GTAG Understanding and Auditing Big Data Spanish

Guía Complementaria:
Guía de Auditoría de
Tecnología Global
Comprender y Auditar
Big Data
GTAG / Comprender y auditar Auditing Big Data
Contenido
Resumen ejecutivo ................................................................................................................................ 3
Introducción ........................................................................................................................................... 4
Importancia para el negocio ................................................................................................................... 5
Aplicaciones prácticas ....................................................................................................................... 6
Big Data: Conceptos básicos ................................................................................................................. 7
Datos estructurados y no estructurados ............................................................................................. 7
Almacenamiento de datos.................................................................................................................. 8
Las tres V de Big Data ....................................................................................................................... 9
Elementos de programa Big Data ........................................................................................................ 10
Caso de negocio articulado .............................................................................................................. 10
Roles y responsabilidades definidas ................................................................................................ 10
Recursos adecuados ....................................................................................................................... 11
Métricas de desempeño ................................................................................................................... 12
Herramientas y tecnologías ............................................................................................................. 12
Soporte de programa continuo ......................................................................................................... 16
Gobierno de datos ........................................................................................................................... 17
Adopción por parte de los consumidores ......................................................................................... 17
Analítica e informes ......................................................................................................................... 18
Procesos homogéneos .................................................................................................................... 19
Riesgos clave ...................................................................................................................................... 20
Rol de auditoría interna en Big Data .................................................................................................... 23
Apéndice A. Normas clave del IIA ....................................................................................................... 25
Apéndice B. Guías relacionadas ......................................................................................................... 29
Apéndice C. Glosario .......................................................................................................................... 30
Apéndice D. Planificar un trabajo de auditoría Big Data ...................................................................... 34
Riesgos y desafíos Big Data ............................................................................................................ 34
Planificación del trabajo ................................................................................................................... 34
Objetivo del trabajo .......................................................................................................................... 35
Alcance del trabajo y asignación de recursos .................................................................................. 35
Programa de trabajo ........................................................................................................................ 35
Contribuyentes .................................................................................................................................... 48
Acerca de la Guía Complementaria ....................................................................................................... 49
2
Resumen ejecutivo
Big data es un término popular que se usa para describir el crecimiento exponencial y la
disponibilidad de datos creados por personas, aplicaciones y máquinas inteligentes. El término
también se utiliza para describir conjuntos de datos grandes y complejos que van más allá de las
capacidades de las aplicaciones tradicionales de procesamiento de datos. Debido a la
proliferación de datos estructurados y no estructurados, sumada a los avances técnicos en
almacenamiento, potencia de procesamiento y herramientas analíticas, Big Data se ha convertido
en una ventaja competitiva para organizaciones líderes que la usan para obtener conocimientos
acerca de las oportunidades de negocio e impulsar las estrategias comerciales. Sin embargo,
también deben considerarse los desafíos y riesgos asociados a Big Data.
Incremento de la demanda, marcos de trabajo inmaduros, riesgos y oportunidades

emergentes que no son cabalmente comprendidos o sistemáticamente administrados por las
organizaciones han creado la necesidad de mayor orientación en esta área. Los auditores
internos, en particular, deben desarrollar nuevos conjuntos de habilidades y conocer los
principios de Big Data para dar aseguramiento eficaz de que se aborden los riesgos y se
obtengan los beneficios.
Los riesgos relacionados con Big Data incluyen mala calidad de datos, tecnología inadecuada,
seguridad insuficiente y prácticas inmaduras de gobierno de datos. Los auditores internos que
trabajan con Big Data deben interactuar con el director de sistemas de información (CIO) y
otros líderes clave de la organización para comprender mejor los riesgos de recopilación,
almacenamiento, análisis, seguridad y privacidad de datos.
En esta guía, se ofrece un panorama de Big Data: su valor, componentes, estrategias,

consideraciones de implementación, gobierno de datos, uso e informes, así como algunos de
los riesgos y desafíos relacionados. Además, se explican los roles y las responsabilidades de
los auditores internos al realizar procedimientos de aseguramiento o asesoría en relación con
iniciativas Big Data.
3
Introducción
La finalidad de esta guía es asistir a los auditores internos para que alcancen el conocimiento
necesario que respalde sus servicios de asesoría y aseguramiento en el campo de Big Data,
de acuerdo con la Norma 1210, Aptitud, y la Norma 2201, Consideraciones de Planificación.
Este documento proporciona una visión general de Big Data para ayudar al lector a
comprender los conceptos relacionados y cómo alinear las actividades de auditoría interna de
modo de apoyar las iniciativas Big Data de la organización. Además, esta guía incluye un
marco de riesgos clave, desafíos y ejemplos de controles que deben considerarse al planificar
una auditoría de Big Data (ver la Norma 2100, Naturaleza del Trabajo).
La orientación que aquí se presenta no aborda el rol de la actividad de auditoría interna en el

consumo de Big Data o en la ejecución de su propio análisis para apoyar las actividades de
auditoría y asesoría (ver información adicional en “GTAG: Tecnologías de Análisis de Datos”).
Esta guía no incluye controles técnicos específicos ni programas de trabajo para dar cobertura
de auditoría de tecnología Big Data, ya que ellos dependerán de cada organización y de los
sistemas específicos de Big Data que se utilicen.
Los auditores internos deben complementar esta GTAG con otras GTAG y programas de
trabajo técnico para llegar al modelo de cobertura Big Data más efectivo para la organización.
4
Importancia para el negocio

Analizar datos para crear valor comercial no es un concepto nuevo; sin embargo, cada vez es
más importante interpretar los datos más rápidamente y basar las decisiones comerciales en
los conocimientos resultantes. Las organizaciones que adquieren y aprovechan Big Data de
forma efectiva pueden capitalizar más rápidamente las tendencias de negocios emergentes,
los cambios en las demandas de los clientes y las oportunidades de eficiencia operativa. Esto
finalmente incrementa la oportunidad de mejorar la satisfacción del cliente y maximizar el éxito
de la organización.
De acuerdo con ISACA (Big Data: Impacts and Benefits White Paper, marzo de 2013), "las
empresas que dominan la disciplina emergente de la gestión de Big Data pueden obtener
importantes recompensas y diferenciarse de sus competidores".
Algunos ejemplos de beneficios de negocio de Big Data incluyen:
 Ventaja competitiva
 Mayores ingresos
 Innovación y desarrollo más acelerado de productos
 Predicción de demanda de mercado
 Decisiones de negocio bien informadas
 Eficiencia operativa
De hecho, se pueden obtener beneficios significativos de los programas de Big Data si se

ejecutan correctamente y están bien controlados. Estos programas ayudan en la
consolidación y el consumo de grandes volúmenes de datos estructurados y no estructurados,
brindando la oportunidad de análisis únicos y perspectivas oportunas. (Anteriormente, esto no
era posible o llevaba días o semanas). Al utilizar conocimientos obtenidos a partir de Big Data,
la organización puede tomar mejores decisiones, dirigirse a nuevos clientes de forma creativa
y diferenciadora, atender a los clientes existentes con un objetivo y modelo de entrega
mejorado único para el individuo, y ofrecer nuevos servicios y capacidades que realmente
distinguen a la compañía de sus competidores. Las organizaciones que aprovechan las
oportunidades de Big Data pueden desarrollar una ventaja competitiva duradera.
Además, los esfuerzos Big Data pueden mejorar la transparencia de una organización,
mejorar el análisis de gestión y los informes, y reducir los costos en apoyo de los programas
de mejora continua. A medida que los datos se centralizan y se consolidan para los esfuerzos
estratégicos de Big Data, se reduce sustancialmente el costo de realizar análisis
incrementales utilizando estos datos, de modo que toda la organización puede beneficiarse de
estas iniciativas.
5
Sin embargo, para aprovechar al máximo los beneficios del negocio de Big Data, las
organizaciones deben invertir en la creación del entorno apropiado, contratar y retener a
personas calificadas, definir e implementar procesos repetibles y desplegar tecnologías
adecuadas.
Aplicaciones prácticas
Todos los días, las organizaciones introducen formas creativas e innovadoras de usar Big
Data. Las aplicaciones prácticas de Big Data se pueden encontrar en organizaciones
minoristas, públicas, privadas y sin fines de lucro, entre otras.
Minoristas ‒ Los minoristas están creando sofisticados perfiles de clientes basados en el

historial de compras, la navegación en línea, los comentarios de los productos, la ubicación
geográfica y los datos demográficos para crear una experiencia de compra basada en datos.
Los vendedores pueden acceder a la información sobre las compras anteriores de un cliente
para ofrecer un servicio personalizado y hacer recomendaciones basadas en el perfil del
cliente y las publicaciones en las redes sociales, combinado con los últimos datos sobre
tendencias de la moda. Si al cliente le gusta una prenda que no está disponible en la tienda en
su color o tamaño preferido, el vendedor puede usar un dispositivo inteligente para determinar
instantáneamente si el producto está disponible en otra tienda o encargarla para que se envíe
a la casa del cliente.
Otro ejemplo de minoristas que usan Big Data para mejorar el servicio al cliente es el análisis
de las direcciones de origen y los datos demográficos de los clientes actuales y potenciales
para identificar la ubicación ideal para una nueva tienda.
Gobiernos ‒ Los gobiernos municipales pueden recopilar datos sobre la congestión del
tránsito utilizando múltiples fuentes (por ejemplo, sensores alrededor de la ciudad, autobuses
y taxis) y analizar los datos para identificar patrones. El análisis del tránsito puede usarse para
determinar las necesidades de expansión del transporte público o las carreteras, o para crear
sitios web que ofrezcan información de tránsito en tiempo real a los suscriptores, lo que puede
ayudarlos a determinar el itinerario de viaje más corto, evitar embotellamientos y estimar los
tiempos de llegada.
Instituciones Financieras ‒ Las instituciones financieras pueden pronosticar tendencias, modelar

opciones y predecir resultados para aumentar su base de clientes y mejorar la lealtad de los
clientes. Por ejemplo, las instituciones financieras pueden proporcionar servicios más
personalizados y productos a medida que usan la historia transaccional y datos demográficos
para determinar el precio correcto y las estrategias financieras para un individuo.
Big Data permite a las organizaciones recopilar datos de fuentes externas. Por ejemplo, un banco
puede recabar información de las redes sociales para identificar a los clientes que pueden estar
insatisfechos con otra institución financiera y que pueden estar buscando un nuevo proveedor de
6
servicios. Esta información se puede utilizar para crear mensajes de marketing específicos para
atraer a los clientes insatisfechos y ofrecer productos y servicios personalizados.
Big Data: Conceptos básicos

Big Data se genera dentro de las organizaciones (por ejemplo, datos de transacciones, quejas
de clientes), industrias (por ejemplo, tasas de adopción de clientes por tipo de producto),
sociedades (por ejemplo, cámaras de tránsito, datos económicos), naturaleza (por ejemplo,
tamaño, ubicación y frecuencia de terremotos) y muchas otras fuentes. En algunos casos, las
organizaciones deben comprar datos de fuentes externas; en otros casos, los conjuntos de
datos están disponibles para uso gratuito. Algunos ejemplos de fuentes de Big Data se
describen en la Figura 1.
Figura 1—Ejemplos de fuentes Big Data
Datos estructurados y no estructurados
Históricamente, la mayoría de los datos almacenados en las organizaciones eran estructurados y

se mantenían en bases de datos relacionales, o incluso heredadas jerárquicas o de archivo plano.
Los datos estructurados están organizados y permiten consultas repetibles, ya que gran parte de
los datos se mantienen en tablas relacionales. Suelen ser más fáciles de controlar que los datos
no estructurados, debido a que su propietario se encuentra definido y se dispone de soluciones de
bases de datos compatibles con el proveedor.
7
Sin embargo, dentro de las organizaciones está creciendo y es cada vez más común el uso de
datos no estructurados. Este tipo de datos no se limita a estructuras o restricciones de datos
tradicionales. Por lo general, son más difíciles de administrar, debido a su naturaleza cambiante e
impredecible, y generalmente provienen de fuentes de datos grandes, dispares y a menudo
externas. En consecuencia, se han desarrollado nuevas soluciones para gestionar y analizar este
tipo de datos. En el diagrama de la Figura 2 se muestra la diferencia entre datos estructurados y
no estructurados.
Figura 2—Ejemplos de datos estructurados y no estructurados

Datos estructurados | Datos estructurados
Almacenamiento de datos
Un gran repositorio de datos corporativos diseñado específicamente para análisis e informes se

conoce como data warehouse o almacén de datos. Los data warehouse suelen ser bases de datos
relacionales que almacenan información de múltiples fuentes. Los datos se cargan desde sistemas
operativos que contienen datos transaccionales a data warehouse, que almacenan información
completa sobre uno o más temas. Las herramientas ETL (extraer, transformar y cargar) o ELT
(extraer, cargar y transformar) están configuradas para mover datos del sistema aplicativo al data
warehouse. Los datos se cargan en el formato y la estructura del data warehouse, que a menudo
es agregada.
Los data lakes se están convirtiendo en una solución cada vez más popular para dar soporte al
almacenamiento de datos grandes y el descubrimiento de datos. Los data lakes son similares a los
data warehouses porque almacenan grandes cantidades de datos de diversas fuentes, pero
también almacenan atributos de datos adicionales de los sistemas fuente a un nivel de
granularidad que normalmente se perdería en la agregación de datos para almacenes de datos.
Esto proporciona soluciones de Big Data con todos los elementos de datos disponibles en un nivel
suficiente de granularidad para realizar un análisis completo. Asimismo, ofrece a las
8
organizaciones la flexibilidad para resolver problemas imprevistos, ya que mantiene todos los
datos en un formato fácilmente disponible.
Las tres V de Big Data
Las dimensiones o características más comunes de la administración de Big Data son volumen,
velocidad y variedad (las 3 V), pero dado que los sistemas se vuelven más eficientes y la
necesidad de procesar datos más rápidamente aumenta, las dimensiones originales de
administración de datos se expandieron para incluir otras características únicas de Big Data. De
hecho, Mark van Rijmenam propuso cuatro dimensiones adicionales en su publicación de agosto
de 2013 titulada "Por qué las 3V no son suficientes para describir Big Data".1 Las dimensiones
adicionales son veracidad, variabilidad, visualización y valor. La Figura 3 ilustra el "Conjunto
expandido de V de Big Data".
Figura 3—Ampliación de las Vs de Big Data
1
https://datafloq.com/read/3vs-sufficient-describe-big-data/166
9
Elementos del programa Big Data

A menudo el consejo y/o los miembros de la alta dirección solicitan a auditoría interna que
proporcione conocimiento y perspectivas sobre programas de Big Data conforme se
implementan (ver la Norma 2010.C1). Para interactuar eficazmente con la dirección y evaluar
programas de Big Data, los auditores internos deben comprender los diversos componentes que
integran dicho programa, así como los roles y las responsabilidades relacionados (ver la Norma
2100, Naturaleza del Trabajo, la Norma 2200, Planificación del Trabajo, y la Norma 2201,
Consideraciones de Planificación, así como sus Guías de Implementación respectivas).
Conforme los programas de Big Data se implementan y modifican a lo largo del tiempo, los
auditores internos deben seguir comprometidos y monitorear estos esfuerzos, de acuerdo con la
Norma 2010, Planificación, y la Norma 2030, Gestión de recursos. Al hacerlo, los auditores
internos deben mantener los conocimientos y las habilidades necesarias y modificar
dinámicamente su evaluación de riesgos y el modelo de cobertura de auditoría para dar cuenta
de los cambios (ver la Norma 1210, Aptitud). Big Data evoluciona rápidamente y continuará
presentando riesgos y oportunidades para las organizaciones y los auditores internos en el
futuro previsible.
Caso de negocio articulado
Para que los programas de Big Data sean exitosos, se debe articular un caso de negocios claro
en alineación con la estrategia de la organización. El programa de Big Data debería tener
objetivos definidos, criterios de éxito y apoyo del nivel ejecutivo. El caso de negocios también
debe incluir un análisis de costo-beneficio de la implementación de un programa tan significativo
en comparación con el uso de herramientas y tecnologías existentes dentro de la empresa.
Un fuerte apoyo organizacional es crucial; sin este apoyo, la inversión sostenida de los recursos
necesarios y la priorización adecuada pueden fallar. El caso de negocios para un programa de
Big Data también debe incluir el apoyo del área de tecnología, con un examen adecuado de las
opciones y los costos presentados, así como una clara responsabilidad por la sostenibilidad de
la implementación del programa. Múltiples organizaciones ahora tienen directores de datos
(CDO), es decir, gerentes senior que se dedican a asegurar que los programas de Big Data
cuenten con el apoyo necesario.
Roles y responsabilidades definidas
Definir claramente los roles y las responsabilidades de los recursos y las funciones clave puede
acelerar y simplificar la implementación y el soporte de los programas de Big Data. Por ejemplo,
si una organización planea realizar análisis sobre las actividades y el comportamiento de los
empleados (como investigaciones de fraude de empleados), puede ser necesario consultar
Recursos Humanos y Legales. El personal de Marketing puede querer impulsar o participar
activamente en el análisis piloto del compromiso del cliente para medir la respuesta de los
clientes. Es posible que TI no pueda respaldar los esfuerzos planificados debido a las prioridades
10
en conflicto. Las funciones de riesgo, seguridad y privacidad pueden querer revisar y evaluar los
controles en el entorno de Big Data.
Si los stakeholders clave y consumidores en las áreas de negocio no se comprometen con sus
responsabilidades en el esfuerzo general, los conocimientos obtenidos de los datos podrían
quedar sin usar durante largos períodos después de implementada la iniciativa de Big Data. Por
lo tanto, antes de hacer una inversión significativa en esfuerzos de Big Data, las organizaciones
deberían involucrar a todos los stakeholders relevantes para asegurarse su apoyo, determinar el
valor, consultar sobre los requisitos, abordar preferencias, medir las posibilidades de promover
los planes a pesar de otras prioridades e impulsar la acción durante y después de la
implementación. Puede ser necesario un análisis formal de stakeholders para identificar a todas
las partes interesadas antes de implementar el programa. La Figura 4 muestra ejemplos de
stakeholders clave que pueden ayudar a impulsar y apoyar los esfuerzos de Big Data.
Figura 4— Ejemplos de stakeholders clave en Big Data
11
Recursos adecuados
Las organizaciones deben tener recursos suficientes para respaldar la implementación de

Big Data, que incluye no solamente los fondos necesarios para comprar equipos para
almacenar datos y procesar grandes y complejos trabajos analíticos. El uso de recursos y /
o soluciones de terceros debe considerarse al construir el enfoque general del programa, ya
que dependiendo del tamaño y la escala planificada del programa de Big Data, la
subcontratación puede brindar opciones más oportunas, escalables y rentables.
El departamento de recursos humanos dentro de las organizaciones a menudo ayuda con

el reclutamiento y selección de personal adecuado para completar los roles de Big Data,
definir la compensación y los beneficios para el personal de Big Data, y asistir a los
programas de capacitación y desarrollo de Big Data. Las organizaciones enfrentan muchos
desafíos al reclutar personal de Big Data, debido a la complejidad técnica de las posiciones
y la escasez de talento en el mercado de trabajo.
Métricas de desempeño
Los criterios de éxito establecidos durante el diseño del programa deben rastrearse a través
de las métricas de desempeño acordadas. Estas métricas deben presentar un equilibrio
entre el rendimiento operacional y organizacional. También deberían proporcionar a la
administración información sobre el costo, el nivel de adopción, la disponibilidad y el uso de
la solución de Big Data en toda la empresa.
La alineación de iniciativas de Big Data o proyectos piloto con métricas de negocio

significativas (por ejemplo, reducción de los costos de adquisición y retención de clientes,
crecimiento en la participación de mercado y mayores tasas de clics) proporciona una
demostración tangible del retorno de la inversión. Sin embargo, también debe hacerse
seguimiento de los beneficios cualitativos, ya que pueden ayudar a demostrar el valor del
programa.
A menudo surgen riesgos cuando las métricas no están diseñadas de manera clara y
completamente en alineación con el caso de negocio. Algunas personas pueden dar una
mayor importancia o asignar mayores fondos a un aspecto del programa de Big Data a
expensas de otros debido a la definición inadecuada de medidas de desempeño o medidas
que pueden servir como un incentivo para la compensación. Por lo tanto, la administración
debe ser extremadamente diligente al establecer los criterios de éxito y definir las métricas
de respaldo de cualquier programa clave, incluidas las iniciativas de Big Data, ya que las
métricas pueden generar un comportamiento apropiado o inapropiado.
Herramientas y tecnologías
Es fundamental para las organizaciones identificar las herramientas y tecnologías más

adecuadas para satisfacer sus necesidades actuales y futuras. Estas herramientas
12
deberían permitir a la organización adquirir, procesar, analizar y usar datos de fuentes que
producen cantidades crecientes de datos estructurados y no estructurados. Por ejemplo, las
herramientas de generación de informes, análisis visuales, monitoreo y automatización de
trabajos pueden mejorar la experiencia del usuario y reducir el tiempo dedicado a mantener
los entornos. El almacenamiento adecuado también es imprescindible, ya que el volumen
de datos puede crecer de manera rápida y significativa a medida que el programa se
expande. Las soluciones tecnológicas deben estar alineadas con los requisitos comerciales
definidos, que dependen de diversas variables, incluidos los usos planificados y futuros de
la organización, el tamaño de la organización y muchos otros factores.
Soluciones de almacenamiento
Históricamente, el reto más importante con la cantidad cada vez mayor de datos ha sido la
creciente necesidad de almacenamiento adicional y suficientes capacidades de respaldo o
backup. Debido a las fuentes adicionales de datos y al aumento del apetito por los datos, la
necesidad de herramientas y tecnologías nuevas y más potentes se ha vuelto vital. Los
datos de nuevas fuentes y datos generados a partir de sistemas en lugar de seres
humanos, han desafiado las tecnologías y herramientas tradicionales al exigir nuevas
capacidades y soluciones para almacenar datos y ponerlos a disposición.
Entornos en la empresa y en la nube
Las plataformas y herramientas disponibles para las organizaciones cambiarán con el
tiempo; sin embargo, las consideraciones clave de tecnología a menudo permanecen
consistentes en todas las soluciones. Por ejemplo, las organizaciones deben elegir entre
entornos de Big Data in situ y basados en la nube y considerar la forma en que integrarán el
desarrollo analítico. Las soluciones in situ requieren una instalación capaz de alojar una
gran cantidad de servidores y un equipo de TI para admitir la infraestructura. La instalación
debe ser lo suficientemente grande como para admitir la escalabilidad a medida que
aumenta el uso de grandes cantidades de datos. La implementación de Big Data basada en
la nube sirve como otra opción que puede ser más rentable y acelerar el tiempo de entrega.
Sin embargo, las soluciones en la nube también exponen a la organización a riesgos
adicionales, que deben evaluarse por completo antes de decidir si usar la nube. Las
soluciones basadas en la nube "Big Data as a Service" (BDaaS) brindan una escalabilidad
total. Las soluciones de BDaaS pueden incluir:
 IaaS — Infrastructure as a service (por ejemplo, hardware, dispositivos de
almacenamiento y componentes de red para Big Data).
 PaaS — Platform as a service (por ejemplo, sistemas operativos, plataformas de
desarrollo y middleware).
 SaaS2 — Software as a service (por ejemplo, aplicaciones para procesar Big Data o
realizar análisis e informes).
2
Por más información sobre computación en nube, ver la publicación especial del National Institute of Standards
and Technology (NIST) SP800-145 “The NIST Definition of Cloud Computing”,
http://dx.doi.org/10.6028/NIST.SP.800-145
13
Las organizaciones pueden elegir un servicio de nube (IaaS, PaaS o SaaS) para
complementar sus sistemas in situ, o integrar los tres servicios de nube para desarrollar la
solución Big Data completa.
Herramientas de descubrimiento de datos
La gran variedad y el volumen de datos disponibles en la actualidad son el resultado de un
almacenamiento exponencialmente más económico y de la recopilación de datos ubicua
que ha venido acompañada del rápido crecimiento de las plataformas de medios sociales,
los sensores y la multimedia. Desafortunadamente, los data warehouses tradicionales y las
soluciones de inteligencia empresarial no se construyeron para cumplir con los requisitos de
grandes volúmenes de datos y se han visto superados por la ola de almacenamiento de
datos y requisitos de procesamiento. En consecuencia, las organizaciones que todavía
usan data warehouses pueden estar operando y tomando decisiones basadas en datos
incompletos.
Hay tres elementos principales para el descubrimiento de Big Data: (1) entender qué datos
están disponibles; (2) adquirirlos; y (3) aprender de ello para desarrollar ideas significativas
que conduzcan a elementos accionables. Las organizaciones se encuentran en diferentes
niveles de madurez en términos de su capacidad para administrar y comprender datos
estructurados internos. Muchas organizaciones luchan de manera significativa con datos no
estructurados o datos fuera de la organización. En la información no estructurada y de
terceros es donde se destacan la tecnología Big Data y las organizaciones con programas
efectivos de Big Data. La identificación y adquisición de estos datos a menudo requiere
pensamiento creativo, desarrollo o configuración de interfaces de programación de
aplicaciones (API) y tarifas potenciales para la suscripción a proveedores de datos. La
adquisición de todos los datos disponibles es un enfoque, pero para organizaciones con
recursos limitados, puede ser mejor comenzar con un piloto de uso específico y hacer
crecer el programa gradualmente.
El procesamiento de datos distribuido3 y machine learning4 mejorado aumentan el valor de Big
Data. Estos avances de computación pueden ayudar a las organizaciones a identificar
patrones no reconocibles por humanos y aplicaciones de menor capacidad. Además, se están
incluyendo nuevas herramientas de visualización de datos como parte de soluciones Big Data
para proporcionar flexibilidad, interacción y capacidades de análisis ad-hoc.
3
El procesamiento de datos distribuidos se refiere a muchas computadoras ubicadas en el mismo lugar o en
lugares diferentes que comparten capacidad de procesamiento para acelerar la computación.
4
Machine learning se refiere a programas de cómputo capaces de aprender algoritmos sin necesidad de
interacción humana para programación.
14
Herramientas de supervisión
Es importante definir los indicadores clave del desempeño (KPI) para los sistemas de Big
Data y análisis durante la implementación, a fin de permitir la supervisión continua de la
producción. Deben usarse herramientas de supervisión para informar sobre el estado de
funcionamiento y de operación del entorno de Big Data y proporcionar la información
necesaria para identificar y mitigar proactivamente los riesgos operativos asociados con Big
Data. Las herramientas de supervisión deberían poder informar anomalías en varios
aspectos de la plataforma de Big Data, así como en el procesamiento de trabajos. Como se
indicó anteriormente, los KPI se deben crear para informar sobre la efectividad y el
rendimiento de los sistemas Big Data.
Adquisición de software
El desarrollo de software o las actividades de compra y personalización para Big Data son
muy diferentes de los sistemas tradicionales. Es posible descargar tecnología relevante de
código abierto en forma gratuita desde muchos sitios. Proveedores de valor agregado
ofrecen distribuciones adicionales de productos con y sin cargo. Aunque pueden ser
atractivas, las distribuciones descargables gratuitas de proveedores de valor agregado no
incluyen productos ni asistencia técnica.
Existen diferencias en las características y la funcionalidad de diversas ofertas de productos
y numerosas personalizaciones de proveedores de diferentes plataformas, lo que dificulta
su comprensión y diferenciación. Los componentes de software de consulta estructurados,
por ejemplo, no forman parte de todas las distribuciones, y algunos proveedores tienen
mejores características de seguridad que otros. Comprender estas diferencias y alinearlas a
los requisitos de un programa Big Data es imprescindible para seleccionar la distribución
apropiada de software. Ya sea que se implemente una solución in situ o basada en la nube,
los departamentos de TI deben evaluar cuidadosamente los requisitos de Big Data y evitar
la compra de software, capacidad de procesamiento y almacenamiento innecesarios.
Aunque el hardware de Big Data está comoditizado para el procesamiento distribuido, la
complejidad del software subyacente aumenta la importancia del diseño de la solución y la
fase de desarrollo. Las plataformas de Big Data casi siempre tienen módulos de software
adicionales instalados junto a ellas. Estos módulos de software adicionales proporcionan
funciones ampliadas sobre cómo administrar, interactuar y analizar datos, y cómo presentar
los resultados. Cada vez más, los programas de Big Data tienen un software de
visualización de datos especializado para presentar los resultados en paneles o
dashboards.
Los proveedores de Big Data han ayudado a las organizaciones a enfrentar el entorno
técnico, el grado de personalización, la abundancia de herramientas de software,
numerosas interfaces de datos y el modelado de datos complejos. Aun así, las
organizaciones tienen el desafío de identificar recursos internos (por ejemplo, gerentes de
programas de Big Data) con el conocimiento suficiente para trabajar y administrar
proveedores de Big Data durante el ciclo de vida de desarrollo. A menudo, se contratan
científicos de datos para ayudar a desarrollar los modelos analíticos.
15
Soporte de programa continuo
Las soluciones de Big Data no están diseñadas para ser construidas y permanecer
estáticas, ni tampoco deben tener una sobrecarga de producción significativa. Aun así,
como ocurre con muchas tecnologías de código abierto, el rápido ritmo de cambio en el
entorno de Big Data crea desafíos que a menudo superan la capacidad de los arquitectos
de Big Data para mantenerse al día con docenas de nuevas herramientas, plug-ins y
versiones actualizadas de productos.
Como resultado, es necesario contar con el apoyo permanente de recursos internos o
proveedores para garantizar el éxito continuo del programa. Este soporte continuo incluye
operaciones de TI tradicionales, como planificación de capacidad (es decir, flexibilidad de
escala), supervisión de producción y planificación de recuperación ante desastres. Además,
hay fuentes de datos internas y externas que se agregan, eliminan o modifican
consistentemente. El soporte de infraestructuras de almacenamiento de datos y las
integraciones de datos relacionadas deben evaluarse y alinearse con estas actividades.
También se aplican las prácticas de cambio de aplicaciones y gestión de parches (ver
"GTAG: Controles de Gestión de Cambios y Parches: Críticos para el Éxito de la
Organización, 2da Edición"). Finalmente, los propios modelos analíticos deben ser
supervisados y mantenidos.
16
Gobierno de datos
La adopción de Big Data en una organización requiere un gobierno de datos fortalecido para
garantizar que la información siga siendo precisa, consistente y accesible. Hay varias áreas clave
en las que la administración de datos para Big Data es crítica; estos incluyen administración de
metadatos (es decir, datos sobre datos), seguridad, privacidad, integración de datos, calidad de
datos y administración de datos maestros. Las actividades clave de gobierno de datos tradicionales
para abordar estas áreas incluyen la identificación de propietarios de datos, consumidores,
elementos críticos de datos (CDE), requisitos especiales de manejo, linaje, datos maestros y
fuentes de datos autorizadas. Las organizaciones deben implementar los controles adecuados para
garantizar que todas las dimensiones de calidad de datos necesarias (por ejemplo, integridad,
validez, unicidad) se mantengan adecuadamente y que dichos controles protejan los CDE de la
misma manera. Algunos ejemplos de procesos de control relacionados con la calidad de los datos y
la protección de CDE incluyen identificación de defectos de datos y prevención de pérdida / fuga de
datos (DLP).
La diferencia clave entre el gobierno de datos en un contexto de Big Data y los programas de
gobierno de datos tradicionales se relaciona con la agilidad que las organizaciones deben tener a
lo largo del ciclo de vida de los datos para cumplir con las demandas de análisis. Los riesgos
asociados con la necesidad de agilidad de las organizaciones se combinan con las características
o requisitos comerciales para cada conjunto de datos, incluidos los de privacidad y seguridad, y las
características únicas que pueden requerirse para operaciones comerciales particulares.
Los propietarios de los datos deben asumir la responsabilidad de la calidad y seguridad de sus
datos, con un mayor enfoque en los elementos de datos más riesgosos. Los elementos más
riesgosos deben determinarse según los resultados de un proceso de evaluación de riesgos, que
pueden ser liderados por los propietarios de los datos u otras funciones dentro de la organización
(por ejemplo, seguridad de la información). Los propietarios de los datos deben asegurarse de que
los sistemas de registro estén definidos adecuadamente y que los procesos para actualizar los
CDE sean claros. Esto debería incluir la identificación de fuentes de datos autorizadas (es decir,
aquellas que definen qué datos del sistema tienen prioridad cuando los elementos de datos varían
o entran en conflicto entre dos o más sistemas). Algunas organizaciones han asignado
"administradores de datos" para ayudar en este y otros esfuerzos de gobierno de datos.
En última instancia, el objetivo es que las organizaciones puedan manejar información

rápidamente, al tiempo que mantienen una alta calidad y seguridad. Esto requiere una gestión ágil
de los datos, lo que garantiza controles apropiados para respaldar la sostenibilidad y la propuesta
de valor de estos programas.
Adopción por parte de los consumidores
El análisis de Big Data puede implementarse para el uso interno de una organización (por
ejemplo, para impulsar decisiones comerciales relacionadas con operaciones, marketing,
recursos humanos o TI) o para satisfacer las necesidades del cliente (por ejemplo, analizar el
17
comportamiento de compra pasado de los clientes puede permitir a las organizaciones

recomendar nuevos productos o servicios la próxima vez que los clientes visiten el sitio web
de la organización). En cualquier caso, el objetivo de cualquier solución analítica de Big Data
debería ser proporcionar información significativa para consumidores de datos internos (es
decir, empleados) y consumidores de datos externos (es decir, clientes o proveedores), y para
mejorar los procesos de toma de decisiones. Las soluciones de Big Data que generan valor
impulsarán una adopción sostenida dentro de la organización.
Al igual que con otros proyectos de TI, este proceso debe comenzar con la recopilación de
requisitos integrales para comprender las preguntas que el consumidor intenta responder o los
problemas que el consumidor intenta predecir. Involucrar a los consumidores internos en el
proceso de diseño y prueba les ayuda a desarrollar un sentido de propiedad en la solución.
Cualquier retroalimentación posterior a la implementación debe abordarse con prontitud para
mantener e incrementar la adopción. Las organizaciones también deben planificar campañas
de marketing y capacitación para compartir historias de éxito y educar a los consumidores
internos sobre el potencial del análisis de Big Data. Las encuestas a los stakeholders son una
herramienta eficaz para obtener feedback y lecciones aprendidas con el fin de mejorar los
procesos de desarrollo para implementaciones posteriores.
Analítica e informes
Los informes deben diseñarse con una flexibilidad adecuada para los parámetros de entrada (por
ejemplo, fechas de inicio y finalización, segmentos de clientes y productos), a fin de permitir que
los consumidores reduzcan o amplíen el enfoque de su análisis. Esta flexibilidad permite a los
consumidores hacer preguntas que podrían no haber sido anticipadas durante la fase de
desarrollo inicial y admite la adopción facultando a los consumidores con capacidades de
autoservicio, lo que ayuda a minimizar el ciclo de vida de desarrollo de informes tradicionalmente
lento y costoso. La granularidad disponible de los datos del informe para respaldar la Norma de
los consumidores o los informes detallados debe equilibrarse con los requisitos del consumidor,
las capacidades de procesamiento y las preocupaciones sobre la privacidad de los datos.
Las herramientas de autoservicio son importantes para actividades en las que intervienen
clientes, proveedores o empleados que necesitan tomar decisiones rápidas. Por ejemplo, un
representante de servicio al cliente puede usar Big Data y una aplicación de informes de
autoservicio para ver el historial de productos y servicios de un cliente en múltiples líneas
organizacionales en una pantalla. Esto reduciría la cantidad de llamadas telefónicas que el cliente
necesitaría hacer para responder consultas sobre productos. Los problemas de privacidad y
seguridad pueden abordarse restringiendo el acceso a campos de datos confidenciales solo a
aquellos consumidores que tienen una necesidad de negocios válida para ver esos campos de
datos.
Muchas personas están familiarizadas con el concepto de análisis predictivo, que intenta explicar
qué ocurrirá a continuación a partir de datos históricos. Por ejemplo, los hospitales utilizan
análisis predictivos para determinar qué pacientes pueden ser readmitidos para recibir
18
tratamiento adicional. Los científicos de datos pueden aplicar algoritmos de análisis de

permanencia del personal para ayudar a los departamentos de recursos humanos a predecir la
insatisfacción de los empleados, y esa información puede usarse para apoyar la gestión de la
fuerza laboral y las actividades de planificación.
Los informes analíticos también pueden estar basados en alertas, para ayudar a los
consumidores a identificar qué acciones son necesarias para abordar una situación particular.
Por ejemplo, las técnicas de análisis de sensibilidad pueden aplicarse para determinar la
satisfacción de un cliente con un producto o servicio, según la información compartida por los
clientes a través de las redes sociales. Altos niveles de satisfacción pueden impulsar nuevas
estrategias de distribución, mientras que niveles bajos de satisfacción pueden requerir
acciones de reparación inmediatas para proteger la lealtad del cliente y la reputación de la
organización.
Otras técnicas analíticas avanzadas, como el análisis de enlaces, pueden ser utilizadas por
auditores internos e investigadores de fraudes para comprender mejor las relaciones entre
empleados, proveedores y clientes, a fin de descubrir el lavado de activos u otros esquemas
de fraude. Los escenarios analíticos son ilimitados y ofrecen amplias oportunidades para
agregar valor al consumidor final a través de varios canales y opciones de informes.
Procesos homogéneos
Los procesos definidos y bien controlados son necesarios para el éxito continuo de un
programa Big Data. Sin procesos definidos y consistentes, los entornos pueden volverse
inestables rápidamente y la confianza en los datos subyacentes puede perderse. Cuando los
informes analíticos diseñados para proporcionar información estratégica utilizan datos
inexactos o incompletos, su valor se ve inmediatamente disminuido. Si no se abordan riesgos
como estos, los programas de Big Data pueden perder rápidamente fondos y ser eliminados.
Por lo tanto, a medida que se desplieguen personas y tecnología, se debe prestar especial
atención a los procesos subyacentes y controles relacionados que respaldan el programa de
Big Data.
19
Riesgos clave
Los riesgos relativos a Big Data pueden deberse a muchos factores, tanto internos como externos
a la organización. Las siguientes categorías representan las principales áreas de riesgo:
 Gobierno del programa
 Disponibilidad y desempeño de la tecnología
 Seguridad y privacidad
 Calidad de datos, gestión e informes
Área Riesgo clave Actividades de control
Gobierno del La falta de  La financiación debe ser adecuada para respaldar

programa soporte las necesidades de negocio.
administrativo,  Los objetivos del programa deben apoyar iniciativas
financiación y / o
gobierno estratégicas de toda la organización.
adecuado sobre  La administración debe recibir métricas que
el programa de demuestren el logro de los objetivos.
Big Data puede  La organización debe establecer una entidad de
exponer a la gobierno para administrar la estrategia de Big Data.
organización a un
 Deben existir acuerdos de nivel de servicio
riesgo
innecesario o al concensuados entre el negocio y el área de TI para
incumplimiento de describir y medir las expectativas de desempeño.
los objetivos  Los requisitos comerciales y técnicos deben
estratégicos. documentarse, analizarse y aprobarse.
 La gerencia ejecutiva debe desarrollar una
estrategia de Big Data que proporcione soluciones
en toda la organización.
 Antes de aprobar el caso de negocio, la gerencia
debe realizar una prueba de concepto para validar
que los diseños de los sistemas están alineados con
los objetivos estratégicos.
 Los roles y responsabilidades deben ser claros y
estar bien definidos.
 La organización debe proporcionar los recursos
necesarios para implementar y mantener la
estrategia de Big Data.
 Deben usarse mejores prácticas de administración
de proveedores para administrar proveedores de Big
20
Data.
 El gobierno de datos debe ser parte de la
gobernanza empresarial general para garantizar que
los objetivos de Big Data estén alineados con los
objetivos estratégicos de la organización (ver Norma
2110 - Gobierno).
Disponibilidad Las soluciones y /  Las operaciones de TI deben estructurarse de una

y desempeño o configuraciones manera compatible con las expectativas de nivel de
de la de tecnología servicio de Big Data.
tecnología ineficaces pueden
 Las políticas y los procedimientos del ciclo de vida
dar como
resultado una de los datos deben documentarse y respetarse.
experiencia  Los sistemas Big Data deben ser parte de la
negativa del estrategia de mantenimiento.
cliente, una  Los sistemas Big Data deben ser parte de la
disponibilidad
estrategia de gestión del cambio.
reducida del
sistema y / o un  Los sistemas Big Data deben incluirse en la
rendimiento estrategia de gestión de parches.
degradado.  Los sistemas Big Data deben adquirirse, construirse
y / o configurarse en alineación con la complejidad y
demandas documentadas en el caso de negocio.
 Los sistemas y las herramientas de soporte deben
configurarse para proporcionar notificaciones
automáticas al personal de asistencia técnica.
 Las herramientas de informes deben configurarse
para ser flexibles, intuitivas y fáciles de usar; y
deben proporcionar ayudas de capacitación.
 Los sistemas Big Data deben configurarse para
permitir flexibilidad y escalabilidad sin sacrificar el
rendimiento.
 Se deben realizar pruebas periódicas del
desempeño y las deficiencias deben remediarse.
 El ciclo de vida de los sistemas Big Data debe ser
administrado adecuadamente.
 Los controles generales de TI deben evaluarse
21
periódicamente.
Seguridad y La ineficacia de  La administración de seguridad de la información

privacidad las normas y debe ser parte de la estrategia de Big Data.
configuraciones  La administración de seguridad de datos debe ser
de seguridad de
la información parte de la estrategia de Big Data.
pueden dar como  El acceso de terceros debe ser administrado
resultado el correctamente.
acceso no  La privacidad de los datos debe ser parte de la
autorizado y el estrategia de Big Data.
robo de datos,
alteración de
datos y
violaciones de
cumplimiento
normativo.
Calidad de Los problemas de  Deben establecerse políticas y procedimientos para
datos, gestión calidad de los garantizar la calidad de los datos.
e informes datos y / o los  Deben establecerse políticas y procedimientos para
informes
inexactos pueden garantizar que los datos obtenidos de terceros
generar informes cumplan con las normas de calidad de los datos.
de gestión  Deben establecerse políticas y procedimientos para
imprecisos y una garantizar la precisión de los informes.
toma de  El acceso a los informes debe otorgarse en función
decisiones
de las necesidades del negocio.
defectuosa.
 Las herramientas y los procedimientos de informes
deben permitir la flexibilidad y los informes ad-hoc.
 Los usuarios deben ser entrenados periódicamente
para maximizar la utilidad de los informes.
 La selección de proveedores que proporcionan
productos y servicios de informes debe alinearse
con las necesidades del negocio.
22
El rol de la auditoría interna en Big Data

La actividad de auditoría interna debe considerar el rol de Big Data dentro de las
organizaciones como parte de la evaluación de riesgos y la planificación de auditorías (ver
Norma 2010, Planificación, y 2010.A1). Si los riesgos son importantes, auditoría interna puede
determinar un plan apropiado para proporcionar cobertura de riesgos y controles Big Data. Al
hacerlo, tiene la oportunidad de educar al consejo sobre las iniciativas Big Data de la
organización, los riesgos y desafíos resultantes, así como oportunidades y beneficios
significativos. Por lo general, auditoría interna proporciona cobertura en el área de Big Data a
través de múltiples auditorías en lugar de una sola auditoría Big Data individual.
A medida que se implementan programas de Big Data, de forma similar a otros programas a
gran escala, la actividad de auditoría interna debe considerar la participación a través de
evaluaciones formales y / o informales. Estos pueden incluir proyectos de asesoramiento,
revisiones previas o posteriores a la implementación y una participación adecuada en los
comités de gobierno y de dirección. Como se señala en Norma 2130, Control, "La actividad de
auditoría interna debe asistir a la organización en el mantenimiento de controles efectivos,
mediante la evaluación de la eficacia y eficiencia de los mismos y promoviendo la mejora
continua". Por lo tanto, la auditoría interna debe evaluar los controles de procesos y
tecnología. La auditoría interna también debe enfocarse significativamente en cómo se
consumen los datos y las acciones que la organización está tomando en base a los resultados
obtenidos del análisis Big Data. Los auditores internos deben desempeñar un papel
fundamental en las iniciativas Big Data de una organización, y este rol puede ajustarse con el
tiempo a medida que las soluciones se implementan, maduran y evolucionan (ver Norma 2201
- Consideraciones de Planificación).
Los auditores internos también pueden aprovechar las soluciones de Big Data en apoyo de
sus esfuerzos de análisis de datos para proyectos de auditoría. Debido a que la organización
ya ha adquirido, consolidado e integrado los datos, la auditoría interna puede obtener
eficiencias significativas mediante el consumo de datos de un data warehouse o data lake, en
lugar de enfocarse en muchos sistemas fuente.
Los programas de auditoría de Big Data variarán según la organización y el uso. El gobierno
del programa es un componente clave de las auditorías de Big Data. Los auditores internos
deben verificar que los Objetivos de un programa Big Data se alineen con la estrategia
comercial de toda la empresa. Además, los auditores internos deben realizar pruebas para
garantizar que el programa Big Data proporcione valor y cuente con el pleno apoyo del
liderazgo apropiado de la organización. Si bien la tecnología específica y el nivel de
proveedores contratados para soluciones Big Data variarán según la organización, los
auditores internos deben garantizar que la confidencialidad, la integridad, la disponibilidad y el
rendimiento de los sistemas Big Data coincidan con los requisitos y las necesidades de
negocio identificadas por la administración.
23
Dado que los sistemas Big Data requieren grandes cantidades de datos para el análisis, los
programas de auditoría deben incluir pasos de prueba para garantizar la calidad, la seguridad
y la privacidad de los datos utilizados para el análisis, así como los resultados analíticos.
Debido a que Big Data consume datos de muchas fuentes diferentes para proporcionar una
visión más completa de un tema, los programas de auditoría deben proporcionar una
seguridad razonable de que los datos están a salvo de modificaciones no autorizadas y solo
pueden ser vistos por personas autorizadas. Los programas de auditoría también deben
probar los controles sobre la calidad de la entrada de datos en el sistema, así como la calidad
de los resultados y los informes del sistema; estos esfuerzos pueden incluir proporcionar una
cobertura de prueba sustantiva sobre la calidad de los datos del sistema clave y la
presentación de informes.
El Apéndice D proporciona un programa de trabajo modelo para ayudar a los auditores

internos a iniciar una revisión de Big Data en su organización. Deberá tenerse en cuenta que
la lista de actividades descritas en el programa de trabajo modelo no es exhaustiva, ya que los
programas de trabajo deben personalizarse para satisfacer las necesidades específicas de
cada organización.
Los sistemas Big Data y los materiales de referencia cambian con frecuencia. Por lo tanto, la
función de auditoría interna debe seguir enfocada en utilizar la orientación más adecuada al
desarrollar y ejecutar planes de auditoría y modelos de cobertura Big Data dentro de cada
organización.
24
Apéndice A. Normas clave del IIA

La siguiente selección de las Normas Internacionales para el Ejercicio Profesional de la
Auditoría Interna (las Normas) resulta pertinente para el campo de Big Data. Es importante
destacar que la información contenida en las Normas se debe complementar con la Guía
de Implementación de la Norma respectiva.
Norma 1210 – Aptitud

Los auditores internos deben reunir los conocimientos, las aptitudes y otras competencias
necesarias para cumplir con sus responsabilidades individuales. La actividad de auditoría
interna, colectivamente, debe reunir u obtener los conocimientos, las aptitudes y otras
competencias necesarias para cumplir con sus responsabilidades.
Interpretación:
La aptitud un término colectivo que se refiere a los conocimientos, las habilidades y otras
competencias requeridas a los auditores internos para llevar a cabo eficazmente sus
responsabilidades profesionales. Incluye la consideración de actividades de actualidad, tendencias y
cuestiones emergentes, para permitir asesoría y recomendaciones relevantes. Se alienta a los
auditores internos a demostrar su aptitud obteniendo certificaciones y cualificaciones profesionales
apropiadas, tales como la designación de auditor interno certificado y otras designaciones ofrecidas
por el Instituto de Auditores Internos y otras organizaciones profesionales apropiadas.
1210.A3 – Los auditores internos deben tener conocimientos suficientes de los

riesgos y controles clave en tecnología de la información y de las técnicas de
auditoría interna disponibles basadas en tecnología que les permitan desempeñar el
trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan
la experiencia de aquel auditor interno cuya responsabilidad fundamental es la
auditoría de tecnología de la información.
Norma 2010 – Planificación
El director ejecutivo de auditoría debe establecer un plan basados en los riesgos, a fin de
determinar las prioridades de la actividad de auditoría interna. Dichos planes deberán ser
consistentes con las metas de la organización.
Interpretación:
Para desarrollar un plan basado en riesgos, el director ejecutivo de auditoría consulta con la alta
dirección y el consejo a fin de comprender las estrategias de la organización, sus objetivos de negocio
clave, los riesgos asociados y los procesos de administración de riesgos. El director ejecutivo de
auditoría debe revisar y ajustar el plan, según sea necesario, en respuesta a cambios en los negocios,
los riesgos, las operaciones, los programas, los sistemas y los controles de la organización.
25
2010.A1 – El plan de trabajo de la actividad de auditoría interna debe estar basado en

una evaluación de riesgos documentada, realizada al menos anualmente. En este
proceso, deben tenerse en cuenta los comentarios de la alta dirección y del consejo.
2010-A2 – El director ejecutivo de auditoría debe identificar y considerar las

expectativas de la alta dirección, el consejo y otras partes interesadas a fin de emitir
opiniones de auditoría interna y otras conclusiones.
2010.C1 – El director ejecutivo de auditoría debería considerar la aceptación de

trabajos de consultoría que le sean propuestos, basándose en el potencial del trabajo
para mejorar la gestión de riesgos, añadir valor y mejorar las operaciones de la
organización. Los trabajos aceptados deben ser incluidos en el plan.
Norma 2030 – Administración de Recursos
El director ejecutivo de auditoría debe asegurar que los recursos de auditoría interna sean
apropiados, suficientes y eficazmente asignados para cumplir con el plan aprobado.
Interpretación:
Apropiados se refiere a la mezcla de conocimientos, aptitudes y otras competencias necesarias para
llevar a cabo el plan. Suficientes se refiere a la cantidad de recursos necesarios para cumplir con el
plan. Los recursos están eficazmente asignados cuando se utilizan de forma tal que optimizan el
cumplimiento del plan aprobado.
Norma 2100 – Naturaleza del Trabajo
La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de

gobierno, gestión de riesgos y control de la organización, utilizando un enfoque sistemático,
disciplinado y basado en riesgos. La credibilidad y el valor de la auditoría interna aumentan
cuando los auditores son proactivos y sus evaluaciones ofrecen nuevos conocimientos y
consideran el impacto futuro.
Norma 2110 – Gobierno

La actividad de auditoría interna debe evaluar y hacer las recomendaciones apropiadas
para mejorar el proceso de gobierno en el cumplimiento de los siguientes objetivos:
 promover la ética y los valores apropiados dentro de la organización;
 asegurar la gestión y responsabilidad eficaces en el desempeño de la organización;
 comunicar la información de riesgo y control a las áreas adecuadas de la
organización;
 coordinar las actividades y comunicar la información entre el Consejo de
Administración, los auditores internos y externos, y la dirección.
26
2110.A2 – La actividad de auditoría interna debe evaluar si el gobierno de tecnología

de la información de la organización apoya las estrategias y objetivos de la
organización.
Norma 2130 – Control
La actividad de auditoría interna debe asistir a la organización en el mantenimiento de
controles efectivos, mediante la evaluación de la eficacia y eficiencia de los mismos y
promoviendo la mejora continua.
Norma 2200 – Planificación del trabajo
Los auditores internos deben elaborar y documentar un plan para cada trabajo, que incluya su
alcance, objetivos, tiempo y asignación de recursos. El Plan debe considerar las estrategias,
los objetivos y riesgos relevantes para el trabajo.
Norma 2201 – Consideraciones sobre planificación
Al planificar el trabajo, los auditores internos deben considerar:

 Las estrategias y objetivos de la actividad que está siendo revisada y los medios con
los cuales la actividad controla su desempeño.
 Los riesgos significativos de los objetivos, recursos y operaciones de la actividad y los
medios con los cuales el impacto potencial del riesgo se mantiene a un nivel aceptable.
 La adecuación y eficacia de los procesos de gobierno, gestión de riesgos y control de
la actividad comparados con un enfoque o modelo relevante.
 Las oportunidades de introducir mejoras significativas en los procesos de gobierno,
gestión de riesgos y control de la actividad.
2201.C1 – Los auditores internos deben establecer un acuerdo con los clientes de
trabajos de consultoría, referido a objetivos, alcance, responsabilidades respectivas y
demás expectativas de los clientes. En el caso de trabajos significativos, este acuerdo
debe estar documentado.
Norma 2210 – Objetivos del trabajo
Deben establecerse objetivos para cada trabajo.

2210.A1 – Los auditores internos deben realizar una evaluación preliminar de los
riesgos relevantes para la actividad bajo revisión. Los objetivos del trabajo deben
reflejar los resultados de esta evaluación.
27
2210.A2 – El auditor interno debe considerar la probabilidad de errores, fraude,

incumplimientos y otras exposiciones significativas al elaborar los objetivos del trabajo.
2210.C1 – Los objetivos de los trabajos de consultoría deben considerar los procesos de
gobierno, riesgo y control, hasta el grado de extensión acordado con el cliente
2210.C2 – Los objetivos de los trabajos de consultoría deben ser compatibles con los
valores, las estrategias y los objetivos de la organización.
Norma 2220 – Alcance del trabajo
El alcance establecido debe ser suficiente para alcanzar los objetivos del trabajo.
2220.A1 – El alcance del trabajo debe tener en cuenta los sistemas, registros, personal
y bienes relevantes, incluso aquellos bajo el control de terceros.
Norma 2230 – Asignación de Recursos al Trabajo
Los auditores internos deben determinar los recursos adecuados y suficientes para lograr los
objetivos del trabajo, basándose en una evaluación de la naturaleza y complejidad de cada
trabajo, las restricciones de tiempo y los recursos disponibles.
Interpretación:
“Adecuados” se refiere al equilibrio entre conocimiento, aptitud y otras competencias necesarias para
realizar el trabajo. “Suficientes” se refiere a la cantidad de recursos que se necesitan para realizar el
trabajo con el cuidado profesional adecuado.
Norma 2240 – Programa del Trabajo
Los auditores internos deben preparar y documentar programas que cumplan con los objetivos
del trabajo.
Norma 2310 – Identificación de la Información
Los auditores internos deben identificar información suficiente, fiable, relevante y útil, de
manera tal que les permita alcanzar los objetivos del trabajo.
Interpretación:
La información suficiente está basada en hechos, es adecuada y convincente, de modo que una
persona prudente e informada sacaría las mismas conclusiones que el auditor. La información fiable es
la mejor información que se puede obtener mediante el uso de técnicas de trabajo apropiadas. La
información relevante apoya las observaciones y recomendaciones del trabajo y es compatible con sus
objetivos. La información útil ayuda a la organización a cumplir con sus metas.
28
Apéndice B. Guías relacionadas

GTAG: Auditoría Continua: Coordinación de Auditoría y Supervisión Continua para
Proporcionar Aseguramiento Continuo, 2da Edición
GTAG: Evaluación de Riesgos de Ciberseguridad: Roles de las Tres Líneas de Defensa
GTAG: Auditoría de Controles de Aplicación
GTAG: Controles de Gestión de Cambios y Parches: Críticos para el Éxito de la Organización,

2da Edición
GTAG: Tecnologías de Análisis de Datos
GTAG: Desarrollo del Plan de Auditoría de TI
GTAG: Gestión de Identidad y Acceso
GTAG: Externalización de Auditoría de la Información, 2da Edición
GTAG: Riesgos y Controles de Tecnología de la Información, 2da Edición
Guía de Práctica: Auditoría de Riesgos de Privacidad, 2da Edición
29
Apéndice C. Glosario
Los términos marcados con un asterisco (*) fueron extraídos del Glosario del Marco
Internacional para la Práctica Profesional (MIPP) del IIA, edición 2017.
Añadir / agregar valor*: La actividad de auditoría interna añade valor a la organización (y sus
partes interesadas) cuando proporciona aseguramiento objetivo y relevante, y contribuye a la
eficacia de los procesos de gobierno, gestión de riesgos y control.
Interfaces de programación de aplicaciones (API): Un conjunto de rutinas, protocolos y

herramientas usadas en el desarrollo de software.
Servicios de aseguramiento*: Un examen objetivo de evidencias con el propósito de proveer

una evaluación independiente de los procesos de gestión de riesgos, control y gobierno de
una organización. Por ejemplo: trabajos financieros, de desempeño, de cumplimiento, de
seguridad de sistemas y de debida diligencia.
Fuentes de datos fehacientes (ADS): Fuentes que proporcionan información “oficial” a otros
sistemas.
Consejo*: Cuerpo de gobierno de más alto nivel de una organización (por ejemplo: junta
directiva, consejo supervisor o administradores, patronato, directorio) que tiene la
responsabilidad de dirigir y/o supervisar las actividades y al que la alta dirección rinde
cuentas. Aunque el funcionamiento del Consejo varía entre jurisdicciones y sectores,
generalmente el Consejo incluye a miembros que no son parte de la dirección. Si no existe
Consejo, la palabra “Consejo” se refiere a un grupo o persona encargada del gobierno de la
organización. Además, el “Consejo” en las Normas puede referirse a un comité u otro cuerpo
en el que el órgano de gobierno haya delegado ciertas funciones (por ejemplo, comité de
auditoría).
Director Ejecutivo de Auditoría Interna* – Director ejecutivo de auditoría se refiere a la

función de una persona en un puesto de alta jerarquía responsable de la gestión efectiva de la
actividad de auditoría interna de acuerdo con el estatuto de auditoría interna y los elementos
obligatorios del Marco Internacional para la Práctica Profesional. El director ejecutivo de
auditoría y las personas a su cargo tendrán las certificaciones y cualificación apropiadas. El
nombre del puesto específico y/o las responsabilidades del director ejecutivo de auditoría
pueden variar según la organización.
Director Ejecutivo de Datos (chief data officer, CDO): Cargo de nivel ejecutivo responsable
del gobierno y la gestión de datos en toda la organización.
Servicios de consultoría*: Actividades de asesoramiento y servicios relacionados,

proporcionadas a los clientes, cuya naturaleza y alcance estén acordados con los mismos y
30
estén dirigidos a añadir valor y a mejorar los procesos de gobierno, gestión de riesgos y
control de una organización, sin que el auditor interno asuma responsabilidades de gestión.
Algunos ejemplos son la orientación, el asesoramiento, la facilitación y la formación.
Control*: Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar
los riesgos y aumentar la probabilidad de alcanzar los objetivos y metas establecidos. La
dirección planifica, organiza y dirige la realización de las acciones suficientes para
proporcionar una seguridad razonable de que se alcanzarán los objetivos y metas.
Entorno / Ambiente de control*: Se refiere a la actitud y a las acciones del Consejo y de la

dirección respecto a la importancia del control dentro de la organización. El entorno de control
proporciona disciplina y estructura para la consecución de los objetivos principales del sistema
de control interno. El entorno de control consta de los siguientes elementos:
 Integridad y valores éticos.
 Filosofía de dirección y estilo de gestión.
 Estructura de la organización.
 Asignación de autoridad y responsabilidad.
 Políticas y prácticas de recursos humanos.
 Compromiso de competencia profesional.
Elementos críticos de datos (CDE): Elementos de datos que son críticos para que los
usuarios o sistemas realicen cálculos o lleven a cabo las operaciones comerciales.
Elementos de datos: La menor unidad de datos que transmite información con significado
(por ejemplo, nombre, número de cuenta).
Gobierno de datos: El ejercicio de autoridad, control y toma de decisiones compartida

(planificación, supervisión y cumplimiento) sobre la gestión de los activos de datos. El
gobierno de datos consiste en la planificación y el control general de la administración de
datos.5 El gobierno de datos es necesario para administrar los datos de la mejor manera,
manteniendo la calidad y exactitud.
Linaje de datos: La visualización del procesamiento de datos extremo a extremo. El linaje de

datos documenta la información sobre el origen, la manipulación, el cálculo, la transformación
y el destino final de los datos.
Prevención de pérdida de datos (DLP): El conjunto de controles implementados para

asegurar que los usuarios no envíen información crítica afuera de la organización.
5
The DAMA [Data Management Association International] Guide to the Data Management Body of Knowledge
(DAMA-DMBOK), 1.° edición 2009, p.4
31
Responsable de datos (Data owner): La persona o entidad responsable de resguardar los

datos, realizar la clasificación de datos y otorgar o negar acceso.
Dimensiones de calidad de datos: El Enterprise Data Management Council definió siete

dimensiones clave asociadas a la calidad de datos: integridad, cobertura, conformidad,
consistencia, exactitud, duplicación y oportunidad.6
Objetivos del trabajo*: Declaraciones generales establecidas por los auditores internos que
definen los logros pretendidos del trabajo.
Opinión del trabajo*: La valoración, conclusión, y/u otra descripción de los resultados de un
trabajo de auditoria interna individual, relacionado con aquellos aspectos dentro de los
objetivos y el alcance del trabajo.
Programa de trabajo*: Un documento que consiste en una lista de los procedimientos a

seguir durante un trabajo, diseñado para cumplir con el plan del trabajo.
Proveedor externo de servicios *: Una persona o empresa, ajena a la organización, que

posee conocimientos, técnicas y experiencia especiales en una disciplina en particular.
Extraer, cargar y transformar (Extract, load, and transform, ELT) – El proceso de trasladar
datos del sistema fuente a un data warehouse. ELT se refiere al orden de los pasos: extraer,
cargar y transformar. ELT usa el sistema objetivo para la transformación.
Fraude*: Cualquier acto ilegal caracterizado por engaño, ocultación o violación de confianza.
Estos actos no requieren la aplicación de amenaza de violencia o de fuerza física. Los fraudes
son perpetrados por individuos y por organizaciones para obtener dinero, bienes o servicios,
para evitar pagos o pérdidas de servicios, o para asegurarse ventajas personales o de
negocio.
Gobierno*: La combinación de procesos y estructuras implantados por el Consejo de

Administración para informar, dirigir, gestionar y vigilar las actividades de la organización con
el fin de lograr sus objetivos.
Indicadores clave del desempeño (KPIs): Una medida que determina cuán bien está
desempeñándose un proceso para facilitar que se logre un objetivo definido.
Datos maestros: El conjunto de atributos utilizados para identificar y describir datos.
Analítica predictiva: El proceso de intentar predecir el futuro sobre la base del análisis de
datos de acontecimientos pasados. El proceso puede usar múltiples técnicas para crear
predicciones (por ejemplo, minería de datos, estadísticas, modelado y machine learning).
6
http://www.edmcouncil.org/dataquality
32
ID radiofrecuencia (RFID): Pequeños dispositivos que contienen una antena y usan campos
electromagnéticos para etiquetar y rastrear elementos y transmitir información a dispositivos
capaces de leer sus señales.
Riesgo*: La posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance

de los objetivos. El riesgo se mide en términos de impacto y probabilidad.
Gestión de riesgos*: Un proceso para identificar, evaluar, manejar y controlar

acontecimientos o situaciones potenciales, con el fin de proporcionar un aseguramiento
razonable respecto del alcance de los objetivos de la organización.
Escalabilidad: La capacidad de los sistemas de cambiar su tamaño según las variaciones en

la demanda de procesamiento.
Acuerdo de nivel de servicio (SLA): Un acuerdo documentado entre un proveedor de

productos o servicios y la organización, que describe el cumplimiento mínimo de objetivos, el
mecanismo para medir el desempeño y las consecuencias de no cumplir las metas de
desempeño.
Datos streaming: Información generada en forma continua por miles de fuentes de datos,
que en general los envían en registros de datos simultáneamente.7
Datos estructurados: Históricamente, la mayoría de los datos almacenados dentro de las

organizaciones eran estructurados y se mantenían dentro de bases de datos relacionales, o
incluso bases legacy jerárquicas o de archivo plano. Los datos estructurados están
organizados y permiten consultas repetibles, ya que gran parte de estos datos se mantiene en
tablas relacionales. A menudo, este tipo de información es más fácil de controlar que los datos
no estructurados, debido a su propiedad definida y a soluciones de bases de datos
compatibles con el proveedor.
Sistema de registro (SOR): La fuente fehaciente de un elemento de datos en particular.
Datos no estructurados: Esta información, que está creciendo y volviéndose más común
dentro de las organizaciones, no se limita a las estructuras de datos o las restricciones
tradicionales. Por lo general, es más difícil de administrar, debido a su naturaleza cambiante e
impredecible, y generalmente proviene de fuentes de datos grandes, dispares y a menudo
externas. En consecuencia, se han desarrollado nuevas soluciones para gestionar y analizar
esta información.
7
https://aws.amazon.com/streaming-data/
33
Apéndice D. Planificar un trabajo de auditoría Big Data

Para auditar o brindar servicios de asesoría con éxito a programas Big Data, los auditores
internos deben contar con una comprensión de los riesgos y desafíos relacionados (ver la
Norma 2200, Planificación del Trabajo, y 2201, Consideraciones de Planificación). La
gravedad del riesgo varía según la organización y depende de la intención estratégica y la
implementación operativa de estas iniciativas (ver Norma 2210, Objetivos del Trabajo, y
Norma 2220, Alcance del Trabajo). Las secciones siguientes proporcionan más detalles sobre
áreas de riesgo clave, así como ejemplos de consideraciones de riesgo y control para el uso
en la construcción de un programa de trabajo de auditoría para Big Data (ver Norma 2240,
Programa del Trabajo).
Riesgos y desafíos Big Data
Los beneficios potenciales de la implementación de un programa Big Data entrañan riesgos y

desafíos significativos. La auditoría interna debe ayudar a garantizar que los riesgos de la
organización se identifiquen, entiendan y aborden de manera adecuada. Al administrar los
riesgos de Big Data a niveles aceptables, la administración aumenta la probabilidad de lograr
los objetivos de negocio planificados y de obtener los beneficios potenciales del programa de
Big Data.
Como se describió anteriormente, las principales áreas de riesgo que afectan a Big Data son:
• Gobierno del programa.
• Riesgos de disponibilidad y desempeño de la tecnología.
• Seguridad y privacidad.
• Calidad de datos gestión e informes.
Los programas y entornos Big Data también deben estar sujetos a controles generales de TI.
(Ver “GTAG: Riesgo y Controles de Tecnología de la Información 2da Edición” para
información adicional sobre riesgos y desafíos relacionados con controles generales de TI.)
Planificación del trabajo
La Norma 2200 – Planificación del trabajo – indica que para cada trabajo, los auditores
internos deben desarrollar y documentar un plan, que incluya su alcance, objetivos, tiempo y
asignación de recursos. Una de las cosas más importantes que auditoría interna necesita
determinar al planear el trabajo es si la organización tiene una estructura de gobierno
unificada y cohesiva en marcha, incluso políticas y procedimientos, que proporcionen
orientaciones claras y concisas que puedan distribuirse a toda la organización. Un modelo de
gobierno fuerte proporcionará las políticas, los procesos y las herramientas que se necesitan
para administrar en forma coherente el entorno y controlar los riesgos relacionados con Big
Data, lo cual es esencial para una protección adecuada de la información de la organización.
Si bien múltiples funciones de la organización pueden ser responsables de la estrategia Big
34
Data, la clave a una auditoría exitosa en esta área consiste en identificar un único grupo de
stakeholders clave que puedan proporcionar la información necesaria para minimizar la
disrupción de negocios y optimizar los recursos de negocio y de auditoría.
Objetivo del trabajo
De acuerdo con la Norma 2210 – Objetivos del trabajo— los auditores internos deben
establecer objetivos del trabajo para abordar los riesgos asociados a la actividad en revisión.
Deberá realizarse una evaluación de riesgos para contribuir a la definición de los objetivos
iniciales e identificar otras áreas significativas de preocupación.
El objetivo de auditoría para una auditoría de Big Data puede definirse de diversas maneras,
por ejemplo, puede definirse el objetivo como parte del plan de auditoría anual, o como
resultado de esfuerzos de administración del riesgo empresarial, hallazgos de auditorías
previas, requisitos regulatorios o necesidades de aseguramiento específicas del consejo o el
comité de auditoría.
Alcance del trabajo y asignación de recursos
Una vez identificados los riesgos, deberán determinarse los procedimientos a realizar y el
alcance (naturaleza, tiempo y extensión) del trabajo. Según la Norma 2220.A1, “El alcance del
trabajo debe tener en cuenta los sistemas, registros, personal y bienes relevantes, incluso
aquellos bajo el control de terceros.”
El trabajo de auditoría debe abarcar estrategia y gobierno (que incluye políticas, normas y
procedimientos), concientización de empleados y capacitación. La auditoría interna debe
determinar las habilidades necesarias para completar el trabajo de auditoría y el número total
de recursos requeridos. El personal de auditoría interna debe tener el nivel de especialización,
conocimiento y habilidades necesarias para realizar el trabajo de auditoría, o deberán
utilizarse recursos externos con las competencias requeridas.
Puede ser difícil auditar el programa de Big Data completo. En cambio, el alcance del trabajo
de auditoría puede definirse por unidad de negocio, ubicación, objetivo estratégico o cualquier
otro criterio que sea significativo para la organización.
Programa de trabajo
De acuerdo con la Norma 2240.A1, “Los programas de trabajo deben incluir los
procedimientos para identificar, analizar, evaluar y documentar información durante la tarea.”
A continuación se incluye un modelo de programa de trabajo para Big Data. Los auditores
internos pueden usar este modelo como línea base para crear un programa de auditoría
específico que satisfaga las necesidades de su organización.
35
Objetivo 1: Plan y alcance de la auditoría

Actividades de revisión Comentarios
1.1 Definir los objetivos del trabajo. (Norma 2210)
Los objetivos del trabajo de auditoría/aseguramiento son generales y describen las metas generales de
auditoría.
1.2 Identificar y evaluar riesgos. (Norma 2210.A1)
La evaluación de riesgos es necesario para determinar en qué deben concentrarse los auditores internos.
1.2.1 Identificar los riesgos de negocio asociados con Big Data que son de
interés para los responsables del negocio y los stakeholders clave.
1.2.2 Verificar que los riesgos de negocio estén alineados con los riesgos de TI
que están considerándose.
1.2.3 Evaluar el factor de riesgo general para realizar la revisión.
1.2.4 Sobre la base de la evaluación de riesgos, identificar cambios potenciales

al alcance.
1.2.5 Comentar los riesgos con la dirección y ajustar la evaluación de riesgos.
1.2.6 Sobre la base de la evaluación de riesgos, revisar el alcance.
1.3 Definir el alcance del trabajo. (Norma 2220)

La revisión debe tener un alcance definido. El revisor debe entender la infraestructura, los procesos y las
aplicaciones Big Data y el riesgo relativo para la organización.
1.3.1 Obtener una lista de documentos relacionados con Big Data que puedan
ayudar a definir el alcance. Por ejemplo:
 Lista de ubicaciones que utilizan Big Data.
 Lista de usuarios.
 Lista de informes generados a partir de Big Data.
 Lista de procesos de negocio que dependen de Big Data para la
toma de decisiones estratégicas.
1.3.2 Determinar el alcance de la revisión.
1.4 Definir el éxito de la asignación.

Se deben identificar y acordar los factores de éxito.
1.4.1 Identificar los factores determinantes de una auditoría exitosa.
1.4.2 Comunicar atributos de éxito al responsable del proceso o al stakeholder

clave y obtener su consentimiento.
1.5 Definir los recursos requeridos para llevar a cabo el trabajo de auditoría (Norma 2230)
En la mayoría de las organizaciones, los recursos de auditoría no están disponibles para todos los procesos.
1.5.1 Determinar las habilidades de auditoría/aseguramiento necesarias para la

revisión.
1.5.2 Estimar los recursos totales de auditoría/aseguramiento (horas) y el marco
temporal (fecha de inicio y finalización) requeridos para la revisión.
36
Objetivo 1: Plan y alcance de la auditoría

1.6 Definir entregables. (Norma 2410)
El entregable no se limita al informe final. La comunicación entre los equipos de auditoría/aseguramiento y el
responsable del proceso es esencial para el éxito de la asignación.
1.6.1 Determinar los entregables interinos, incluso los hallazgos iniciales,
informes de avance, informes borrador, plazos para respuestas o
reuniones y el informe final.
1.7 Comunicar el proceso. (Norma 2201)
El proceso de auditoría/aseguramiento debe ser claramente comunicado al cliente.
1.7.1 Realice una reunión de apertura para:

 Comentar el alcance y los objetivos con los stakeholders.
 Obtener documentos y recursos de seguridad de la información
requeridos para realizar eficazmente la revisión.
 Comunicar líneas de tiempo y entregables.
Objetivo 2: Identificar y obtener documentación de respaldo (Norma 2310)

2.1 Revisar las políticas y las normas que rigen Big Data.
2.2 Revisar la documentación de la infraestructura de TI e identificar los

sistemas que dan soporte a Big Data.
2.3 Revisar documentación de diseño de sistemas.
2.4 Revisar el diagrama de interfaces e identificar sistemas que compartan

datos con sistemas Big Data.
2.5 Revisar la lista de usuarios internos y externos.
2.6 Revisar contratos con proveedores de servicio.
2.7 Revisar los acuerdos de nivel de servicio (SLA).
2.8 Revisar métricas de desempeño y planes de remediación.
2.9 Revisar el plan de recuperación de desastres y los resultados de pruebas.
2.10 Revisar el plan de continuidad de negocios y los resultados de pruebas.
Riesgos de gobierno de programa

Para implementar con éxito un programa Big Data, las organizaciones deben contar con un
despliegue y gobierno adecuado de las personas, los procesos y la tecnología necesarios. Sin
un gobierno adecuado del programa, una implementación de Big Data puede exponer a la
organización a riesgos indebidos, que van desde la implementación fallida y la adopción
limitada hasta problemas de seguridad y privacidad. Las organizaciones también enfrentan
37
dificultades en el diseño de métricas para medir el costo y el valor de los programas Big Data.
El liderazgo ejecutivo puede optar por dejar de financiar un programa Big Data si el valor del
programa no se puede demostrar y comunicar adecuadamente.
Encontrar personas competentes y capacitadas para patrocinar, administrar e implementar un

programa Big Data en un panorama tecnológico en constante evolución es un desafío al que
se enfrentan todas las organizaciones. El McKinsey Global Institute predice que pronto habrá
una gran escasez de analistas de datos, así como de gerentes y analistas con la capacidad de
aprovechar Big Data para tomar decisiones efectivas. Las universidades también tienen
dificultades para mantener sus programas de estudio alineados con las necesidades de
negocio que cambian rápidamente, a fin de crear recursos con conjuntos de habilidades
relevantes.
La evolución tecnológica pone un mayor énfasis en las organizaciones para tomar la decisión
correcta sobre si construir o comprar soluciones y servicios Big Data. Las organizaciones que
subcontratan algunos o todos sus servicios Big Data se enfrentan a la gestión de proveedores
externos, la seguridad en la nube y los riesgos de privacidad.
Incluso con personas capacitadas y la tecnología en su lugar, las empresas deben tener
suficientes procesos de administración y gestión de datos para garantizar que las diversas
dimensiones de calidad de datos sean adecuadas para respaldar la toma de decisiones de la
organización. Los datos empresariales a menudo existen en silos, lo que aumenta la complejidad
de identificar e inventariar bases de datos críticas, elementos de datos y linaje de datos.
Objetivo 3: Comprender el gobierno de programas Big Data
Objetivo de control Descripción

3.1 La financiación debe ser Los modelos de financiación se eligen para respaldar el diseño y la
adecuada y acorde a las implementación inicial, actividades continuas (por ejemplo, recursos de
necesidades del negocio. soporte de producción sostenible y mantenimiento de tecnología
durante todo el ciclo de vida) y proyectos recomendados que resultan
de la implementación de un programa de Big Data.
3.2 Los objetivos del programa Los objetivos del programa y el caso de negocios están alineados con
deben apoyar las iniciativas de la estrategia e iniciativas de toda la empresa para garantizar que el
estrategia de toda la empresa. análisis de costo-beneficio respalde la necesidad de establecer un
programa de Big Data.
3.3 La dirección debe recibir Se diseñan, implementan y supervisan métricas tanto cuantitativas
métricas que demuestren el como cualitativas, para demostrar el valor del programa.
logro de objetivos.
3.4 La organización debe Existe una estructura rectora a nivel organizacional para priorizar las
establecer una entidad de actividades de Big Data (por ejemplo, orden de integraciones de
gobierno para administrar la sistemas fuente, selección de analítica, desarrollo de informes) para
estrategia Big Data. abordar las preocupaciones derivadas de las prioridades en conflicto.
3.5 Debe haber SLA acordados Los SLA se diseñan e implementan para asegurar que las expectativas
entre el negocio y el área de TI de los clientes se administren proactivamente (por ejemplo,
38

para describir y medir las disponibilidad de los informes, frecuencia de actualización de datos,
expectativas de desempeño. ventanas de indisponibilidad).
3.6 Los requisitos comerciales y Los requisitos comerciales y técnicos se reúnen y analizan para
técnicos deben documentarse, respaldar la decisión de construir o comprar (por ejemplo, en intervalos
analizarse y aprobarse. o basado en nube) un entorno Big Data y apoyar la selección última de
una solución o un proveedor de servicios de tecnología.
3.7 La dirección ejecutiva debe El programa de Big Data es inclusivo de todas las áreas clave de la
desarrollar una estrategia Big organización para limitar la duplicación de esfuerzos y entornos
Data que proporcione tecnológicos redundantes en la organización.
soluciones en toda la
organización.
3.8 Antes de aprobar el caso de Se seleccionó un proyecto piloto (con oportunidades conocidas y sin
negocio, la dirección debe complejidad significativa), y se identificaron áreas prioritarias para
realizar una prueba de "triunfos" para apoyar aún más la construcción del programa.
concepto para validar que los
diseños de sistemas estén
alineados con los objetivos
estratégicos.
3.9 Los roles y las Se ha identificado un patrocinador ejecutivo, que brinda un fuerte
responsabilidades deben estar apoyo y patrocinio a nivel ejecutivo para el programa de Big Data.
claramente definidos. Se han establecido y definido los roles y las responsabilidades de los
propietarios de los datos, administradores y expertos en la materia.
Se ha documentado y mantenido una matriz de asignación de
responsabilidades (RACI) para las funciones y responsabilidades de la
gestión de datos en toda la empresa.
Se han establecido y definido los roles y las responsabilidades para los
socios comerciales que dependen de las soluciones e informes de Big
Data, incluidos los controles necesarios que estos recursos deben
implementar para consumir con éxito los datos de estos entornos.
3.10 La organización debe La organización identificó y otorgó fondos para posiciones críticas para
proporcionar los recursos apoyar el programa Big Data, y ha introducido talento adecuado en la
necesarios para implementar y organización con las habilidades y la experiencia requerida para que el
mantener la estrategia Big programa sea exitoso. La evaluación de habilidades se vuelve a
Data. realizar periódicamente, según las necesidades cambiantes de la
organización y la tecnología en uso.
3.11 Deben utilizarse prácticas de Los contratos incluyen disposiciones adecuadas sobre seguridad,
administración de terceros disponibilidad, modelos de soporte, precios, etc. El feedback apropiado
proveedores para administrar de socios de las áreas de Legales y de control se incorpora al acuerdo
a proveedores de Big Data. . antes de celebrarlo.
Se supervisan los acuerdos contractuales de proveedores que
hospedan y/o acceden a entornos Big Data. Estos contratos
representan correctamente la escala dinámica del entorno para hacer
lugar una mayor o menor demanda.
Los roles y las responsabilidades de los proveedores se encuentran
documentados y aprobados en un acuerdo marco de servicios.
Los SLA se documentan, aprueban y controlan para asegurar que los
proveedores cumplan con los niveles de desempeño mínimo. Se
39

definen y hacen cumplir penalidades adecuadas cuando estos SLA no
se cumplen. La dirección cuenta con rutinas de gobierno de
proveedores para evaluar formalmente y tomar acción según los
resultados de los SLA.
En el acuerdo y en la evaluación de la solución general se tuvieron en
cuenta consideraciones de transición y terminación (por ejemplo, ¿qué
sucede con los datos cuando el contrato termina? ¿Cuánto llevará
hacer la transición a la analítica crítica para la organización?).
Consultar “GTAG: Externalización de Tecnología de la Información,
2da Edición” para ver información adicional sobre consideraciones de
administración de riesgos de proveedores externos.
3.12 El gobierno de datos debe ser Las políticas de administración de datos y los procedimientos
parte del gobierno de la relacionados (por ejemplo, requisitos de propiedad, para compartir, de
organización. privacidad y de retención, etc.) se encuentran definidos, documentados
y compartidos.
La organización identificó a un director de datos (CDO) o rol
equivalente, con responsabilidad por el gobierno de datos
empresariales.
Se crea y se mantiene un inventario de bases de datos críticos, tablas,
elementos y linaje de datos, y otros metadatos.
Se definen normas de datos empresariales y se comunican a todos los
empleados relevantes, como parte de los requisitos de capacitación
anual.
Se implementan controles de calidad de datos para elementos críticos
de datos, con gobierno adecuado para asegurar la remediación de
problemas de datos encontrados.
Se han identificado sistemas de registro (SOR) y fuentes de datos
autorizadas (ADS) y los datos se concilian correctamente entre SOR y
los data warehouses.
El equipo de administración de datos empresariales hace un
seguimiento y control el cumplimiento con las políticas de gobierno y
administración de datos.
Disponibilidad de tecnología y riesgos de desempeño

Cuando las plataformas Big Data no son escalables para la cantidad creciente de datos
estructurados y no estructurados necesarios para el análisis, puede haber un rendimiento
degradado y resultados analíticos inexactos o inoportunos. A medida que se extraen y se
cargan más datos en los sistemas Big Data, los supuestos del modelo analítico pueden
necesitar una revisión para determinar si el modelo y sus supuestos siguen siendo precisos.
El rendimiento y la disponibilidad de los sistemas Big Data se vuelven cada vez más
importantes a medida que la confianza de la organización en estos sistemas aumenta para la
toma de decisiones clave de ejecutivos y procesos de generación de ingresos. Los sistemas
de Big Data no pueden proporcionar resultados analíticos cuando los sistemas o las fuentes
40
de datos relacionadas no están disponibles. Esto puede afectar negativamente la oportunidad

de las decisiones de gestión, crear una experiencia negativa para el cliente y / o generar
pérdida de ingresos. Las soluciones de alta disponibilidad y / o recuperación de desastres
pueden mitigar el riesgo de tiempo de inactividad del sistema, pero tienen un costo mayor.
Los programas Big Data pueden tener requisitos de almacenamiento y retención de datos
significativamente variables. Ciertos datos de streaming, por ejemplo, tal vez nunca necesiten
ser guardados o respaldados en los sistemas de una organización, pero podrían no ser
recuperables si los datos no son procesados y analizados inmediatamente. Sin embargo,
otras aplicaciones Big Data pueden requerir datos históricos significativos para comprender y
descubrir patrones o comportamientos durante largos períodos de tiempo.
Los data lakes, ya sean internos a la organización o en la nube, también plantean riesgos
significativos. Los data lakes representan una consolidación de datos detallados de muchos
sistemas organizativos diferentes en una ubicación centralizada, que puede servir como un
único punto de exposición de datos. Debido al hecho de que los data lakes aceptan todos y
cada uno de los datos en su formato nativo, es posible que no existan metadatos bien
definidos. Estos escenarios pueden generar confusión sobre el verdadero sistema de registro
de datos autorizados para su uso en análisis.
Las políticas y los procedimientos de respaldo, almacenamiento y retención deben ser

proporcionales a los requisitos de análisis y al valor de los datos para evitar la pérdida de
datos. Los programas para ejecutar tareas de respaldo y analítica de producción deben
configurarse para enviar notificaciones oportunas y automáticas al personal de soporte de
producción con respecto al éxito de la tarea, así como fallas de trabajo por lotes y en tiempo
real. No resolver fallas rápidamente puede ocasionar la pérdida de datos y / o resultados
analíticos inexactos, lo que es especialmente crítico para datos streaming.
Las configuraciones de tecnología ineficaces pueden dar como resultado una experiencia
negativa del cliente, una disponibilidad del sistema reducida y un rendimiento degradado. Las
herramientas de ETL / ELT que no están configuradas adecuadamente pueden dar como
resultado que las plataformas Big Data pierdan volúmenes significativos de datos. El ancho de
banda de la red puede inhibir el movimiento de grandes cantidades de datos cuando las
configuraciones no están optimizadas. Analizar los impactos ascendentes y descendentes de
las actualizaciones y el mantenimiento de la plataforma puede ser un desafío debido a la
rápida evolución de la tecnología de hardware y software Big Data.
Objetivo 4: Comprender riesgos de disponibilidad de tecnología y desempeño

4.1 Las operaciones de TI deben Los modelos de soporte de producción se definen y se acuerdan
41

estructurarse de una manera que con los socios del negocio correspondientes, para garantizar el
apoye las expectativas de tiempo soporte adecuado de la organización (por ejemplo, si se necesita
de producción de Big Data. soporte 24x7, tiempo para responder a problemas o preguntas del
usuario final).
Se implementan soluciones de alta disponibilidad y / o recuperación
de desastres para sistemas Big Data que apoyan las necesidades
de disponibilidad del sistema y minimizan el tiempo de inactividad
en caso de una interrupción.
Existen procedimientos de ejecución, supervisión y recuperación de
copias de seguridad de datos para sistemas Big Data.
Se ha implementado un proceso de soporte de producción
documentado para monitorear trabajos en tiempo real y por lotes,
alertar al personal apropiado y rastrear incidentes y problemas
desde la notificación hasta la resolución.
4.2 Se deben documentar y observar Existen requisitos y procedimientos de almacenamiento y retención
políticas y procedimientos del de datos documentados y en funcionamiento para garantizar el
ciclo de vida de datos. almacenamiento, la retención y la destrucción de datos adecuados.
4.3 Los sistemas Big Data deben TI supervisa y aplica parches a aplicaciones y bases de datos Big
incluirse en la estrategia de Data para garantizar que estén actualizadas y sean compatibles con
gestión de parches. los proveedores.
4.4 Los sistemas Big Data deben Se ha implementado un proceso de actualización y mantenimiento
formar parte de la estrategia de documentado para garantizar que los entornos Big Data se
mantenimiento. actualicen y mantengan de acuerdo con las expectativas de la
compañía y los acuerdos de soporte de proveedores.
4.5 Los sistemas Big Data deben ser De acuerdo con una evaluación documentada, la organización
adquiridos / construidos y implementa un entorno o solución con el hardware y el rendimiento
configurados alineados a la necesarios para cumplir con las necesidades de la organización, en
complejidad y demanda función del tamaño y la complejidad de la analítica prevista.
documentada en el caso de
negocio.
4.6 Deben configurarse herramientas Se configuran herramientas ETL/ELT para dar notificaciones
de soporte y sistemas para automáticas de finalización de tareas y fallas. El área de TI examina
proporcionar notificaciones los conteos de registros y controla los totales de tareas completadas
automáticas al personal de para verificar razonabilidad. Resuelve fallas de tareas con razonable
asistencia técnica. prontitud y documenta la razón y resolución de cada falla.
4.7 Los sistemas Big Data deben ser A medida que se modifican los sistemas upstream y downstream,
parte de la estrategia de gestión los cambios en los feeds de datos impactados se incorporan de
del cambio. forma adecuada en el proyecto para limitar los cortes y / o
problemas de datos en los entornos Big Data.
Antes de actualizar / cambiar las tecnologías Big Data, TI analiza el
impacto en los sistemas de interfaz upstream y downstream para
garantizar el funcionamiento continuo de los sistemas Big Data.
Los requisitos de la capa de red para transmisiones de Big Data se
documentan y analizan para garantizar que los análisis se puedan
transmitir con éxito entre varios dispositivos.
4.8 Las herramientas de informes Las herramientas y tecnologías de informes están adecuadamente
deben configurarse para ser configuradas e integradas con el entorno Big Data para dar soporte
42

flexibles, intuitivas y fáciles de a las necesidades de los usuarios finales. Se proporciona suficiente
usar. Deben proporcionarse capacitación sobre las herramientas para los usuarios finales.
ayudas de capacitación.
4.9 Deben configurarse los sistemas Los sistemas Big Data están diseñados e implementados para
Big Data para permitir flexibilidad permitir escalabilidad, a fin de asegurar que se mantengan los
y escalabilidad sin sacrificar niveles necesarios de transmisión, almacenamiento, disponibilidad y
desempeño. desempeño a medida que aumenta la utilización de sistemas.
4.10 Debe realizarse una evaluación Se realizan pruebas del desempeño se realiza sobre análisis
periódica del desempeño y deben nuevos y modificados, para asegurar que los resultados se
remediarse las debilidades. produzcan dentro de marcos temporales razonables y esperados.
4.11 El ciclo de vida de Big Data debe La dirección continúa reevaluando la solución debido a cambios en
ser administrado correctamente. la industria, tecnología y el panorama externo, para mantener
servicios competitivos y de algo desempeño (por ejemplo, un
cambio de arquitectura recomendado puede mejorar drásticamente
el desempeño sobre la base de nuevos conocimientos disponibles
en la industria).
4.12 El modelo de analítica Big Data El mantenimiento del modelo analítico se realiza en forma regular
debe formar parte de la estrategia para asegurar la exactitud y confiabilidad de analítica Big Data.
de mantenimiento.
4.13 Los controles generales de TI Consultar “GTAG: Riesgo y Controles de Tecnología de la
deben evaluarse periódicamente. Información 2da Edición” para ver más información sobre
consideraciones de controles de acceso, operaciones de TI, ciclo de
vida de desarrollo de sistemas (SDLC) y gestión del cambio. Estos
controles son críticos para el éxito, la sustentabilidad y la seguridad
de los programas Big Data.
Riesgos de seguridad y privacidad

La seguridad y la privacidad son los riesgos que la mayoría de las personas pueden identificar
y comprender fácilmente. Una persona u organización puede obtener una visión increíble de
la vida de una persona combinando información personal con comentarios de redes sociales y
"me gusta", reseñas de productos y servicios publicados públicamente, y el historial de
navegación de Internet capturado a través de cookies web. Las organizaciones se enfrentan a
dificultades para garantizar que todos los datos recopilados se utilicen con fines legítimos y la
organización cumpla con las leyes y normativas. Los clientes pueden sentirse incómodos con
las campañas de marketing personalizadas impulsadas por el análisis de datos personales,
incluso cuando los datos se utilizan por razones comerciales válidas.
Además, las noticias sobre violaciones de datos del sector público y privado y el robo de datos
personales se han vuelto demasiado comunes, y los costos asociados a que una organización
no proteja la información personal de sus empleados, clientes y proveedores aumentan
constantemente. Las sanciones y multas de cumplimiento normativo, que varían según la
ubicación y la jurisdicción, pueden generar una responsabilidad legal y financiera significativa
para la organización. Además, las organizaciones que experimentan una violación de datos
43
pueden sufrir daños significativos a la marca y reputación, lo que lleva a la disminución de los
ingresos y al aumento de los costos.
Las amenazas y vulnerabilidades asociadas con el acceso interno inapropiado (por ejemplo,
empleados, consultores y proveedores de Big Data) son a menudo tan importantes como las
amenazas externas asociadas, dado el conocimiento y los privilegios inherentes que poseen
estos grupos. Dichas acciones internas pueden incluir el robo de datos confidenciales, la
obtención de secretos comerciales o la adopción de acciones inapropiadas basadas en el
conocimiento interno. Conocimientos obtenidos a partir de sistemas Big Data y robados para
beneficio personal a menudo no se detectan porque las compañías enfocan los esfuerzos de
ciberseguridad en las amenazas externas y pueden tener controles inadecuados para prevenir
y detectar la actividad interna. Los privilegios de la cuenta deben estar estrictamente limitados
al acceso necesario para llevar a cabo las responsabilidades laborales del individuo, y se
deben implementar controles adicionales para supervisar y detectar actividades sospechosas.
Asegurar que todos los sistemas se encuentren protegidos de forma adecuada y uniforme se
vuelve más desafiante a medida que los sistemas Big Data se tornan más complejos y
potentes y albergan grandes volúmenes de datos dispares. Las configuraciones inadecuadas
de parches o seguridad pueden abrir vulnerabilidades que pueden explotarse para ver o
modificar datos confidenciales. También pueden ocurrir interrupciones en el sistema, lo que
resulta en servicios no disponibles y pérdida de productividad.
Consulte la Guía de Práctica de IIA "Auditoría de Riesgos de Privacidad, 2da Edición" para
obtener información adicional sobre riesgos y desafíos de privacidad, ya que muchos de estos
son bastante relevantes para los entornos y programas Big Data. Además, consultar "GTAG:
Evaluación del riesgo de ciberseguridad: roles de las tres líneas de defensa" para conocer
riesgos y consideraciones adicionales relacionados con la seguridad.
Objetivo 5: Entender la seguridad y privacidad de Big Data

5.1 La gestión de seguridad de la Existe un programa de ciberseguridad en la organización para
información debe ser parte de la combatir amenazas internas y externas.
estrategia de Big Data. Se establece una configuración de seguridad base para asegurar un
entorno operativo seguro y consistente para sistemas de Big Data y
su infraestructura.
Utilitarios de sistemas capaces de eludir el sistema operativo, la red
y los controles de la aplicación están prohibidos o se controlan de
manera adecuada.
El acceso y el uso de herramientas de auditoría está segmentado y
restringido para evitar que se comprometan, se haga un mal uso y /
o se destruyan los datos de registro. Los datos de registro se
revisan para identificar actividades sospechosas.
Todos los servicios basados en la nube utilizados por la
organización están aprobados para el uso y almacenamiento de los
44
Objetivo 5: Entender la seguridad y privacidad de Big Data

datos de la organización.
TI evalúa la seguridad de los proveedores de servicios relevantes
para abordar las inquietudes relacionadas con la infraestructura
compartida, los sistemas alojados externamente y el acceso de los
proveedores a los datos, antes de implementar una solución
informática basada en la nube o de otro fabricante.
Los procesos de gestión de parches están documentados e
implementados para garantizar que se apliquen los últimos parches
aprobados de manera oportuna (consulte "GTAG: Controles de
Gestión de Cambios y Parches: Críticos para el Éxito de la
Organización, 2da Edición").
Consultar "GTAG: Evaluación del Riesgo de Ciberseguridad: Roles
de las Tres Líneas de Defensa" para obtener información adicional
sobre los riesgos de ciberseguridad y los controles relacionados.
5.2 La administración de la seguridad Solo los usuarios de negocio autorizados tienen acceso a los datos
de los datos debe ser parte de la y a los informes de los sistemas de Big Data. El acceso está
estrategia de Big Data. alineado con las responsabilidades del trabajo y se basa en el
concepto de privilegio mínimo.
Solo un pequeño grupo de usuarios técnicos autorizados tiene
acceso privilegiado a los sistemas de Big Data, incluidos los
sistemas operativos, las bases de datos y las aplicaciones.
Las herramientas de informes del usuario final están configuradas
adecuadamente para garantizar que solo el personal autorizado
pueda ver datos confidenciales.
Los derechos de acceso a los sistemas de Big Data se revisan
periódicamente para garantizar su idoneidad.
5.3 El acceso de terceros se debe Los requisitos de seguridad, contractuales y regulatorios de
administrar correctamente. proveedores se abordan antes de otorgar acceso a los sistemas de
datos e información. La dirección evalúa el cumplimiento con las
disposiciones como parte de la rutina de gestión de proveedores.
Consultar “GTAG: Gestión de Identidad y Acceso” para ver
información adicional sobre controles de acceso, aprovisionamiento,
administración de seguridad y cumplimiento.
5.4 La privacidad de datos debe ser Los datos se inventariaron y clasificaron para garantizar que los
parte de la estrategia de datos críticos de la organización, incluida la información personal
privacidad. que requiere protección, estén debidamente protegidos.
La información de identificación personal y otros datos
confidenciales se procesan o codifican antes de la replicación del
entorno de producción al entorno de desarrollo o prueba.
Se documentó, aprobó e implementó un proceso de respuesta a
incidentes para garantizar que las violaciones de datos se manejen
de manera adecuada.
Consulte la Guía de práctica IIA "Auditoría de riesgos de privacidad,
2da Edición" para obtener información sobre los marcos de
privacidad y los principios relacionados con la auditoría de
privacidad.
45
Riesgos de calidad de datos, gestión y reporte

"Entra basura, sale basura" es una frase común en el campo de TI. Significa que el ingreso de
datos incorrectos en un sistema dará como resultado una salida de datos incorrectos del
sistema. Los problemas de calidad de datos o datos deficientes pueden conducir a informes
de gestión inexactos y a una toma de decisiones defectuosa. Las bases de datos que no
están diseñadas para garantizar la integridad de los datos pueden dar como resultado datos
incompletos o no válidos. Los análisis que se basan en datos no válidos probablemente
arrojarán resultados erróneos. Por lo tanto, los análisis Big Data deben tener en cuenta estos
riesgos de calidad de datos.
Además, los datos que no se obtienen y analizan de manera oportuna pueden generar
resultados analíticos incorrectos, decisiones de gestión defectuosas o pérdida de ingresos.
Los datos que provienen de terceros deben ser oportunos, precisos, completos y de una
fuente respetable. Es posible que los datos de terceros que se encuentran en un formato
inapropiado no sean adecuados para el análisis y puedan retrasar la toma de decisiones
administrativas.
Una vez que se han recibido y analizado los datos, puede ser difícil garantizar que los
usuarios finales administren y protejan los datos. La falta de controles informáticos del usuario
final puede generar informes inexactos y pérdidas de datos. Los informes de producción del
usuario final, los informes ad hoc y los resultados analíticos predictivos deben ser revisados y
aprobados para limitar decisiones de gestión incorrectas. Los informes de Big Data también
deben cumplir con las políticas de clasificación de datos de una organización para garantizar
que solo se compartan los datos adecuados, tanto interna como externamente. Las opciones
de informe y los canales de distribución pueden ser apropiados solo para datos de tamaños y
formatos específicos. Las organizaciones pueden enfrentar obstáculos al determinar las
opciones y los canales de informe adecuados para cada resultado analítico.
Objetivo 6: Entender la calidad, la gestión y el reporte de Big Data

6.1 Deben establecerse políticas y Se establecen y documentan procedimientos para garantizar que la
procedimientos para asegurar calidad de los datos de toda la empresa sea coherente con las normas
la calidad de datos. de datos de la organización.
Existen procesos para acordar formalmente sistemas de registro de
elementos de datos críticos para apoyar una resolución coherente de
las diferencias de datos entre sistemas.
Las bases de datos de Big Data se diseñan e implementan para
garantizar la integridad de los datos, incluida la conciliación y el control
adecuados de los elementos de datos clave para los sistemas de
origen o los sistemas de registro.
Se han instaurado procesos para garantizar la recepción oportuna de
datos en los sistemas Big Data y la entrega oportuna de analítica a los
consumidores de Big Data.
Para aplicaciones críticas de computación del usuario final (EUC), la
46
Objetivo 6: Entender la calidad, la gestión y el reporte de Big Data

administración implementa medidas para preservar y proteger la
integridad de los datos y cálculos que utilizaron los datos. Los ejemplos
incluyen controles de acceso, identificación de fórmula, totales de
verificación, etc.
Se establecen y documentan los requisitos para preparar los insumos
de datos para aplicaciones y análisis Big Data.
Los datos están disponibles de manera oportuna, lo que permite una
pronta toma de decisiones en línea con los requerimientos y
necesidades del negocio.
6.2 Deben establecerse políticas y Se establecen y documentan procedimientos para garantizar que los
procedimientos para garantizar datos comprados a terceros sean precisos, completos y de una fuente
que los datos obtenidos de acreditada.
terceros cumplan con las
normas de calidad de datos.
6.3 Se deben establecer políticas Se establecen y documentan procedimientos para revisar y aprobar los
y procedimientos para resultados de los informes analíticos. Análisis predictivos que impulsan
garantizar la precisión de los la acción reciben un mayor enfoque y atención.
informes.
6.4 El acceso a informes debe Se han definido y documentado elementos de informes que son
otorgarse sobre la base de apropiados para consumo interno versus externo. Los propietarios de
necesidades de negocio. datos han aprobado el consumo de estos informes y datos por parte de
las personas autorizadas.
6.5 Las herramientas y los Existen procedimientos para cuando se permiten informes ad hoc,
procedimientos de informes versus cuando se permite confiar en informes de producción
deben permitir flexibilidad e aprobados, que no pueden ser alterados sin pasar por procesos de
informes ad hoc. gestión del cambio y desarrollo de sistemas.
6.6 Deberá capacitarse Conforme se modifican los datos y métodos de informe, los usuarios
periódicamente a los usuarios finales se capacitan en los cambios resultantes y transfieren los
para maximizar el utilitario de impactos a sus informes, sistemas de usuario final, etc.
informes.
6.7 La selección del proveedor de Hay un proceso implementado para seleccionar opciones / canales
informes deberá estar alineada adecuados y preferidos de reporte (por ejemplo, Tableau®, Splunk®,
con las necesidades del Oracle® Business Intelligence Enterprise [OBIEE]) para los resultados
negocio. de analítica.
47
Contribuyentes
Brian Allen, CISA, CISSP
Stephen Coates, CIA, CISA, CGAP
Brian Karp, CIA, CISA, CRISC
Hans-Peter Lerchner, CIA, CISA
Jacques Lourens, CIA, CISA, CGEIT, CRISC
Tim Penrose, CIA, CISA, CIPP
Sajay Rai, CISM, CISSP
El IIA agradece al Comité de Guías de Tecnología de la Información (Information Technology

Guidance Committee, ITGC) por su apoyo en el desarrollo de este documento.
48
Acerca del IIA

El Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de normas, lineamientos y certificaciones de mayor
reconocimiento para la profesión de auditoría interna. Fundado en 1941, el IIA asiste en la actualidad a más de 190 000 miembros
de más de 170 países y territorios. La sede principal global de la asociación está en Lake Mary, Fla. EE. UU. Para más información,
visite www.globaliia.org.
Acerca de la Guía Complementaria

La Guía Complementaria forma parte del Marco Internacional para la Práctica Profesional (MIPP) del IIA y ofrece
orientación complementaria recomendada (no obligatoria) para llevar a cabo actividades de auditoría interna. Si bien es
un complemento de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna (las Normas) la
Guía Complementaria no pretende ser un vínculo directo para lograr conformidad con las Normas. Su finalidad, en
cambio, es el abordaje de áreas temáticas y cuestiones específicas de cada sector, e incluye procesos y procedimientos
detallados. Esta guía fue refrendada por el IIA mediante procesos formales de revisión y aprobación.
Para accede a otros materiales de orientación autorizados y suministrados por el IIA, visite nuestro sitio
www.globaliia.org/Normas-guidance o www.theiia.org/guidance.
Limitación de responsabilidad
El IIA publica el presente documento con fines informativos y educativos, y no pretende brindar una respuesta categórica a
interrogantes individuales y específicos. En este sentido, su única finalidad es servir de guía. El IIA recomienda solicitar siempre el
asesoramiento de expertos independientes relacionado con cualquier situación específica. El IIA no asume responsabilidad por
quien tome estas orientaciones como su única fuente confiable.
Copyright
Copyright© 2017 The Institute of Internal Auditors, Inc. Todos los derechos reservados. Por permiso para reproducir, contacte a
guidance@theiia.org.
La traducción al español de este documento fue autorizada por The Institute of Internal Auditors, Inc. y fue realizada por:
Fundación Latinoamericana de Auditores Internos (FLAI).
* Revisada por: Fausto Racines, CIA
October 18
49

GTAG Understanding and Auditing Big Data Spanish

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

GTAG Understanding and Auditing Big Data Spanish

Caricato da

Copyright:

Formati disponibili

Guía Complementaria:

Incremento de la demanda, marcos de trabajo inmaduros, riesgos y oportunidades

En esta guía, se ofrece un panorama de Big Data: su valor, componentes, estrategias,

La orientación que aquí se presenta no aborda el rol de la actividad de auditoría interna en el

Importancia para el negocio

Algunos ejemplos de beneficios de negocio de Big Data incluyen:

De hecho, se pueden obtener beneficios significativos de los programas de Big Data si se

Minoristas ‒ Los minoristas están creando sofisticados perfiles de clientes basados en el

Instituciones Financieras ‒ Las instituciones financieras pueden pronosticar tendencias, modelar

Big Data: Conceptos básicos

Figura 1—Ejemplos de fuentes Big Data

Datos estructurados y no estructurados

Históricamente, la mayoría de los datos almacenados en las organizaciones eran estructurados y

Figura 2—Ejemplos de datos estructurados y no estructurados

Un gran repositorio de datos corporativos diseñado específicamente para análisis e informes se

Las tres V de Big Data

Figura 3—Ampliación de las Vs de Big Data

Elementos del programa Big Data

Caso de negocio articulado

Roles y responsabilidades definidas

Figura 4— Ejemplos de stakeholders clave en Big Data

Las organizaciones deben tener recursos suficientes para respaldar la implementación de

El departamento de recursos humanos dentro de las organizaciones a menudo ayuda con

La alineación de iniciativas de Big Data o proyectos piloto con métricas de negocio

Es fundamental para las organizaciones identificar las herramientas y tecnologías más

Soporte de programa continuo

En última instancia, el objetivo es que las organizaciones puedan manejar información

Adopción por parte de los consumidores

comportamiento de compra pasado de los clientes puede permitir a las organizaciones

tratamiento adicional. Los científicos de datos pueden aplicar algoritmos de análisis de

Área Riesgo clave Actividades de control

Gobierno del La falta de  La financiación debe ser adecuada para respaldar

Área Riesgo clave Actividades de control

Disponibilidad Las soluciones y /  Las operaciones de TI deben estructurarse de una

Área Riesgo clave Actividades de control

Seguridad y La ineficacia de  La administración de seguridad de la información

El rol de la auditoría interna en Big Data

El Apéndice D proporciona un programa de trabajo modelo para ayudar a los auditores

Apéndice A. Normas clave del IIA

Norma 1210 – Aptitud

1210.A3 – Los auditores internos deben tener conocimientos suficientes de los

Norma 2010 – Planificación

2010.A1 – El plan de trabajo de la actividad de auditoría interna debe estar basado en

2010-A2 – El director ejecutivo de auditoría debe identificar y considerar las

2010.C1 – El director ejecutivo de auditoría debería considerar la aceptación de

Norma 2030 – Administración de Recursos

Norma 2100 – Naturaleza del Trabajo

La actividad de auditoría interna debe evaluar y contribuir a la mejora de los procesos de

Norma 2110 – Gobierno

2110.A2 – La actividad de auditoría interna debe evaluar si el gobierno de tecnología

Norma 2200 – Planificación del trabajo

Al planificar el trabajo, los auditores internos deben considerar:

Norma 2210 – Objetivos del trabajo

Deben establecerse objetivos para cada trabajo.

2210.A2 – El auditor interno debe considerar la probabilidad de errores, fraude,

Norma 2220 – Alcance del trabajo

Norma 2240 – Programa del Trabajo

Norma 2310 – Identificación de la Información

Apéndice B. Guías relacionadas

GTAG: Evaluación de Riesgos de Ciberseguridad: Roles de las Tres Líneas de Defensa

GTAG: Auditoría de Controles de Aplicación

GTAG: Controles de Gestión de Cambios y Parches: Críticos para el Éxito de la Organización,

GTAG: Tecnologías de Análisis de Datos

GTAG: Desarrollo del Plan de Auditoría de TI