LA FUNCIÓN DE AUDITORIA INFORMÁTICA Y SU
ORGANIZACIÓN.
ANTECEDENTES
El
concepto de auditoria informática ha estado siempre ligado al de auditoria en
general
y al de auditoria interna en particular, y éste ha estado unido desde tiempos
históricos
al de contabilidad, control, veracidad de operaciones, etc.
En
tiempo de los egipcios ya se hablaba de contabilidad y de control de los
registros
y
de las operaciones. Aún algunos historiadores fijan el nacimiento de la
escritura como
consecuencia
de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Years
of
Progress). Esta referencia histórica a fin de explicar la evolución de la corta
pero intensa historia
de la auditoria informática, y para que posteriormente nos sirva de referencia
al objeto
de entender las diferentes tendencias que existen en la actualidad.
Si
analizamos el nacimiento y la existencia de la auditoria informática desde un
punto
de vista empresarial, tendremos que empezar analizando el contexto organizativo
y el
entorno
en el que se mueve.
Empezaremos
diciendo que tanto dentro del contexto estratégico como del operativo
de
las organizaciones actuales, los Sistemas y la arquitectura que los soportan
desempeñan un importante
papel como uno de los soportes básicos para la gestión y el control del
negocio,
siendo
así uno de los requerimientos básicos de cualquier organización. Esto da lugar
a los
Sistemas
de una organización.
Es
evidente que para que dichos sistemas cumplan sus objetivos debe existir una
función
de gestión de dichos sistemas, de los recursos que los manejan y de las
inversiones
que
se ponen a disposición de dichos recursos para que el funcionamiento y los
resultados
sean
los esperados. A esta función es lo que llamamos el Departamento de Sistemas de
Información.
Finalmente,
y en función de lo anterior, aunque no como algo no enteramente
aceptado
aún, debe existir una función de control de la gestión de los sistemas y del
departamento
de sistemas de información. A esta función la llamamos
informática.
El
concepto de la función de auditoria informática, en algunos casos llamada
función
de control informático y en los menos, llamada y conocida por ambos términos,
arranca
en su corta historia, cuando en los años cincuenta las organizaciones empezaron
a desarrollar aplicaciones informáticas. En ese momento, la auditoria trataba
con sistemas
manuales.
Posteriormente, en función de que las organizaciones empezaron con sistemas
cada
vez más complejos, se hizo necesario que parte del trabajo de auditoria empezara a
tratar
con sistemas que utilizaban sistemas informáticos.
En
ese momento, los equipos de auditoria, tanto externos como internos, empezaron
a
ser mixtos, con el involucramiento de auditores informáticos junto con auditores
financieros.
En
ese momento se comenzaron a utilizar dos tipos de enfoque diferentes que en
algunos
casos
convergían:
• Trabajos en los que el equipo de auditoria informática trabajaba
bajo un programa de
trabajo
propio, aunque entroncando sus objetivos con los de la auditoria financiera;
éste
era
el caso de trabajos en los que se revisaban controles generales de la
instalación y
controles
específicos de las aplicaciones bajo conceptos de riesgo, pero siempre unido
al
hecho de que el equipo de auditoria financiera utilizaría este trabajo para sus
conclusiones
generales sobre el componente financiero determinado.
• Revisiones en las que la auditoria informática consistía en la
extracción de información
para
el equipo de auditoria financiera. En este caso el equipo o función de
interna
era un exponente de la necesidad de las organizaciones y departamentos de
auditoria de utilizar expertos en informática para proveer al personal de dicho
departamento
de información extraída del sistema informático cuando la información a
auditar
estaba empezando a ser voluminosa y se estaba perdiendo la pista de cómo se
había
creado.
Esta
situación convive hoy en día con conceptos más actuales y novedosos de lo que
es
la
función y de lo que son los objetivos de la auditoria informática.
Esta
situación convive hoy en día con conceptos más actuales y novedosos de lo que
es
la
función y de lo que son los objetivos de la auditoria informática.
Parece
que la tendencia futura de la auditoria informática radicará en los siguientes
principios:
1.
Todos los auditores tendrán que tener conocimientos informáticos que les
permitan
trabajar
en el cada vez más fluctuante entorno de las tecnologías de la información
dentro
de las organizaciones empresariales, culturales y sociales.
2.
Este aspecto no eliminará la necesidad de especialistas en auditoria informática, es más,
los
especialistas necesitarán cada vez más unos conocimientos muy específicos que,
de
la
misma forma que a los especialistas en sistemas de información, les sirva para
ser
expertos
en las diferentes ramas de la tecnología informática: redes y comunicaciones,
bases
de datos, seguridad, Internet, comercio electrónico, etc.
3.
El auditor informático dejará de ser un profesional procedente de otra área,
para pasar a ser
un profesional formado y titulado en auditoria informática que tendrá a su
alcance
diferentes
medios de formación y, además, formar parte de una red de conocimientos
compartidos con otros
profesionales, de su misma organización y de otras organizaciones.
CLASES
Y TIPOS DE AUDITORIA INFORMÁTICA.
Hay cierta confusión sobre lo que es auditoria informática. Si preguntamos a diferentes personas, probablemente, nos
darán
diferentes definiciones.
La siguiente lista es un resumen de las
diferentes definiciones que nos podemos encontrar:
• Auditoria informática como soporte a la auditoria tradicional.
• Auditoria informática con el concepto anterior, añadiendo la
función de auditoria de la
función
de gestión del entorno informático.
• Auditoria informática como función independiente, enfocada hacia
la obtención de la
situación
actual de un entorno de información e informático en aspectos de seguridad y
riesgo,
eficiencia y veracidad e integridad.
• Las acepciones anteriores desde un punto de vista interno y externo-
• Auditoria
como función de control dentro de un departamento de sistemas.
FUNCIÓN DE AUDITORIA INFORMÁTICA
Definición
Por
lo dicho hasta ahora, está claro que la auditoria, revisión, diagnóstico y
control
de
los Sistemas deben ser realizados por personas con experiencia en las
disciplinas, de
informática
y auditoria, Además, estas personas deben completar su formación con
conocimientos
de gestión empresarial.
Para
tratar de definir el perfil de un auditor informático, la definición más
exacta,
quizás,
es que es un profesional dedicado al análisis de sistemas de información
informatizados
que está especializado en alguna de las múltiples ramas de la
informática,
que tiene conocimientos generales de los ámbitos en los que ésta se mueve,
que
tiene conocimientos empresariales generales, y que además:
• Posea las características necesarias para actuar como consultor
con su auditado, dándole
ideas
de cómo enfocar la construcción de los elementos de control y de gestión que le
sean
propios.
• Que pueda actuar como consejero con la organización en la que
está desarrollando su
labor.
Un entorno informático bien controlado, puede ser un entorno ineficiente si no
es
consistente
con los objetivos de la organización.
El
eterno problema que se ha suscitado durante mucho tiempo es si el auditor
informático,
al no existir tal formación académica en nuestro país, tenía que ser un auditor
convertido
en informático, o por el contrario un informático reciclado como auditor
informático.
En las experiencias habidas, los éxitos y los fracasos se acumulaban por igual
en
ambos orígenes. ¿Qué hacer en estos casos? ¿Cuál debe ser el perfil correcto de
un
auditor
informático?
En
los dos siguientes apartados se esbozan unas directrices sobre los perfiles de
los
auditores
informáticos y las responsabilidades de la función de auditoria informática.
Perfiles profesionales de la función de Auditoria Informática
A
tenor de lo que hemos dicho hasta ahora, se ve claramente que el auditor
informático
debe ser una persona con un alto grado de calificación técnica y al mismo
tiempo
estar integrado en las corrientes organizativas empresariales que imperan hoy
en
día.
De
esta forma, dentro de la función de auditoria informática, se deben contemplar
las
siguientes características para mantener un perfil profesional adecuado y
actualizado:
1.
La persona o personas que integren esta función deben contemplar en su
formación
básica
una mezcla de conocimientos de auditoria financiera y de informática general.
Estos
últimos deben contemplar conocimientos básicos en cuanto a:
• Desarrollo informático; gestión de proyectos y del ciclo de vida
de un proyecto de
desarrollo.
• Gestión del departamento de sistemas.
• Análisis de riesgos en un entorno informático.
• Sistema operativo (este aspecto dependerá de varios factores,
pero principalmente
de
si va a trabajar en un entorno único -auditor interno- o, por el contrario, va
a
tener
posibilidades de trabajar en varios entornos como auditor externo).
• Telecomunicaciones.
• Gestión de bases de datos.
• Redes locales.
• Seguridad física.
• Operaciones y planificación informática; efectividad de las
operaciones y del
rendimiento
de los sistemas.
• Gestión de la seguridad de los sistemas y de la continuidad
empresarial a través de
planes
de contingencia de la información.
• Gestión de problemas y de cambios en entornos informáticos.
• Administración de datos.
• Ofimática.
• Comercio electrónico.
• Encriptación de datos.
2.
A estos conocimientos básicos se les deberá añadir una especialización en
función de la
importancia
económica que distintos componentes financieros puedan tener en un
entorno
empresarial. Así, en un entorno financiero pueden tener mucha importancia las
comunicaciones,
y será necesario que alguien dentro de la función de
informática
tenga esta especialización, pero esto mismo puede no ser válido para un
entorno
productivo en el que las transacciones EDI pueden ser más importantes.
3.
Uno de los problemas que más han incidido en la escasa presencia de auditores
informáticos
en nuestro país, es quizás la a veces escasa relación entre el trabajo de
auditoria informática y las conclusiones con el entorno empresarial donde se ubicaba la
entidad auditada.
Esta sensación de que las normas van por sitios diferentes de por
dónde
va el negocio ha sido fruto muchas veces de la escasa comunicación entre el
auditado
(objetivos empresariales) y el auditor (objetivos de control). Como quiera que
la
cruda realidad nos está demostrando en la actualidad cada vez más la necesidad
de
cada
vez mayor control en los sistemas de información, se hace necesario para el
auditor
informático conocer técnicas de gestión empresarial, y sobre todo de gestión
del
cambio,
ya que las recomendaciones y soluciones que se aporten deben estar en la línea
de
la búsqueda óptima de la mejor solución para los objetivos empresariales que se
persiguen y con los
recursos que se tienen.
4.
El auditor informático debe tener siempre el concepto de Calidad Total
(últimamente
también
llamado Excelencia Empresarial). Como parte de un colectivo empresarial,
bien
sea permanentemente como auditor interno o puntualmente como auditor externo,
el
concepto de calidad total hará que sus conclusiones y trabajo sea reconocido
como un
elemento
valioso dentro de la organización y que los resultados sean aceptados en su
totalidad.
Esta aplicación organizativa debe hacer que la propia imagen del auditor
informático sea más
reconocida de forma positiva por la organización.
No hay comentarios:
Publicar un comentario
Favor de hacer cualquier tipo de comentario crítico pero constructivo que nos ayude a mejorar nuestro blog.
Gracias anticipadas,
Corelo El Campeador