Las tecnologías como complemento para las pruebas. (VAR)

Se terminó el mundial y no podemos dejar pasar por el alto lo histórico que ha sido este evento de la mano de la utilización del VAR o la reutilización del chip que garantiza la alerta de gol para el árbitro una vez que el balón cruza completamente la línea de meta(avance del mundial pasado que no podemos dejar de mencionar) dos ejemplos de pruebas, antes de iniciar a detallar el uso del VAR y como estos experimentos tecnológicos disparo el concepto de tecnologías asociado a este evento mundial, pero antes de continuar vamos a aclarar una serie de aspectos:

  • El VAR (Video Assitant Referees – Arbitro asistente de video) es una tecnología que se utiliza desde hace mas de diez años en deportes como el football americano, basquetbol e incluso en el tenis (a diferencia de las otras disciplinas en el tenis se le conoce como ojo de Halcón)
  • El uso de esta tecnología se aprobó para su uso en el mundial el pasado 16 de marzo del presente año en un Consejo de FIFA celebrado en Colombia, esto luego de que la IFAB (Internacional Football Association Board – este organismo actúa como el guardián de las Reglas del Juego asegurando su cumplimiento, estudiándolas y modificándolas en caso de ser necesario.)
  • Para el caso del futbol solo se puede utilizar en cuatro jugadas durante cada partido según corresponda:
    1. Goles o infracciones que conduzcan a gol.
    2. Penaltis o infracciones que conduzcan a penalti.
    3. Tarjetas rojas directas.
    4. Confusión sobre la identidad de un jugador infractor.
  • La cabina de video asistencia no se encontraba en los estadios, esta estaba ubicada en el centro de Moscú en las oficinas del Centro Internacional de Radio y Televisión de Moscú.
  • Para todos los partidos se invirtió en la utilización de 33 cámaras de las cuales 8 tenían la posibilidad de grabar en forma super lenta y otras 4 en forma ultra lenta.

Luego de esos cinco puntos está de más comentar que la decisión final es tomada por el árbitro que esta sobre el terreno de juego con la ayuda de una prueba adicional, esto a pesar de que puede ser cuestionable y en muchos casos se puso en duda sobre la conveniencia de la utilización o no de la tecnología (importante acotar que por más detallado que sea el avance tecnológico siempre que modere el ser humano la seguridad del mismo se puede ver comprometida), el día de hoy no tenemos el filtrado de información (una grabación quizás) que hable sobre lo contrario.

Ahora bien, esta tecnología fue utilizada y aplicada incluso en la Final, lo que hace que sea una final histórica, más allá de que llegara un equipo de un país relativamente pequeño o que por otro lado llegó una selección de un país que ya había logrado ser campeón, pero en esta ocasión tenía una planilla del más del 50% con jugadores emigrantes de los países que en algún momento fueron colonias francesas.

Vamos a repasar los números del mundial donde el VAR fue protagonista:

  • Se cobraron un total de 30 penales que fueron evaluados por el VAR incluso uno en la final donde el árbitro se tomó el tiempo suficiente para evaluar la jugada.
  • Gracias a la ayuda del VAR el jugador más perjudicado por así decirlo fue Neymar Jr, a quien incluso no se le amonesto por fingir una falta que los expertos dicen que en otras circunstancias sin el VAR quizás se puedo haber pitado el penal (partico contra Costa Rica).
  • Se dice que al ser el mundial con menos expulsiones (4 en total) fue gracias a la ayuda del VAR.
  • Al final el VAR se utilizó en más de 350 acciones, donde solo en la primera fase se logró identificar 335 acciones donde se utilizó de esta tecnología. Según datos de la FIFA en la primera fase se logró un porcentaje de decisiones correctas del 99,3% gracias a su ayuda, contra 95% que hubiera habido sin ella.

Como podemos ver tenemos un claro ejemplo en donde actualmente la tecnología es un complemento a los procesos cotidianos en donde nos ayuda a documentar pruebas, si bien es cierto el VAR en el transcurso del mundial se utilizó para la toma de decisiones en el momento del encuentro procurando respaldar a un ser humano que tiene muchos defectos y falencias, de igual forma esto videos donde existen 33 cámaras sirven para documentar pruebas no así como uso de evidencia.

Por otro lado la tecnología va a cambiarlo todo, no es lo mismo evaluar un video con calidad completa de detales en 4k donde la magia de colores impacta a los encargados de evaluar este tipo de pruebas, es importante antes de continuar establecer las diferencias entre el concepto de evidencia vs prueba:

El término “evidencia” no debe utilizarse con el significado de “prueba”, pues no son lo mismo. Evidencia es la ‘categoría absoluta que no admite dudas’ o la ‘certeza clara y manifiesta de la verdad o realidad de algo’: “Ante la evidencia de que mis objeciones anteriores ya no tenían fundamento, preferí renunciar” (Diccionario Panhispánico de Dudas, 2005); mientras que prueba es la ‘forma, argumento, instrumento y otro medio con que se pretende mostrar y hacer patente la verdad o falsedad de algo’ o ‘indicio, señal o muestra que se da de algo’: “El testigo tiene pruebas del delito” (DRAE, 2001).

En síntesis, el uso del video asistencia no es una evidencia, más aun tomando en cuenta que de acuerdo a la interpretación del réferi oficial, termina siendo una prueba de apoyo simplemente.

Como hemos visto, la tecnología corre a un ritmo acelerado se está dando una disrupción tecnológica importante en todos los campos que no podemos dejar de evaluar, no cabe duda que los grandes eventos deportivos facilitan el ingreso y asentamiento de nuevas tecnologías en el mercado, por otro lado para los que estamos involucrados en los procesos de auditoría termina siendo un complemento necesario en el día a día.

Riesgo Reputacional

Retomando el tema que tiempo atrás trate sobre Bases Generales: Riesgos; vamos a recordar la definición de lo que es un riesgo:

Contingencia o proximidad de un daño

Es decir, es aquello que va a afectar de alguna forma el estado normal de las operaciones ya sea de la compañía o institución pública.

Por otro lado analicemos: ¿cuál es el concepto de reputación?

“Opinión o consideración en que se tiene a alguien o algo”

“Prestigio o estima en que son tenidos alguien o algo”  (Fuente: RAE.es).

Cuando hablamos de ese algo nos referiremos a  compañías o instituciones (en adelante compañías) que representamos.

Ahora bien, cuando hablamos de un riesgo Reputacional debemos de pensar en aquella posibilidad/probabilidad  que un evento X llegue a afectar o dañar la imagen de la compañía.

Un reconocido autor e inversionista en una de sus ponencias una vez comento:

“Tomamos 20 años en construir la reputación, y tan solo 5 minutos para destruirla” Warren Buffet.

Es entonces cuando debemos de profundizar en la importancia del Riesgo Reputacional, partiendo de la pregunta ¿Qué es la reputación corporativa?:

Partiendo de la anterior afirmación, podríamos decir entonces que la reputación corporativa es aquella que se ha venido trabajando a lo largo del tiempo, en donde la visión que se tenía sobre el negocio se materializa de la mano de la misión, siendo los clientes o grupos de interés (stakeholders) internos o externos los que ayudan a construirla.

Podemos pensar que la reputación va de la mano de tres factores claves: la imagen de la compañía, la comunicación y por último los stakeholders.

Stakeholders: se refiere a los grupos de interés para una compañía. El término Stakeholder lo describió R. Edward Freeman en su libro “Strategic Management: A Stakeholder Approach”, publicado en 1984 y lo definió como todas aquellas personas o entidades que pueden afectar o son afectados por las actividades de una empresa

Los stakeholders pueden ser tanto externos como internos, ya que los colaboradores son los abanderados de las compañías y como tales son los primeros promotores de estas.

Los tres factores claves que ya fueron definidos podemos ir evaluándolos desde diferentes áreas, por ejemplo si pensamos en Recursos Humanos (departamento de gestión y desarrollo humano en algunas instituciones) va a ser el encargado del Clima Organizacional, las encuestas de satisfacción y mediciones de conductas;  por otro lado toda compañía debe de tener un área o persona encargada de la ética en cuyo caso deben de trabajar los códigos de conductas, políticas verdes, reportes de sostenibilidad entre otros aspectos (de no existir un comité de ética debemos de buscar quienes son los encargados de estos aspectos). También,  cuando hablamos de reputación (stakeholders externos) debemos de considerar monitorear las redes sociales, páginas webs de interacción social y los canales virtuales de interacción de la empresa.

¿Entonces de quien es la responsabilidad de vigilar que no se materialice este riesgo?

El riesgo Reputacional viene a ser responsabilidad de varios actores dentro de las organizaciones, todos los que día a día vigilan que los procesos sean ejecutados de buena forma. Para administrar el riesgo Reputacional es esencial conocer las expectativas de los stakeholders, de igual forma darle seguimiento a los cambios que pueden surgir de dichas expectativas.

Volviendo al concepto de los stakeholders, existe una técnica de evaluación y monitoreo de estos agentes, se le conoce como el Mapa de stakeholders, mismo que va a contener la información de los grupos relevantes de afectación Reputacional para la compañía. Este mapa debe de contener las siguientes características:

  • Nombres
  • Priorización
  • Dimensiones de la reputación
  • Canales de contacto
  • Motivadores
  • Capacidad de oportunidad

De la web adjunto los siguientes dos ejemplo:

Fuente: https://calidadparapymes.com/definiendo-las-partes-interesadas-en-iso-90012015/

Fuente: http://compartiendoexperienciauniversitaria.blogspot.com/2011/11/quienes-son-los-stakeholders-de-una.html

Labor de la Auditoría en el tema del Riesgo Reputacional:

Como auditores somos parte fundamental de las organizaciones, formando parte de los escuchas que tienen las organizaciones, nos toca evaluar las gestiones necesarias que se llevan a cabo para prevenir la materialización de este riesgo; cómo se logra esto:

Primero se debe de tener claro los elementos internos de la organización: estrategia, perfil financiero, vulnerabilidades, posicionamiento y competitividad, competencias del personal, regulaciones en general; todo esto visto desde un punto de vista informativo por medio de las opiniones, documentos, entrevistas e incluso estudios ya realizados.

Segundo análisis de resultados con respecto a los stakeholders, con el fin de cuantificar sus expectativas; con la ayuda de una serie de técnicas para lograr un análisis horizontal donde se identifican y descomponen las amenazas así como sus expectativas buscando determinar factores de riesgo Reputacional.

Tercero y quizás el más importante: una medición de la gestión proactiva del riesgo Reputacional, donde anticipan las amenazas que afecten la estrategia y las oportunidades de mejora, se da el análisis de las tendencias que pueden derivar en amenazas u oportunidades, y por ultimo ver la acción y conducta corporativa sobre el riesgo Reputacional que aseguren la ejecución exitosa de la estrategia.

Otro aspecto que probablemente, no compete directamente a la auditoria pero si deben de estar monitoreando de forma periódica son los KRRI: identificadores claves de riesgo Reputacional. Que en razón de tiempo son los elementos que nos ayudan a mejorar la gestión del riesgo y evaluación por parte de las auditorías.

Conclusiones:

Como auditores tenemos la labor primordial de hacer evaluaciones constantes de riesgos en toda su gama de conceptos que van a ir surgiendo a lo largo del tiempo caso ejemplo es el riesgo Reputacional, debemos valorar que las organizaciones puedan responder de forma adecuada a las amenazas que surgen en el día a día, esto como bien dice la teoría bajo una gestión continua del riesgo que esté integrada a un sistema específico de valoración con apoyo de un marco normatico.

Evaluación efectiva del sistema de control interno en un ambiente de TI

Meses atrás me dieron la oportunidad de asistir a un curso sobre cómo aplicar una evaluación efectiva del Control Interno para un ambiente de tecnologías de información. En términos generales si tuviera que describirlo con una palabra seria “Provechoso”.

Es mi deber como profesional aprender y procurar compartir dichos conocimientos por lo tanto les voy a comentar un poco sobre las ideas expuestas en el curso:

Iniciamos con una premisa en donde se nos comunico que cien horas no son suficientes para evaluar el un SCI dentro de un entornos de tecnologías de información; tomando en cuenta que debo de explicar:  1- Que es lo que veo yo como auditor,  2- Para compararlo con lo que ven nuestros clientes u empresas para el negocio =>  Es entonces donde este primer análisis nos pide invertir el tiempo suficiente (la cantidad de horas van a depender del tamaño del cliente) para con esto tener un punto de partida en la evaluación.

Dentro del curso se planteo una idea, que mas que idea o consejo debe der ser regla, debería de ser una ley para la evaluación de los SCI en las áreas de TIC, “debemos de partir del estudio de los objetivos operacionales de las empresas/instituciones/ departamentos de TI , una vez que los conocemos y sabemos cuáles son procedemos a planificar nuestros estudios” .

Una vez que se conocen los objetivos de los clientes para cada una de las áreas que se estén auditando, se pasa al siguiente nivel este viene a ser lo que conocemos como procesos. Los procesos debemos de considerarlos dentro de los Cinco Componentes funcionales para el Sistema de Control Interno (Adjunto el link de un breve repaso del SCI que escribí tiempo atrás).

Una vez superado estos temas introductorios la capacitación nos llevo al SCI.

El Sistema de Control Interno, tiene la oportunidad de ajustarse a los diferentes actores/areas dentro de los clientes, partiendo de sus cinco componentes (Ambiente de Control, Valoración de Riegos, Actividades de Control, Información Comunicación y Actividades de monitoreo).

Una vez que conocemos estos cinco componentes de COSO 2013, vamos a trabajar bajo 17 principios que se distribuyen en estos cinco componentes a saber:

Ambiente de Control:

  • Demostrar compromiso con la integridad y valores éticos.
  • Ejercitar responsabilidades de supervisión.
  • Establecer estructura, niveles de autoridad y responsabilidad.
  • Demostrar compromisos con la competencia.
  • Fortalecer la rendición de cuentas.

Valoración de Riesgos:

  • Especificar objetivos alcanzados.
  • Identificar y analizar riesgos.
  • Medir los riesgos de fraude.
  • Identificar y analizar cambios significativos.

Actividades de Control:

  • Seleccionar y desarrollar actividades de control.
  • Seleccionar y desarrollar controles generales sobre tecnología.
  • Implementar políticas y procedimientos.

Información y comunicación:

  • Usar información relevante.
  • Comunicarse internamente.
  • Comunicarse externamente.

Actividades de monitoreo:

  • Realizar evaluaciones periódicas y/o externas.
  • Evaluar y comunicar las deficiencias.

Conforme vamos evaluando los procesos debemos de ubicar los mismos dentro del SCI interno implementado en la empresa, esto de la mano al primer paso en donde nos pide basar nuestros estudios partiendo de los objetivos operacionales y sus procesos asociados.

Se debe de recordar que un SCI es eficaz si reduce en un nivel aceptable los riegos de no cumplir los objetivos basado en alguna de las tres categorías que están dentro del SCI, con esto se debe de buscar:

  • Cada uno de los 5 componentes del SCI están presentes dentro del cliente y funcionando de forma adecuada.
  • Los 5 componentes están funcionando juntos y de forma integrada; con esto se busca la interdependencia basado en interrelaciones y vínculos.

Puedo cerrar con que el curso estuvo muy completo y dio el refrescamiento necesario para como auditores hacer cada día mejor nuestro trabajo.

El curso fue impartido por el CISA Manuel Arauz Montero, que además de ser Auditor en TI es un colega de la carrera, colegiado del CPIC. Don Manuel es consultor bajo la firma T.I. Audiseg.