mo voy a auditar cada fase? ¿Voy a hacerun único trabajo por cada fase o voy a ha-cer varios trabajos para auditar cada fase?¿En cada trabajo voy a revisar todos los da-tos de la compañía o de cada fase voy ahacer varios trabajos desglosados por tipode dato? ¿Voy a realizar una auditoría in-terna exclusivamente desde el ámbito de TIo es mejor integrar esta auditoría internadentro de otros trabajos del proceso de ne-gocio?
La respuesta depende de las características decada organización. No obstante, sí que sepueden indicar dos factores que influyen a lahora de responder a estas preguntas:
• Tamaño de la organización. No pareceríapráctico que la auditoría interna de unagran compañía auditara todas las activida-des del ciclo de vida (de todos los datos) enun único trabajo.
• Tipo de actividad. Existen determinadas fa-ses del ciclo de vida que son más heterogé-neas que otras. Y, por tanto, tiene un mayorsentido que la auditoría interna de esas fa-ses se divida en varios trabajos distintos.
Auditar el ciclo de vidadel dato es muy
complejo por la enormecantidad de datos y su
heterogeneidad.
20
Las fases de obtención y tratamiento suelenser diferentes dependiendo del dato. Y, encambio, el resto de las fases no suele pre-sentar muchas diferencias en función del ti-po de dato.
- Un par de ejemplos prácticos:
· La fase de backup suele ser un procesobastante estándar en las compañíasque no depende demasiado del tipo dedato. Por lo que podría ser normal queeste proceso se revisara con un únicotrabajo de auditoría interna, y con unaversión más cercana a los procesos deTI.
· La fase de obtención de datos es muyheterogénea. Es probable que la ob-tención de datos de clientes sea muydiferente a la obtención de datos deempleados; serán sistemas diferentes,con riesgos diferentes y controles dife-rentes. De ahí que probablemente ten-ga más sentido separar esos procesosen dos trabajos de auditoría internadistintos. Y tendría más sentido reali-zar un trabajo que se acerque más alproceso de negocio. Por ejemplo, sepodría realizar un trabajo que se deno-mine “Auditoría del proceso de alta delos clientes” en el que, además de re-visar los riesgos desde el punto de vis-ta de gobierno del dato, se auditen losriesgos desde el punto de vista legal yde negocio.
Algunas tareas a realizar en las auditoríasinternas del ciclo de vida del dato.
Son muy diversas, y dependerán de las deci-siones que haya tomado Auditoría Interna araíz de las preguntas anteriores. Y también de
los distintos riesgos que afecten a cada fase,al tipo de dato y a la compañía en concreto.Por ello, no es posible inventariar un conjuntode actividades que se deban realizar siempreen todas las auditorías internas de este tipo.
Algunas actividades a modo de ejemplo:
Recolección
• Grado de automatización de los procesosde carga y entrada de datos.
• Controles definidos sobre el proceso de en-trada de información en las aplicacionesorigen.
• Conciliaciones establecidas para validar lacalidad de la información. Gestión de lasdiscrepancias.
• Verificaciones existentes de la calidad de lainformación de entrada al proceso en cuan-to a completitud, validez, consistencia,exactitud.
• En el caso de captura de datos de terceros,verificación de la existencia de un SLA conel proveedor que garantice la calidad y dis-ponibilidad del dato.
Uso
• Identificación de los tratamientos realiza-dos.
• Identificación de ajustes manuales realiza-dos sobre los datos y recálculos.
• Conciliaciones de datos con otros reposito-rios de información. Gestión de las diferen-cias identificadas.
• Transformaciones realizadas sobre los datosy grado de dispersión de la información.
• Metodología de desarrollo y mantenimientode las aplicaciones.
Tiene sentido que laauditoría interna de lasfases del ciclo de vidadel dato se divida entrabajos distintos.
21
• Identificación de los responsables y usua-rios de los datos.
• Identificación de los niveles de control so-bre acceso al dato.
• Control sobre las cesiones de datos a terce-ros.
Eliminación
• Existencia de un proceso de identificaciónde datos que hayan dejado de ser útiles.
• Identificación de procedimientos de elimi-nación de la información.
• Identificación de los procedimientos degestión de los sistemas de backup y restau-ración.
Cada vez máscompañías realizan unseguimiento periódico
de la calidad yfiabilidad de sus datos.
CALIDAD DEL DATOTal y como dijo el físico Sir William Thomsonen el siglo XIX, “Lo que no se define no sepuede medir. Lo que no se mide, no se puedemejorar y lo que no se mejora, se degradasiempre”.
Si se traslada este axioma al mundo de losdatos, surge la siguiente pregunta: ¿es posi-ble medir la calidad de los datos de una orga-nización? La respuesta es que sí es posible. Y,además, dado que la fiabilidad de los datoses clave para el buen desarrollo del negocio,cada vez más organizaciones están llevando acabo proyectos cuyo objetivo es medir la cali-dad de los datos que maneja. De esta forma,realizan un seguimiento periódico de la cali-dad de los datos, analizan su evolución y to-man las medidas oportunas para remediar lasdeficiencias identificadas.
¿Cómo se puede medir la calidad de los datosy cuál es el papel de Auditoría Interna en estetipo de procesos? Antes de exponer estascuestiones, hay que reflexionar sobre el go-bierno del dato y preguntar por las causasque provocan que un informe utilizado parala toma de decisiones contenga errores, o queun fichero que una compañía utiliza paraanalizar un proceso de negocio contengaerrores.
Simplificando, se pueden mencionar cuatro
causas:
• Mala calidad de los datos cuando se cap-turan en los sistemas de las compañías.
Una de las causas más frecuentes son los
errores en la grabación de los datos por
parte de los usuarios (cuando los datos se
capturan de forma manual).
• Errores en los desarrollos informáticos re-alizados por Tecnología (cuando los infor-
mes o ficheros son elaborados por Tecnolo-
gía).
• Errores en los procedimientos que hanaplicado los usuarios (cuando los informes
o ficheros son elaborados por ellos).
• Errores colaterales causados por desarro-llos informáticos. Es un hecho que ocurre
con cierta frecuencia en las compañías. Y
consiste en que se descubre que hay un
error en un informe o en un fichero, desco-
nociéndose la causa del error, ya que los
procesos de generación de esos informes o
ficheros no se han modificado. Finalmente,
se descubre que la causa está en un efecto
no deseado de un desarrollo informático
que, aunque no debería haber afectado a
este informe (o fichero), sí tenía ciertas de-
22
pendencias que no se conocían. Suele estarcausado por problemas en la trazabilidad.
¿Cómo se están afrontando en muchas com-pañías los procedimientos de medición de ca-lidad del dato? Hay que tener en cuenta quela utilidad fundamental de estos procesos demedición es minimizar las causas de los erro-res expuestas anteriormente. Son especial-mente útiles para mitigar la primera y cuartacausas y, en menor medida, para mitigar lascausas segunda y tercera.
Mejores prácticas para medir la cali-dad del dato
A continuación se proponen varios pasos teó-ricos a realizar en un proyecto para medir lacalidad del dato y su aplicación, mediante unejemplo concreto (se utilizará el mismo ejem-plo en todo el capítulo).
Las fases que se siguen para la implantaciónde un proyecto para medir la calidad de losdatos suelen ser:
• Definir el alcance (qué vamos a medir).
• Definir cómo se medirá la calidad.
• Realizar las mediciones.
• Analizar los resultados y establecer planesde remediación.
❶ DEFINIR EL ALCANCE
El primer paso es seleccionar un conjunto dedatos acotado sobre el que se va a medir lacalidad. Los proyectos de medición de la cali-dad son complejos, y el conjunto de datos deuna compañía suele ser inmenso. Por ello, esimportante acotar el alcance del proyecto pa-ra que sea manejable.
Seleccionar un conjunto de datos demasiadoamplio suele ser una garantía para el fracaso
en este tipo de proyectos. Es más recomenda-ble ir poco a poco, pero consiguiendo resulta-dos visibles. Y mejor, comenzar por aquellosdatos que tengan una mayor criticidad para elnegocio de la compañía.
❷ DEFINIR CÓMO SE MEDIRÁ LA CALIDAD
Una vez elegidos qué datos concretos se vana medir, hay que decidir cómo se va a medirla calidad. Es decir, hay que definir los requisi-tos que debe cumplir la información incluidaen el perímetro de actuación para poder certi-ficarla en base a unos criterios homogéneos.Para ello será imprescindible la colaboraciónde los dueños de los datos, ya que son losque pueden determinar en base a qué requisi-tos considerar que un dato tiene la calidadsuficiente como para ser explotado de formafiable.
Para ayudar a los propietarios de los datos arealizar esta definición, hay que facilitarles loscriterios más comunes para medir si un datoes de calidad.
El objetivo de losprocedimientos demedición de la calidaddel dato es minimizarlas causas de loserrores.
Ejemplo de implantación
Una compañía comienza el proyecto de medi-ción y, para acotar el alcance, toma dos decisio-nes:
1. Comenzar a medir la calidad de los datos per-sonales de sus clientes.
2. De todo el conjunto de datos de los clientes,selecciona un subconjunto de los que consi-dera más relevantes. Tras analizarlos, observaque está compuesto por 90 campos diferen-tes. Pero, tras un análisis experto entre el dataowner y el data architect, decide que los real-mente relevantes son 50 de esos 90 campos.Por tanto, acota el alcance del proyecto aesos 50 campos.
Completitud
Unicidad
Validez
Consistencia
Efectividad
Exactitud
Disponibilidad
23
Como entregables de esta fase, se tendrían:
• Un conjunto de campos a medir.
• Un conjunto de controles a ejecutar (medir)por cada campo que se ha seleccionado.
• El umbral de tolerancia al error de ese con-trol en ese dato. Para la definición de estos
umbrales será necesaria la colaboración delos dueños de los datos, que poseen el jui-cio experto para determinar a partir de quéumbral se requerirá el reproceso o remedia-ción del dato de forma previa a su explota-ción. En este tipo de proyectos novedosostambién resulta razonable fijar este umbralen fases posteriores.
Criterio Descripción Tipología de controles
Controles de blancos, de valores inexistentes y de valores pordefecto.
El dato debe estar informado para todo el perí-metro aplicable.
Controles de duplicados.El dato es único y no hay más de una forma deregistrar la misma información.
Controles de formato, integridad referencial, contraste contracatálogo para campos tipificados y/o rango de valores deacuerdo a negocio.
El dato tiene un valor válido de acuerdo a los re-quisitos establecidos (formato, rango de valores,datos tipificados, etc).
Controles de conciliación contable (saldo sistemas vs contabili-dad), coherencia entre datos, validaciones de negocio, réplicade cálculos complejos y/o anclaje de información entre distin-tos sistemas de información.
El dato es coherente y consistente con la infor-mación almacenada en el mismo u otro sistemade información.
Grado de conformidad de los propietarios / usuarios de los da-tos con la información recibida, revisión periódica de las solici-tudes de cambio y/o evolutivos referentes al perímetro de ac-tuación considerado, etc.
El dato debe ser relevante y pertinente para losprocesos de negocio.
Controles de revisión documental contra expedientes físicos oanclaje contra fuentes externas reputadas.
Control estadístico de variaciones con respecto a periodos an-teriores.
El dato es exacto y refleja fielmente la realidad.
Controles de monitorización del proceso (rechazos, totales ytendencias, accesibilidad y disponibilidad, etc).
El dato está disponible para su explotación en elmomento requerido.
CRITERIOS MÁS COMUNES Y LA TIPOLOGÍA DE CONTROLES TÍPICOS QUE SE PUEDEN REALIZAR PARA MEDIR EL DATO
Fuente: Elaboración propia
24
❸ REALIZAR LA MEDICIÓN
Una vez definidos cuáles son los controles decalidad a realizar, es necesario comenzar amedir, ejecutando esos controles de calidad.
El ciclo típico de este proceso es:
1. Se ejecutan uno a uno todos los contro-les de calidad definidos.
Para que el proceso sea eficiente, es acon-sejable que estas ejecuciones se realicencon herramientas automáticas15. Hay apli-caciones de mercado que están pensadaspara realizar este tipo de mediciones.
Otra decisión a tomar sería la periodicidadcon la que se van a tomar las mediciones.En condiciones normales, se realizaránmensualmente.
2. Se muestra el resultado al usuario de for-ma amigable. Se debería mostrar en uncuadro de mando que permita la visualiza-ción y navegación desde la visión generalde calidad (informes ejecutivos) hasta eldetalle de la incidencia de calidad identifi-cada.
Para medir la calidadhay que definir losrequisitos que debecumplir la informaciónincluida en el perímetrode actuación.
Ejemplo de implantación
Siguiendo con el ejemplo anterior, en la faseprevia se han seleccionado 50 campos de clien-tes que se quieren medir. Ahora hay que tomardecisiones “campo a campo”. Por ejemplo, va-mos a suponer que uno de los 50 campos es elcampo PROFESIÓN. En una aproximación simpli-cista14, se puede decidir que se va a medir enbase a dos criterios:
1. Completitud: Se medirá si hay algún clienteque tenga la PROFESIÓN sin rellenar (que es-té vacío). Y se establecerá a partir de cuántosclientes con el campo sin informar supone unproblema y se debe desencadenar algunaalerta o aviso. Es decir, el umbral de toleranciaal error. Por ejemplo, en este caso, el data ow-ner ha decidido que el control será conformesi el porcentaje de clientes con el campoPROFESIÓN vacío está por debajo del 0,1%del total de clientes que se están midiendo.
2. Validez: Se medirá que todos los valores infor-mados para cada cliente están dentro de unalista concreta de profesiones permitidas. Porejemplo, contra una tabla referencial del sis-tema que ha definido el data owner. Y tam-bién habrá que definir un umbral.
En esta fase, los análisis que hay que realizar, asícomo las decisiones, se toman individualmentepor cada uno de los atributos (o campos) queforman parte del cliente. De ahí que es impor-tante limitar el alcance de estos proyectos, dadoel elevado nivel de detalle al que hay que llegar.
Ejemplo de implantación
A la hora de presentar los resultados, hay queser capaces de mostrar lo siguiente:
1. En relación al campo PROFESIÓN:
a. Número de clientes que tienen el campovacío (y porcentaje sobre el total). Y, proba-blemente, un campo “semafórico” para in-dicar si se ha superado el umbral de tole-rancia al error.
b. Idem para el segundo control definido eneste ejemplo (total de clientes que tienenuna PROFESIÓN que no coincide con losvalores de profesión permitidos).
2. Los usuarios de estas mediciones deberíanpoder ver con facilidad cuáles son los clientes
14. Por simplista debe entenderse que, a modo de ejemplo, solo se describen dos controles. En la práctica, lo normal esque se definan más controles por cada campo.
15. Aunque lo normal es que los controles de exactitud se tengan que ejecutar manualmente, ya que requerirán una revi-sión muestral contra una documentación física.
25
Tras realizar lasmediciones, los
responsables de losdatos analizan los
resultados y lasdesviaciones respecto a
los umbrales detolerancia.
concretos que incumplen las mediciones, paraque puedan empezar a analizar el problema.
3. Los usuarios deben poder ver cierta profundi-dad histórica de los análisis (recordemos quelos controles se ejecutan periódicamente). Deesta forma, podrán visualizar fácilmente si lacalidad ha mejorado o ha empeorado con res-pecto a las mediciones anteriores.
4. El usuario puede ver “controles aislados” so-bre un campo. Pero, ¿cuál es la calidad delcampo PROFESIÓN? Una buena práctica seríarealizar una agregación de todos los controlesde cada campo para mostrar al usuario un ni-vel de calidad de ese campo. Para ello, es ne-cesario recurrir al criterio experto.
Supongamos, siguiendo este ejemplo, que lasmediciones dan un 98% para el primer con-trol y un 96% para el segundo. ¿Cuál es lacalidad del campo PROFESIÓN? En este caso,el data owner decide que ambos controlesson igual de importantes, por lo que se reali-za una media aritmética. Por tanto, en el in-forme resultante se puede agregar, de formaque se indica que la calidad del campo PRO-FESIÓN es de un 97%.
5. Pero se puede seguir ampliando la pregunta:¿Y cuál es la calidad global de los datos declientes? ¿Es posible dar ese dato a un conse-jero de la compañía? De la misma forma quese ha “agregado” la calidad de un campo, sepuede componer una fórmula agregada que,bajo criterio experto, ofrezca una visión de lacalidad global. Tan sólo habría que hallar lamedia de la calidad de todos los campos yponderar por la importancia del campo, segúncriterio experto.
En este caso (y de cara a seguir con esteejemplo en los siguientes puntos de este do-cumento), vamos a suponer que, en la últimamedición, el dato de CLIENTES tiene una cali-dad del 95%16.
16. Como se puede apreciar, una forma de presentar los resultados es mediante porcentajes, representando el 100% lamáxima calidad posible.
❹ ANALIZAR LOS RESULTADOS Y ESTABLECERPLANES DE REMEDIACIÓN
Una vez que se tiene el resultado de las me-diciones, los responsables de los datos pue-den comenzar a analizar los resultados y lasdesviaciones respecto a los umbrales de tole-rancia establecidos. De tal forma que, si lamedición no es satisfactoria, el data ownerdebe establecer los planes de remediaciónnecesarios para mejorar la calidad del dato.
La repetición periódica de estas mediciones yanálisis deben permitir que la compañía ob-serve si las remediaciones aplicadas son real-mente eficaces y si la calidad de los datos vamejorando con el tiempo.
En este tipo de proyectos suele ser frecuenteque, en las primeras mediciones, se ajustenlos controles y umbrales de calidad mediantejuicio experto hasta que el resultado de lamedición represente lo que realmente quere-mos medir desde el punto de vista funcional.
Ejemplo de implantación
Supongamos que se han empezado a realizarlas mediciones del campo PROFESIÓN. Y que elresponsable del dato observa que el sistema decalidad indica que hay un 20% de clientes conel campo vacío. Un escenario plausible y lógicoque se podría desencadenar a raíz de ese análi-sis sería:
1. El propietario del dato comienza a analizarcasos concretos de clientes, seleccionandouna muestra.
2. Después de analizar diez clientes, observa quese trata de personas jurídicas. Y, obviamente,no tienen una profesión.
3. Llega a la conclusión de que:
a. Hay que modificar la medición para excluira las personas jurídicas de ese control.
b. Hay que incluir un nuevo control en laspersonas jurídicas que sea el equivalente ala profesión de las personas físicas. Porejemplo, el CNAE.
26
Con el ejemplo anterior se observa que esteenfoque se apoya en un sistema de mejoracontinua que presenta una peculiaridad: noes necesario que esté perfecto para ponerloen producción. Incluso puede ser razonablerenunciar a la perfección para poder obtenerresultados visibles lo antes posible.
La “fuente de datos reputada” o Gol-den Source
En entornos de datos complejos, los datossuelen estar repetidos en diferentes sistemasde información. Esto ocurre, en ocasiones, pornecesidades técnicas y, en otras, por ineficien-cias heredadas de los sistemas. Así, podemostener un mismo dato en el entorno transac-cional, en el entorno informacional e, incluso,en el entorno final del usuario.
Por tanto, ¿cómo se mide la calidad de losdatos en todos estos sistemas?, ¿se deben re-petir las mediciones en todas las “tablas”17
dónde se repite un dato?, ¿existen formasmás eficientes de medir la calidad del dato?
En este contexto ha surgido un nuevo con-cepto que se denomina “fuente de datos re-putada” o Golden Source. Se puede decir quees la “tabla” concreta a la que los usuariosdeben acudir para obtener un dato concretocon el mayor nivel de fiabilidad.
Constituye una buena práctica que las com-pañías determinen qué “tablas” tienen laconsideración de “fuente de datos reputada”.Este concepto tiene varias implicaciones enlos procesos de gobierno del dato:
• El nivel de control sobre esas tablas debeser mayor. Esto implica que sobre estasfuentes se ejecutará el mayor número decontroles de calidad.
• Sobre otras fuentes de información parecerazonable aplicar una tipología de controlesdiferente, orientada a asegurar que la infor-mación mantiene la integridad con la fuen-te reputada. Es decir, en las fuentes que nosean una Golden Source debe predominarla ejecución de controles de “Consisten-cia”18. Siendo especialmente útiles los con-troles de anclaje: la verificación de que losdatos son los mismos que los de la fuentede datos reputada.
• Los usuarios saben que, en caso de dudacon respecto a algún dato, pueden acudir ala fuente reputada.
Reflexión final sobre las medicionesde calidad
Es conveniente reflexionar sobre el riesgo deofrecer una falsa sensación de seguridad enlas mediciones de calidad.
La “fuente de datosreputada” es la “tabla”concreta a la que losusuarios deben acudirpara obtener un datocon el mayor nivel defiabilidad.
17. Se ha utilizado el término “tabla” para facilitar el entendimiento de este concepto. Aunque, en realidad, sería máspreciso hablar de unidades lógicas de información.
18. Ver pagina 23 de esta guía en la que se mencionaban varios criterios de medición.
Ejemplo
¿Podemos estar tranquilos si las mediciones in-dican que la calidad de los datos de clientes esdel 99,8%? Pero pudiera ser que la calidad realno fuera tan buena…
27
Este riesgo aparece desde el momento en quelas mediciones de calidad no dejan de ser unmero artificio para tratar de medir la calidadreal de los datos. Hay que recordar que esacalidad se está midiendo con respecto a unaserie de controles establecidos por el respon-sable del dato y que estas mediciones tienenlimitaciones:
• Solo se miden los datos que el responsableconsidera más relevantes. Por tanto, hay unconjunto de datos sobre los que no se reali-zan mediciones de calidad.
• Solo se miden con respecto a los controlesdefinidos por el responsable. Por tanto, lasmediciones pecarán de optimismo si se handefinido pocos controles (o si esos contro-les son poco relevantes).
• Normalmente, solo se suelen incluir contro-les automatizables y estos controles no sonsuficientemente buenos como para detectarerrores en la introducción de datos por par-te de los usuarios.
Para mitigar este riesgo, se proponen variasactuaciones:
• Realizar pruebas de muestreo físico paravalidar la calidad de los datos introduci-dos19. Los resultados de estos muestreosdeberían introducirse como un control adi-cional en las mediciones. Estos muestreostienen un coste muy elevado con respecto alos controles automatizados, por lo que po-dría ser admisible el que se realicen conuna periodicidad distinta a los controlesautomáticos.
• Ser transparentes a la hora de presentar losresultados de calidad. Y, especialmente, de
cara al Consejo de Administración, que de-
be conocer la existencia de este riesgo de
falsa sensación de seguridad.
• Medir un conjunto de datos relevante (en
relación al riesgo del uso de cada dato). Y
que los controles sean adecuados y exigen-
tes. Tal y cómo ya se ha comentado, Audito-
ría Interna puede aportar gran valor a la
hora de garantizar esta cuestión, aplicando
su sentido crítico al valorar la suficiencia de
este apartado.
El rol de Auditoría Interna
Ofrecer aseguramiento en la calidad del dato
supone un reto considerable para los audito-
res internos. El enfoque con el que realizar las
revisiones dependerá mucho del grado de
madurez de la organización con respecto a la
medición de los datos. En este sentido, se
pueden distinguir dos tipos de compañías:
• Compañías maduras: las que tengan im-
plantado un sistema de medición de cali-
dad de los datos descrito en este capítulo.
• Compañías poco maduras: aquellas que no
disponen de un mecanismo para medir la
calidad de los datos.
AUDITORÍA INTERNA DE LA CALIDAD DEL DATOEN COMPAÑÍAS POCO MADURAS
Resulta razonable que la labor de Auditoría
Interna se centre en analizar si el nivel de ca-
lidad del dato es adecuado en compañías que
no pueden cuantificarlo. Y, por tanto, la labor
de Auditoría Interna se centra más en opinar
sobre esa calidad.
Es convenientereflexionar sobre el
riesgo de ofrecer unafalsa sensación de
seguridad en lasmediciones de calidad.
19. Estos muestreos no tienen relación con los muestreos que puede realizar Auditoría Interna. Las mediciones por mues-treo que se sugieren en este punto deberían ser realizadas por la Segunda Línea de Control.
28
En estos casos, uno de los enfoques más ha-bituales consiste en auditar y supervisar laexactitud, validez, completitud y existencia delos datos que residen en las bases de datosde una determinada aplicación o proceso denegocio. Es decir, Auditoría Interna se encar-gará de seleccionar un conjunto de datos, de-finir y ejecutar controles de calidad, y analizarlos resultados.
Para implantar esta estrategia, es convenienteseguir algunos consejos que facilitarán la ta-rea:
• Como se ha recomendado en el apartadoMejores prácticas para medir la calidad deldato, Auditoría Interna debe escoger un al-cance “razonable”. Es importante acotar elperímetro a auditar. Probablemente, seamás adecuado realizar diez trabajos de au-ditoría interna diferentes (de diez aplicacio-nes o procesos de negocio) antes que in-tentar abarcar en un único trabajo muchasaplicaciones o procesos de negocio. Y sedeben seleccionar aquellos atributos que seconsideren más relevantes.
• Se ha de intentar llegar a la causa raíz queha provocado los hechos observados. Enocasiones esto no será posible por la com-plejidad técnica y tiempo que podría supo-ner evaluar las incidencias detectadas; pe-ro, al menos, se debe asegurar que el datorealmente presenta debilidades antes de in-cluir el hecho en el informe.
• Probablemente, el auditor interno no apor-te mucho valor si simplemente se limita aemitir el informe con el resultado de loscontroles de calidad que ha ejecutado. Deigual forma que el propietario de los datosdebe analizar una “cata” o muestra de lasincidencias para tener una percepción de loque está ocurriendo, el auditor interno de-bería hacer una “cata” de las incidencias, y
no únicamente para tratar de identificar lacausa raíz, sino también para tener la segu-ridad de que realmente se trata de inciden-cias reales en los datos. En caso contrario,un informe de Auditoría Interna puede alar-mar a la compañía innecesariamente.
Auditoría Interna debeescoger un alcance“razonable” y paraello es importanteacotar el perímetro aauditar.
Ejemplo de enfoque
Supongamos que nos encontramos ante unacompañía que no está realizando mediciones decalidad de sus datos y, por tanto, desconoce sugrado de calidad. Aquí la labor de Auditoría In-terna será muy similar a la que se ha descrito enlos ejemplos del capítulo anterior:
❶ Definir el alcance del trabajo. El departa-mento de Auditoría Interna toma dos deci-siones en esta fase del trabajo:
a. Decide centrar la revisión en analizar lacalidad de los datos de clientes porque noparece eficiente ni razonable opinar sobretodos los datos de la organización en unsolo trabajo de auditoría interna.
b. Además, se observa que un cliente estácaracterizado por 90 campos. Y AuditoríaInterna decide que el alcance del trabajose va a centrar en 40 campos, por consi-derarse los más relevantes.
❷ Definir cómo se medirá la calidad. Estasdecisiones hay que tomarlas individualmentepor cada uno de los 40 campos. Por ejemplo,con respecto el campo “PROFESIÓN”, Audi-toría Interna decide realizar tres mediciones(controles) distintos.
❸ Medir la calidad de los datos elegidos en elalcance. Se ejecutan los controles de calidaddefinidos en el punto 2 para cada uno de los40 campos seleccionados en el alcance. A di-ferencia del proceso que debería ejecutar lacompañía, no se espera que se definan agre-gaciones de calidad de las diferentes medi-ciones.
❹ Realizar recomendaciones de mejora, enfunción de los resultados obtenidos y delanálisis de las incidencias detectadas en elpaso anterior.
29
AUDITORÍA INTERNA DE LA CALIDAD DEL DATOEN COMPAÑÍAS MADURAS QUE ESTÁN MIDIEN-DO LA CALIDAD DE SUS DATOS
En este caso, el principal trabajo de AuditoríaInterna será revisar el programa de mediciónde calidad que tenga la compañía. Es decir, siuna compañía ya está midiendo cuál es la ca-lidad de sus datos, el objetivo principal de Au-ditoría Interna sería opinar acerca de si estáde acuerdo con esas mediciones.
El trabajo de Auditoría Interna se podría divi-dir en dos grandes bloques:
• Analizar si la forma en que se miden losdatos es adecuada.
• Analizar el grado de cobertura de la medi-ción de datos.
Analizar si la forma en qué se miden los da-tos es adecuada. Se podría, por ejemplo, co-ger una muestra de los diferentes cuadros demando que se han descrito en este capítulo yanalizar la razonabilidad de los procesos quese aplican hasta llegar a ese cuadro de man-do.
En esta revisión, el auditor interno debe cues-tionarse el funcionamiento del sistema ¿conqué periodicidad se mide? ¿cómo se vanagrupando los cálculos de calidad? ¿son lasreglas de medición adecuadas? ¿se miden to-dos los campos relevantes de ese conjunto dedatos? ¿se definen planes de remediación pa-ra los datos que presentan baja calidad?
Incluso en compañías con controles maduros,también se debe reflexionar acerca de la im-portancia que tienen para la compañía los da-tos que se están midiendo, de forma que sepodrían plantear pruebas de auditoría internaadhoc en datos especialmente críticos.
Analizar el grado de cobertura de la medi-ción de datos. Se trata de analizar si se estáaplicando el proceso de medición de datos alos conjuntos de datos que se consideran másrelevantes en la entidad.
Si la compañía ya midela calidad de sus datos,
Auditoría Internaanalizará la forma y elgrado de cobertura de
esa medición.
Ejemplo de enfoque de Auditoría Interna
Siguiendo el ejemplo, nos encontramos ante unacompañía que está midiendo la calidad de losdatos de sus clientes, indicando que el nivel decalidad es del 95%. Ese dato agregado se des-compone, a su vez, en varios componentes. Unode ellos es el campo PROFESIÓN, cuya calidades del 97%.
En este caso, el trabajo de Auditoría Interna sepodría centrar en responder a estas preguntas:
• ¿Estoy de acuerdo con que la calidad de losdatos de CLIENTES es del 95%? ¿cómo se hacalculado este dato? ¿cómo se realizan lasagregaciones?
• ¿Estoy de acuerdo con que la calidad de losdatos del campo PROFESIÓN es del 97%?¿cómo se ha calculado este dato? ¿cómo serealizan las agregaciones? ¿son adecuadoslos controles que se realizan sobre ese cam-po? ¿sobran o faltan algunos controles?
• ¿Se están llevando a cabo planes de remedia-ción? ¿Dichos planes ofrecen buenos resulta-dos y la calidad de los datos va mejorandocon el tiempo? ¿Los umbrales marcados parafijar los “semáforos” son adecuados?
• ¿Los cuadros de mando con los resultados delas mediciones son adecuados para que losresponsables del dato puedan realizar su fun-ción (usabilidad)? ¿Cada cuánto tiempo semide? ¿Se puede hacer drill down hasta eldato último, con el objeto de analizar las inci-dencias?
Ejemplo de enfoque de Auditoría Interna
En este caso, el trabajo de Auditoría Interna sepodría centrar en analizar si, además de medirlos datos de clientes, se están midiendo otras ti-pologías de datos en la compañía. Y si existenplanes creíbles de extender estas mediciones alresto de conjunto de datos.
30
Conclusiones
En las compañías poco maduras el esfuerzode Auditoría Interna para realizar pruebasanalíticas de datos es mayor. Es Auditoría In-terna la que define en muchas pruebas las re-glas que quiere testar para opinar sobre si un
conjunto de datos tiene la suficiente calidad ono.
En cambio, en las compañías maduras, Audi-toría Interna se centra más en analizar la ra-zonabilidad del procedimiento de medición, yno tanto en realizar pruebas analíticas.
La trazabilidad del datose refiere al registro deevidencias que sepueden consultar paraaveriguar cuándo yquién ha modificado un dato concreto.
TRAZABILIDAD DEL DATOEs un término ambiguo que se utiliza para
muchas cuestiones relacionadas con los siste-
mas de información. Uno de los usos más ha-
bituales de este término es el de referirse al
registro de evidencias que se pueden con-
sultar para averiguar cuándo y quién ha
modificado un dato concreto. A esta trazabi-
lidad también se la conoce como log o AuditTrail20.
En cambio, cuando se habla de calidad del
dato, el término trazabilidad se utiliza para
definir otro concepto: la capacidad de una
compañía para conocer el ciclo de vida de
sus datos. En general, la trazabilidad debe
permitir a una empresa responder a las si-
guientes preguntas:
• En relación a un dato concreto e individual:
¿cómo nace? ¿cómo se transforma? ¿cómo
y dónde se utiliza?
• En relación a un informe: ¿qué datos se uti-
lizan para construir el informe? ¿cómo se
utilizan esos datos para construir el infor-
me?
Se puede decir que una organización tendrá
una buena trazabilidad si es capaz de contes-
tar a esas preguntas en un periodo corto detiempo y sin emplear demasiados recursos.
Sin embargo, disponer de esta trazabilidad escostoso para las compañías. ¿Qué ventajasaporta? Entre otras, que la trazabilidad ayudaa mejorar y optimizar los procesos, facilita laidentificación de inconsistencias en los datos,la detección rápida del origen de las inciden-cias, así como el impacto que tiene en losprocesos cualquier cambio que se realice enel ciclo de vida del dato.
Mejores prácticas para medir la traza-bilidad del dato
En el contexto de trazabilidad de datos, aúnse está en un estadio inicial de definición. Ennuestra opinión, aún no existen unos térmi-nos claros y unas expectativas claras sobrequé es la trazabilidad y cómo debe construir-se.
La trazabilidad completa implica que, para ca-da uno de los datos, debe conocerse –encualquier momento y de manera rápida– eluso que tiene, las transformaciones que hasufrido, las dependencias con otros datos y elorigen de los mismos. Esta información debe
20. Audit Trail: versión anglosajona para el término “traza de auditoría”, referido al registro de la secuencia de activida-des que han afectado a una operación o evento.
31
disponerse a nivel de sistema, tabla/fichero ycampo físico. Además, es importante que ca-da dato y transformación tenga asignado unresponsable que garantice la calidad del mis-mo.
Esta implementación puede llegar a ser muycostosa dependiendo de la complejidad de lossistemas, procesos y datos de la compañía.Por ello, éstas deben decidir la profundidad yel nivel de detalle al que quieren llegar.
En cualquier caso, empieza a existir ciertoconsenso en hablar de dos tipos distintos detrazabilidad:
TRAZABILIDAD FUNCIONAL
Es la representación, a alto nivel, del procesode generación de un dato desde su origen.Debe definir y documentar claramente, paracada dato considerado relevante por la com-pañía, los siguientes aspectos:
• Qué otros datos son requeridos y qué fór-mulas se aplican para obtener ese dato re-levante.
• Si el dato es simple o calculado a partir deotros datos, si se ajusta manualmente, y elsistema donde reside.
• El uso que la compañía hace del dato. Esdecir, qué áreas lo utilizan en sus procesosy para qué; y si está incluido en algún infor-me que se reporte a la Dirección o al Con-sejo de Administración.
En esta trazabilidad funcional se muestra elsistema/aplicación dónde se almacena el da-to, pero no se indica el nombre de la tabla ydel campo donde se almacena físicamente.Esta información es necesaria para poder re-plicar el dato y esto es lo que aportaría la tra-zabilidad técnica.
TRAZABILIDAD TÉCNICA
Llega a un mayor grado de detalle ya que pa-
ra cada dato (simple o calculado) se debe do-
cumentar la base de datos, tabla y campo
donde se almacena físicamente. Además, de-
be incluir el formato y los valores permitidos
en cada campo. Esta trazabilidad es más com-
pleta y costosa.
Dentro de los diferentes grados de madurez
de las empresas, suele elaborarse en un pri-
mer momento la trazabilidad funcional y, pos-
teriormente, la trazabilidad técnica, ya que re-
quiere un mayor esfuerzo de documentación.
Para una correcta implantación es necesario
disponer de una herramienta robusta que fa-
cilite la incorporación de información y su
mantenimiento a lo largo del ciclo de vida del
dato. Esta herramienta debe permitir visuali-
zar la trazabilidad a los usuarios autorizados y
analizar dependencias a la hora de cambiar
parte del proceso.
El rol de Auditoría Interna
Es habitual que la verificación de la trazabili-
dad de los datos de una organización no se
aborde dentro de una única revisión de Audi-
toría Interna, sino en varias (normalmente por
grupo o tipología de datos). También es habi-
tual que se verifique sólo un subconjunto de
datos (aquellos que se puedan considerar de
mayor criticidad).
Las tareas habituales en este tipo de revisión
son:
• Verificar si se ha definido un modelo de tra-
zabilidad, y si está alineado con la estrate-
gia de la organización.
La trazabilidad implicaconocer, en cualquier
momento y de manerarápida, el uso que tiene
cada dato, su origen ydependencia de otros
datos y posiblestransformaciones.
32
• Verificar la suficiencia e idoneidad de la tra-zabilidad implantada en la compañía. Paraello, se suele actuar de la siguiente forma:
- Seleccionar una muestra de datos o in-formes.
- Para esa muestra, comprobar si, en untiempo razonable, se puede contestar alas preguntas que se mencionaban en laintroducción:
· Dado un dato concreto e individual,¿cómo nace? ¿cómo se transforma?¿cómo y dónde se utiliza?
· Dado un informe, ¿qué datos se utili-zan para construir el informe? ¿cómose utiliza?
• Verificar si existe una herramienta robustaque soporte el modelo de trazabilidad esta-blecido.
• Validar los controles establecidos para ga-rantizar la integridad y trazabilidad a lo lar-go del ciclo de vida del dato.
Muchas compañíasintegran en su marcode gestión de calidaddel dato aspectosrelacionados con lacalidad de los informes.
CALIDAD DE LOS INFORMESLos órganos de gobierno de las empresas ne-cesitan informes de gestión adecuados y con-fiables para la toma de decisiones. Estos in-formes son clave para que las compañías al-cancen sus objetivos.
Según los Principios para una eficaz agrega-ción de datos sobre riesgos y presentación deinformes de riesgos”del Comité de Supervi-sión Bancaria de Basilea, el proceso de repor-ting de información de riesgos está relaciona-do directamente con los principios de Exacti-tud, Exhaustividad, Claridad y utilidad, Fre-cuencia y Distribución (principios 7 al 11).
Impulsadas especialmente por estos princi-pios, muchas organizaciones integran en sumarco de gestión de calidad del dato aspec-tos relacionados con la calidad de los infor-mes.
Por ejemplo, como se ha visto en el apartadode este documento sobre nuevos actores enel gobierno del dato, algunas compañías hanintroducido la figura del Responsable de in-formes cuyas principales funciones son:
• Garantizar la calidad de los informes.
• Decidir los criterios que se deben utilizar ala hora de construir un informe.
• Controlar el acceso y distribución de los in-formes.
• Elaborar un registro de informes para mejo-rar el grado de control sobre los mismo.
El rol de Auditoría Interna
Para evaluar la calidad de los informes hayque plantearse, fundamentalmente, dos cues-tiones:
¿CÓMO ESTRUCTURAR LOS TRABAJOS EN ELPLAN DE AUDITORÍA INTERNA?
Existen dos posibles enfoques:
• Realizar un único trabajo en el que se se-leccionen los informes más relevantes quese reportan a la Dirección y al Consejo deAdministración (o a sus comisiones delega-das). De esta forma se revisaría una mues-tra de todos los informes.
• Encajar estas revisiones dentro de las au-ditorías internas de los procesos de nego-cio que, de forma habitual, son parte de laactividad de Auditoría Interna. Una prueba
33
adicional que se realizaría sería valorar lacalidad de los informes más relevantes quese generan en ese proceso de negocio. Pro-bablemente, este segundo enfoque aporteun mayor valor a la compañía.
¿CÓMO ABORDAR LOS TRABAJOS Y QUÉ ASPEC-TOS EVALUAR DE LOS INFORMES?
Las revisiones de Auditoría Interna pueden irorientadas a verificar si en los informes se es-tán siguiendo los siguientes principios:
• Prontitud. Identificar los niveles de servicio,frecuencias y plazos para la agregación, ge-neración y distribución de los datos que serequieren para la elaboración del informe. Ycomprobar que están formalmente estable-cidos, que se monitorean y que cumplen loscriterios del negocio.
• Exhaustividad. Analizar que los informesde riesgos cubren todas las áreas de riesgosignificativas, y su profundidad y alcanceestán en consonancia con el tamaño ycomplejidad de las actividades de la com-pañía. Evaluar si los informes dirigidos a laAlta Dirección ofrecen una evaluación pros-pectiva del riesgo y no se basan únicamen-te en datos pasados y presentes.
• Claridad y Utilidad. Evaluar si los informesson fáciles de entender, y si existe un glosa-
rio donde se definan los conceptos que seutilizan. Valorar si la información presenta-da a la Alta Dirección es pertinente y ade-cuada para el proceso de gobierno y la to-ma de decisiones.
• Frecuencia. Revisar si la periodicidad esta-blecida para los informes es acertada, estáalineada con los criterios de negocio y secumple.
• Distribución. Evaluar el circuito de distribu-ción establecido, comprobando que garan-tiza tanto la confidencialidad de la informa-ción como su envío a los destinatarios per-tinentes.
• Exactitud. Evaluar si el informe final es co-rrecto, en función de los datos disponibles.Para esta evaluación, habitualmente seaplican dos tipos de enfoque:
- Partir del reporte final e identificar y revi-sar los diferentes procesos y entradashasta llegar al origen de la información.
- Evaluar el proceso final a partir de un sis-tema intermedio sin necesidad de llegaral sistema fuente.
Es importante destacar que la revisión deeste último punto entraña un alto grado dedificultad, y consume muchos recursos deAuditoría Interna.
Auditoría Internaverificará si losinformes están
siguiendo los criteriosde prontitud,
exhaustividad, claridad,frecuencia y exactitud,
entre otros.
Arquitectura técnica: facilitador del buen gobierno del dato
La arquitectura técnica soporta el ciclo de vi-da completo del dato. Engloba a los sistemasfuente, sistemas intermedios de transforma-ción, sistemas transaccionales, así como otros
de tipo informacional que permiten la explo-tación de los datos. Es decir, debe permitirque se puedan tratar los datos para tomar lasdecisiones de negocio.
34
Además, una adecuada arquitectura permitirála aplicación de los atributos a gobernar men-cionados anteriormente (confidencialidad, tra-zabilidad, calidad, etc.).
Por estos motivos, la arquitectura desempeñaun papel importante a la hora de determinar
el éxito o el fracaso de un modelo de gobier-no del dato robusto.
En términos de sistemas, y considerando el ci-clo de vida del dato, el siguiente gráfico refle-ja el modelo típico de arquitectura técnica.
Fuente: Elaboración propia
FUENTE DATOS / SISTEMAS TRANSACCIONALES
DATOS INTERNOS
DATOS EXTERNOS
ÁREA STAGE / SISTEMAS INTERMEDIOS
SISTEMAS OPERACIONALES
EXTRAER
TRANSFORMAR
CARGAR
OPERATIONAL DATA STORAGE
REPOSITORIOS DE INFORMACIÓN
DATA LAKE
DATAMART
DATAWAREHOUSE
Fuentes de datos
Son aquellos sistemas origen del dato. Pue-den ser tan heterogéneos como las tipologíasde información y procesos de negocio, desdela capa de presentación (front) de cualquiersistema con acceso por parte de empleadosy/o clientes hasta dispositivos del internet delas cosas (IoT)21, una aplicación instalada en
el smartphone o el último dispositivo de usodiario (relojes, pulseras, e incluso las últimasdeportivas), pero también los servidores delregulador o una contraparte, la informaciónde los mercados o los propios tornos de acce-so a un edificio. Puesto que los orígenes pue-den ser tan variados el diseño de la arquitec-tura debería considerar las amenazas desdeeste punto.
ETAPAS
21. IoT: Acrónimo Internet of Things.
35
Sistemas intermedios
Área temporal (middleware) en la que se re-cogen los datos que se necesitan de los siste-mas fuente. En esta área, y de forma escalo-nada, se realiza el proceso ETL22 completo através de interfaces de comunicaciones (SOAP23, microservicios, etc.) y se envían da-tos desde múltiples fuentes. Los datos debenadecuarse al formato de los sistemas transac-cionales, mantener la integridad y calidad enel proceso y asegurarse su confidencialidadcuando se requiera. Según el proceso de ne-gocio, en ocasiones estos sistemas solo actú-an de puente hacia el ODS24, lugar en el quepuede concluirse el proceso de ETL.
Sistemas operacionales (ODS)
Los datos recibidos de múltiples fuentes, si nose han producido errores en el proceso, seránexplotados por el sistema operacional, ya seapara la realización de nuevas operaciones ocomo base para herramientas de reporting.Los sistemas trabajan en línea, no almacenandatos históricos y muestran solo la imagendel momento actual; por tanto, es imprescin-dible que la calidad y disponibilidad de losdatos sea adecuada a los requisitos del pro-ceso.
Repositorios de Información
El almacén de datos corporativos o Data La-ke, sirve de repositorio de datos en bruto. Porel contrario, el DataMart o DataWarehouseson sistemas orientados al análisis de datos(OLAP25) y contienen datos históricos optimi-zados para su explotación y la inteligencia denegocio. En él se almacenan datos que pue-den provenir tanto de sistemas intermedios,de sistemas operacionales o sistemas fuente.Para una adecuada explotación de los datoses necesario que los mismos estén organiza-dos, sean coherentes entre distintas fuentes ymantengan un formato común.
Es importante disponer de un diccionario dedatos a nivel funcional (procesos y actividadesde negocio) y físico (sistemas TI). Este diccio-nario debe estar reflejado en la arquitecturatécnica que soporta el ciclo de vida. Ésta de-berá implementar un MARCO DE CONTROLrobusto que ayude a identificar:
• Errores en los datos: de formato, datos va-cíos, desactualizados, falta de integridad.
• Fallos en los procesos que impidan dispo-ner de los datos.
• Impacto en la calidad de los datos antecambios, procesos nuevos o manualidaddel proceso.
Los datos debenadecuarse al formato
de los sistemastransaccionales y
mantener la integridady calidad.
22. ETL: concepto sin referencia concreta, de uso común en el marco de la arquitectura. Es el acrónimo de Extract, Trans-form and Load o “Extraer, Transformar y Cargar”.
23. SOAP o Simple Object Access Protocol, terminología habitual para referirse a servicios web.
24. ODS u Operational Data Storage. Sistemas finales donde los datos son operados y almacenados.
25. Referencia para On-Line Analytical Processing, termino con el que se conoce a muchos sistemas de inteligencia denegocio.
EL ROL DE AUDITORÍA INTERNALos equipos de Auditoría Interna, dentro desus planes, deben analizar si la infraestructura
tecnológica es adecuada para soportar el go-bierno del dato. Entre los principales aspectos
36
que deben ser evaluados durante la revisión
estarían:
• Instalación y mantenimiento de la infraes-tructura tecnológica.
• Escalabilidad de la infraestructura.
• Disponibilidad, monitorización y tiempos derespuesta para el usuario.
• Gestión de incidencias.
• Respaldo y Recuperación.
• Metodología de Desarrollo y mantenimien-to de las aplicaciones
En este apartado, el equipo de Auditoría Inter-
na debe decidir si realizar una revisión especí-
fica centrada en este aspecto o si, por el con-
trario, estas tareas se incluyen dentro de otros
trabajos de Auditoría Interna de TI.
En el primer caso, el equipo de Auditoría In-
terna podría realizar un trabajo específico que
bien podría denominarse “Adecuación de laplataforma tecnológica al gobierno del dato”.
En el segundo enfoque, igualmente válido,
pasaría por integrar las tareas de revisión de
otros trabajos de auditoría interna más am-
plios.
Aquí se podría citar como ejemplo la gestión
de incidencias. Si utilizamos el primer enfo-
que, se analizaría, entre otras cuestiones, la
gestión de las incidencias de los sistemas que
estén relacionados con el gobierno del dato.
Pero esto implicaría dejar de ver la gestión de
incidencias en otros sistemas que pueden ser
relevantes. Lo que a su vez implica que, al fi-
nal, un proceso como el de gestión de inci-
dencias, que es relativamente uniforme, se re-
vise en varios trabajos diferentes de auditoría
interna. Por esto, otras unidades prefieren te-
ner en sus planes de Auditoría Interna algu-
nos trabajos más orientados a procesos de TI.
Es decir, tendrán, por ejemplo, un trabajo de
“Gestión de incidencias y problemas” dónde
verán ese proceso de forma general.
Auditoría Interna debeanalizar en sus planessi la infraestructuratecnológica esadecuada para soportarel gobierno del dato.
Mejores prácticas en la seguridad en acceso a los datos
La información se ve sujeta diariamente amúltiples riesgos o vulnerabilidades: el robode propiedad intelectual, ramsonware, ciber-terrorismo, disrupción del servicio, multas porinfracción de la regulación de protección dedatos, impacto en la reputación, etc.; lo quehace necesario proteger la información clavede la compañía de estos riesgos.
Se necesitaría elaborar varios documentostécnicos para reflejar todos los aspectos quehay que tener en cuenta para garantizar la se-guridad de los datos. Existen múltiples fuen-tes y publicaciones para profundizar en elmundo de la seguridad de los datos. Y, en es-pecial, cabe mencionar a la ISACA26 como re-ferencia obligada para los auditores de TI.
26. ISACA es el acrónimo de Information Systems Audit and Control Association (Asociación de Auditoría y Control deSistemas de Información). Es una asociación internacional que apoya y patrocina el desarrollo de metodologías y cer-tificaciones para la realización de actividades de auditoría y control en sistemas de información.
37
La seguridad de la información es el conjuntode prácticas para prevenir el acceso, uso, re-velación, disrupción, modificación, inspección,registro o destrucción de la información noautorizados. Dichas prácticas suelen regirsesobre los principios de Confidencialidad, Inte-gridad y Disponibilidad que –según la ISO2700127– se extenderían a los sistemas impli-cados en su tratamiento, dentro de una com-pañía.
El marco de gobierno de acceso al dato queestablezcan las compañías debe asegurar quelas personas adecuadas acceden a la informa-ción adecuada, en el momento adecuado ypor las razones adecuadas. Este marco debe-ría incluir la implementación de los siguientescomponentes clave:
• Un registro completo de todos los sistemas,propietarios, y la criticidad asociada a lacompañía (valor aportado).
• En base a dichos niveles de criticidad, de-terminar el grado de seguridad a aplicar yel conjunto de medidas de seguridad quecumplan con los requisitos definidos.
• Clarificación de la responsabilidad para elcumplimiento de las normas de seguridadrelacionadas con la gestión de accesos.
• Un conjunto estandarizado de procesos yprocedimientos para la gestión de accesosa los sistemas de información que se en-cuentre documentado e implantado. Estedebería incluir una definición de los rolesaceptados y no aceptados, y las combina-ciones de roles para cada sistema.
• Actividades de formación y concienciaciónen una cultura de seguridad del dato.
• Un régimen de aseguramiento aplicado enbase a la criticidad de los sistemas.
Es de vital importancia que se mantenga unadecuado equilibrio entre la protección de laConfidencialidad, Integridad y Disponibilidadde la información y una implementación efi-ciente de la política, sin afectar la productivi-dad de la compañía. El coste de la implanta-ción de los controles debe ser proporcional alriesgo que se quiere mitigar.
Seguridad de lainformación implica
prevenir el acceso, uso,revelación, disrupción,
modificación,inspección, registro o
destrucción noautorizado de la
información.
EL ROL DE AUDITORÍA INTERNAEl conjunto de actividades que se deben de-
sarrollar en este ámbito es muy variado y ex-
cede del objetivo de este documento. No obs-
tante, a continuación se indican algunas de
las actividades susceptibles de llevar a cabo
por Auditoría Interna:
Medidas Técnicas
• Evaluar la efectividad de las soluciones deprevención de pérdida de datos o DLP (Da-
ta Loss Prevention) orientadas a la monito-rización y control.
• Asegurar la eficacia de las medidas de se-guridad en fuentes extraíbles, enfocados agarantizar la seguridad de la informaciónque se transmite entre puntos físicos.
• Asegurar el correcto diseño y efectividad delos controles establecidos en relación con elfuncionamiento de medidas de seguridadconcretas (por ejemplo, cifrado, firewalls,gestión de actualizaciones).
27. ISO 27001: Norma internacional emitida por la Organización Internacional de Normalización (ISO) que describe cómogestionar la seguridad de la información en una empresa. https://www.iso.org/isoiec-27001-information-security.html
38
• Revisión de las medidas de protección dedispositivos y aplicaciones a través de loscuales se puede acceder a grupos de datos,teniendo en cuenta la criticidad de estos.
• Revisión del proceso de gestión de cambiosa programas.
Medidas Organizativas
• Asegurar la adecuación, aprobación y revi-sión periódica de políticas, procedimientosy normativa interna. Verificar que se comu-nica correctamente al conjunto de profesio-nales implicados (incluyendo terceros, siaplica).
• Revisar la adecuada asignación de respon-sabilidades sobre los datos, asegurando laclaridad en cuanto a la propiedad de estos.
• Revisión de la correcta seguridad en los ac-cesos (revisión de usuarios, perfiles y roles,y parámetros de seguridad).
• Asegurar que los procesos de almacena-miento garantizan la confidencialidad delos datos almacenados.
Medidas Jurídicas
• Revisión de contratos realizados con pro-veedores que puedan impactar en la segu-ridad y confidencialidad de los datos, ase-gurando que la compañía establece reque-rimientos adecuados en materia de seguri-dad de los datos tratados de la compañía yde terceros.
• Correcta definición de acuerdos de nivel deservicio con los proveedores o acuerdos deconfidencialidad o no divulgación con losempleados, regulando los aspectos clave eincluyendo sanciones en caso de incumpli-miento.
El coste de laimplantación de loscontroles debe serproporcional al riesgoque se quiere mitigar.
Instituto de Auditores Internos de España
Santa Cruz de Marcenado, 33 · 28015 Madrid · Tel.: 91 593 23 45 · Fax: 91 593 29 32 · www.auditoresinternos.es
Depósito Legal: M-5490-2020
ISBN: 978-84-120500-3-5
Diseño y maquetación: desdecero, estudio gráfico
Impresión: Impresión Artes Gráficas, IAG
Propiedad del Instituto de Auditores Internos de España. Se permite la reproducción total o parcial y la comunicación
pública de la obra, siempre que no sea con finalidades comerciales, y siempre que se reconozca la autoría de la obra
original. No se permite la creación de obras derivadas.
OTRAS PRODUCCIONES DE LA FÁBRICA DE PENSAMIENTO
AUDITORÍA INTERNA DE LA INFORMACIÓN EXTERNALIZADA
Este documento aborda los principales aspectos normativos que deben
considerarse en relación con la gestión y control de la información
externalizada; y recomendaciones relativas al rol que Auditoría Interna
debería desempeñaren las etapas del proceso de externalización, desde la
fase de pre-contratación hasta la finalización de la prestación del servicio.
SUPERVISIÓN DE LA ÉTICA EMPRESARIAL
La ética empresarial es el resultado de las acciones impulsadas por la Alta
Dirección de una organización, siguiendo las directrices de su Consejo de
Administración, para fomentar que empleados y colaboradores actúen
conforme a unos principios éticos que respondan a las expectativas de los
stakeholders.
EVALUACIONES INTERNAS DE CALIDAD DE LA DIRECCIÓN DE AUDITORÍA
INTERNA
La Guía Técnica 3/2017 de la CNMV sobre Comisiones de Auditoría de
Entidades de Interés Público señala que la Comisión de Auditoría debe
supervisar la actividad de Auditoría Interna, para lo que puede tomar como
referencia el Marco Internacional para la Práctica Profesional de la Auditoría
Interna del Instituto de Auditores Internos.
EVALUACIONES INTERNAS DE CALIDAD DE LA DIRECCIÓN DE AUDITORÍA
INTERNA
La Norma 1300 - Programa de Aseguramiento y Mejora de la Calidad, del
Marco Internacional para la Práctica Profesional de la Auditoría Interna
asigna al Director de Auditoría Interna el desarrollo y mantenimiento de un
completo Programa de Aseguramiento y Mejora de la Calidad (PAMC).
A medida que crece el caudal de datos que gestionan las organiza-
ciones, se vuelve crítico contar con una gestión adecuada de los datos.
Y para ello es clave contar con un marco sólido de gobierno del dato.
Este documento aborda tanto los problemas como las mejores prácticas
para definir un buen gobierno del dato. Se analizan a fondo varios
aspectos, desde el ciclo de vida del dato –incluyendo la trazabilidad y
calidad de este– hasta metodologías y normativas aplicables en el
proceso de gobierno del dato. Todo ello desde la perspectiva de
Auditoría Interna.
