Funciones a desarrollar en Auditoria de Informática
Se han suscitado múltiples controversias sobre las funciones a desarrollar en cuanto al trabajo de Auditoria Informática que se debe realizar. ¿Cuál es el objetivo de una Auditoria Informática? ¿Qué se debe revisar, analizar o diagnosticar?
¿Puede la función de Auditoria Informática aportar sólo lo que le piden o debe
formar parte de un ente organizativo total, lo que le exige una actitud de contribución total al entorno empresarial en el que está realizando su trabajo? En definitiva, los aspectos que debe revisar el auditor informático son: la seguridad, el control interno, la efectividad, la gestión del cambio y la integridad de la información.
Si analizamos la realidad más actual, diremos que la función Auditoria Informática
debe mantener en la medida de lo posible los objetivos de revisión que le demande la organización, pero como esto es muy general, vamos a precisar algo más lo que sería un entorno ideal que tiene que ser auditado.
Supongamos una organización que produce componentes tecnológicos de audio y vídeo, tanto en formato primario como en producto semi terminado y terminado. Esta organización mantiene sus programas y resultados de investigación bajo control informático. Además tiene las características propias de cualquier empresa productora y comercial en cuanto a sistemas de información. Mantiene
en INTERNET un sistema de información de sus productos con la posibilidad de que usuarios de la Red puedan hacer consultas sobre diferentes características de los productos. Gasta anualmente un uno por ciento de su facturación en sus sistemas de información y un diez por ciento en investigación.
¿Cuáles serían los objetivos de revisión de la Auditoria Informática en este ejemplo? Desde luego parece que la Auditoria Informática debería enfocarse hacia aspectos de seguridad, de comercio electrónico y de control interno en general, añadiendo en función de lo expuesto en cuanto al gasto anual que debería realizarse una revisión de la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditoria
Informática abarca campos de revisión más allá de los que tradicionalmente se han
mantenido; esto es, la revisión del control interno informático de los servicios centrales y de las aplicaciones.
El mundo complejo de las empresas en el que nos movemos, con industrias
emergentes y con una tendencia globaliza dora en los negocios, hace muy necesario que los sistemas de control interno sean lo más efectivos posibles, pero también conceptos más amplios, como el riesgo de la información, la continuidad de las operaciones, la gestión del centro de información o la efectividad y actualización de las inversiones realizadas son necesarias para poder mantener el nivel competitivo que el mundo empresarial demanda a sus sistemas de información.
Es así que entonces la función de Auditoría Informática debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales se enumeran a continuación:
• Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de seguridad, de gestión y de efectividad de la gestión-
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarla los auditores financieros.
• Auditoria del riesgo operativo de los circuitos de información.
• Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros)-
• Análisis del Estado del Arte tecnológico de la instalación revisada y de las
consecuencias empresariales que un desfase tecnológico pueda acarrear.
• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización.
3.4. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORIA
INFORMÁTICA.
Según lo que hemos comentado hasta ahora, la función de auditoría informática
ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las organizaciones tienen los sistemas informáticos y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materias de:
• Seguridad.
• Control interno operativo.
• Eficiencia y eficacia
• Tecnología informática.
• Continuidad de operaciones.
• Gestión de riesgos no solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la
empresa? Está claro que en este caso estamos hablando de una función interna de auditoria informática.
La concepción típica en las empresas españolas hasta ahora, es la de que la función
de auditoria informática está entroncada dentro de lo que es la función de auditoria interna con rango de sub departamento. Esta concepción se basa en el nacimiento histórico de la auditoria operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan.
La organización tipo de la auditoria informática, debe contemplar los siguientes
principios:
• Su localización puede estar ligada a la localización de la auditoria interna operativa y financiera, pero con independencia de objetivos (aunque haya una coordinación lógica entre ambos departamentos), de planes de formación y de presupuestos.
• La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total a los sistemas informáticos y de información, e idealmente dependiendo de la misma persona en la empresa que la auditoria interna, que debería ser el director general o consejero delegado. Cualquier otra dependencia puede dar al traste con la imagen del auditor informático y consecuentemente con la aceptación de su trabajo y de sus conclusiones.
• La dependencia, en todo caso, debe ser del máximo responsable operativo de la
organización, nunca del departamento de organización o del de sistemas (abundan los casos en que esta dependencia existe), ni del departamento financiero/ administrativo.
• La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando en auditoría informática.
• Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con formación en auditoria y organización y personas con perfil informático. No obstante, este perfil genérico debe ser tratado con un amplio programa de formación en donde se especifiquen no sólo los objetivos de la función, sino también de la persona.
• Este personal debe contemplar entre su titulación la certificación CISA como un
elemento básico para comenzar su carrera como auditor informático.
• La organización interna tipo de la función podría ser:
• Jefe del departamento.
Desarrolla el plan operativo del departamento, las descripciones de los puestos de
trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en sí, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo.
• Gerente o supervisor de auditoria informática.
Trabaja estrechamente con el Jefe del departamento en la tareas operativas diarias.
Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Realiza la formación sobre el trabajo. Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. Es el que mas "vende" la función con el auditado.
• Auditor informático.
Son responsables para la ejecución directa del trabajo, Deben tener una especialización genérica, pero también una especifica. Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnóstico de resultados.
• El tamaño sólo se puede precisar en función de los objetivos de la función; para una organización tipo, el abanico de responsabilidades debería cubrir:
• Especialista en el entorno informático a auditar y en gestión de bases de datos.
• Especialista en comunicaciones y/o redes.
• Responsable de gestión de riesgo operativo y aplicaciones.
• Responsable de la auditoria de sistemas de información, tanto en explotación como en desarrollo.
• En su caso, especialista para la elaboración de programas de trabajo conjuntos con la Auditoria Financiera.
Se han suscitado múltiples controversias sobre las funciones a desarrollar en cuanto al trabajo de Auditoria Informática que se debe realizar. ¿Cuál es el objetivo de una Auditoria Informática? ¿Qué se debe revisar, analizar o diagnosticar?
¿Puede la función de Auditoria Informática aportar sólo lo que le piden o debe
formar parte de un ente organizativo total, lo que le exige una actitud de contribución total al entorno empresarial en el que está realizando su trabajo? En definitiva, los aspectos que debe revisar el auditor informático son: la seguridad, el control interno, la efectividad, la gestión del cambio y la integridad de la información.
Si analizamos la realidad más actual, diremos que la función Auditoria Informática
debe mantener en la medida de lo posible los objetivos de revisión que le demande la organización, pero como esto es muy general, vamos a precisar algo más lo que sería un entorno ideal que tiene que ser auditado.
Supongamos una organización que produce componentes tecnológicos de audio y vídeo, tanto en formato primario como en producto semi terminado y terminado. Esta organización mantiene sus programas y resultados de investigación bajo control informático. Además tiene las características propias de cualquier empresa productora y comercial en cuanto a sistemas de información. Mantiene
en INTERNET un sistema de información de sus productos con la posibilidad de que usuarios de la Red puedan hacer consultas sobre diferentes características de los productos. Gasta anualmente un uno por ciento de su facturación en sus sistemas de información y un diez por ciento en investigación.
¿Cuáles serían los objetivos de revisión de la Auditoria Informática en este ejemplo? Desde luego parece que la Auditoria Informática debería enfocarse hacia aspectos de seguridad, de comercio electrónico y de control interno en general, añadiendo en función de lo expuesto en cuanto al gasto anual que debería realizarse una revisión de la efectividad del departamento.
Esto nos indica que solamente con un ejemplo simple vemos que la Auditoria
Informática abarca campos de revisión más allá de los que tradicionalmente se han
mantenido; esto es, la revisión del control interno informático de los servicios centrales y de las aplicaciones.
El mundo complejo de las empresas en el que nos movemos, con industrias
emergentes y con una tendencia globaliza dora en los negocios, hace muy necesario que los sistemas de control interno sean lo más efectivos posibles, pero también conceptos más amplios, como el riesgo de la información, la continuidad de las operaciones, la gestión del centro de información o la efectividad y actualización de las inversiones realizadas son necesarias para poder mantener el nivel competitivo que el mundo empresarial demanda a sus sistemas de información.
Es así que entonces la función de Auditoría Informática debe realizar un amplio
abanico de actividades objetivas, algunas de las cuales se enumeran a continuación:
• Verificación del control interno, tanto de las aplicaciones como de los sistemas
informáticos, centrales y periféricos.
• Análisis de la gestión de los sistemas de información desde un punto de vista de riesgo de seguridad, de gestión y de efectividad de la gestión-
• Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de las aplicaciones. Esta función, que la vienen desempeñando los auditores informáticos, están empezando ya a desarrollarla los auditores financieros.
• Auditoria del riesgo operativo de los circuitos de información.
• Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
• Verificación del nivel de continuidad de las operaciones (a realizar conjuntamente con los auditores financieros)-
• Análisis del Estado del Arte tecnológico de la instalación revisada y de las
consecuencias empresariales que un desfase tecnológico pueda acarrear.
• Diagnóstico sobre el grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la organización.
3.4. ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORIA
INFORMÁTICA.
Según lo que hemos comentado hasta ahora, la función de auditoría informática
ha pasado de ser una función meramente de ayuda al auditor financiero a ser una función que desarrolla un trabajo y lo seguirá haciendo en el futuro, más acorde con la importancia que para las organizaciones tienen los sistemas informáticos y de información que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en materias de:
• Seguridad.
• Control interno operativo.
• Eficiencia y eficacia
• Tecnología informática.
• Continuidad de operaciones.
• Gestión de riesgos no solamente de los sistemas informáticos objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial.
Con esta amplitud de miras, ¿cómo se va a organizar la función dentro de la
empresa? Está claro que en este caso estamos hablando de una función interna de auditoria informática.
La concepción típica en las empresas españolas hasta ahora, es la de que la función
de auditoria informática está entroncada dentro de lo que es la función de auditoria interna con rango de sub departamento. Esta concepción se basa en el nacimiento histórico de la auditoria operativa y financiera, al igual que lo es separar la operativa de una empresa de los sistemas de información que los soportan.
La organización tipo de la auditoria informática, debe contemplar los siguientes
principios:
• Su localización puede estar ligada a la localización de la auditoria interna operativa y financiera, pero con independencia de objetivos (aunque haya una coordinación lógica entre ambos departamentos), de planes de formación y de presupuestos.
• La organización operativa tipo debe ser la de un grupo independiente del de auditoria interna, con una accesibilidad total a los sistemas informáticos y de información, e idealmente dependiendo de la misma persona en la empresa que la auditoria interna, que debería ser el director general o consejero delegado. Cualquier otra dependencia puede dar al traste con la imagen del auditor informático y consecuentemente con la aceptación de su trabajo y de sus conclusiones.
• La dependencia, en todo caso, debe ser del máximo responsable operativo de la
organización, nunca del departamento de organización o del de sistemas (abundan los casos en que esta dependencia existe), ni del departamento financiero/ administrativo.
• La gestión de la función, en la medida de que exista la experiencia, debe ser llevada a cabo por personal que haya o esté trabajando en auditoría informática.
• Los recursos humanos con los que debe contar el departamento deben contemplar una mezcla equilibrada entre personas con formación en auditoria y organización y personas con perfil informático. No obstante, este perfil genérico debe ser tratado con un amplio programa de formación en donde se especifiquen no sólo los objetivos de la función, sino también de la persona.
• Este personal debe contemplar entre su titulación la certificación CISA como un
elemento básico para comenzar su carrera como auditor informático.
• La organización interna tipo de la función podría ser:
• Jefe del departamento.
Desarrolla el plan operativo del departamento, las descripciones de los puestos de
trabajo del personal a su cargo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, así como gestiona los programas de trabajo y los trabajos en sí, los cambios en los métodos de trabajo y evalúa la capacidad de las personas a su cargo.
• Gerente o supervisor de auditoria informática.
Trabaja estrechamente con el Jefe del departamento en la tareas operativas diarias.
Ayuda en la evaluación del riesgo de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Realiza la formación sobre el trabajo. Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor añadido y gestión del cambio dentro de su trabajo. Es el que mas "vende" la función con el auditado.
• Auditor informático.
Son responsables para la ejecución directa del trabajo, Deben tener una especialización genérica, pero también una especifica. Su trabajo consistirá en la obtención de información, realización de pruebas, documentación del trabajo, evaluación y diagnóstico de resultados.
• El tamaño sólo se puede precisar en función de los objetivos de la función; para una organización tipo, el abanico de responsabilidades debería cubrir:
• Especialista en el entorno informático a auditar y en gestión de bases de datos.
• Especialista en comunicaciones y/o redes.
• Responsable de gestión de riesgo operativo y aplicaciones.
• Responsable de la auditoria de sistemas de información, tanto en explotación como en desarrollo.
• En su caso, especialista para la elaboración de programas de trabajo conjuntos con la Auditoria Financiera.
No hay comentarios:
Publicar un comentario
Favor de hacer cualquier tipo de comentario crítico pero constructivo que nos ayude a mejorar nuestro blog.
Gracias anticipadas,
Corelo El Campeador