Perpectiva de las AA.PP.

La Auditora Informtica como

instrumento para la Direccin
LA MISIN DE LA FUNCIN DE AUDITORA INFORMTICA DEBE IR MS ALL DE SUPERVISAR
LOS CONTROLES Y EN DETERMINAR LA EFICIENCIA DE LOS MISMOS, REFORZNDOSE CON
UN ENFOQUE PREVENTIVO APORTANDO EL CONOCIMIENTO Y BUENAS PRCTICAS

Fernando
Rodrguez
Rivadulla

forma en que la auditora informtica

puntos de vista ante la direccin de la

aporta dichos instrumentos.

organizacin, ya que disponen de una

AUDITOR INFORMTICO

opinin independiente que puede ava-

CISA

lar sus posicionamientos.

AGENCIA ESTATAL
DE ADMINISTRACIN

A su vez, para proveer una direc-

Supervisin del Control

El control interno es un proceso

cin eficaz los directivos de las organi-

diseado con el objeto de proporcionar

zaciones necesitan, adems de poder

un grado de seguridad razonable de la

apreciar y poseer un conocimiento

consecucin de objetivos, y es llevado

bsico de los riesgos y los lmites de

a cabo por los miembros de las organi-

omo sealara en otro

las TIC y los controles adecuados,

zaciones en cada nivel de la organiza-

artculo ya publicado por

contar con instrumentos que midan los

cin. Se compone de cinco elementos:

resultados alcanzados en relacin con

el entorno a controlar, la evaluacin de

las metas y los objetivos fijados.

los riesgos a que est expuesto, las

TRIBUTARIA

mento a la hora de hacer valer ciertos

auditora y seguridad,

las organizaciones exitosas reconocen

la necesidad de administrar los riesgos

A continuacin se comentar la

polticas y procedimientos para afron-

asociados con las TIC. Surge as la

misin principal de la funcin de
Auditora Informtica, o Auditora de
los Sistemas de Informacin: la supervisin de los controles efectivamente
implementados y determinacin de la
eficiencia de los mismos.
La visin anterior es reforzada con
un enfoque preventivo de la funcin
de auditora informtica, participando
durante la definicin de la estructura
de controles, asegurando siempre su
independencia y aportando el cocimiento y las buenas prcticas de un
primer momento.
Por otro lado, los directivos TIC
auditados comienzan a ver en la funcin de auditora informtica un instru-

n 6 noviembre / diciembre 2006

83

84

Perpectiva de las AA.PP.

mientos legales a cumplir o de las
prioridades de control establecidas por
la direccin de la organizacin. Como
consecuencia de ello, este tipo de
auditoras suele dirigirse al anlisis de
situaciones de riesgos informticos en
reas de actividades concretas.
A modo de ejemplo, se enumeran
algunos tipos de auditoras
informticas para la supervisin del
sistema de control establecido:
Direccin de las Tecnologas de la
Informacin
Seguridad (sistema de gestin de la
seguridad, seguridad fsica o seguridad
lgica, seguridad en las redes de comunicaciones)
Equipamiento Informtico (planificacin infraestructuras, puestos de
trabajo, redes de rea local, mantenimiento del parque e inventario)
tar los riesgos respecto de conseguir

una apreciacin independiente al servi-

Desarrollo y Mantenimiento de los

los objetivos de la entidad, los instru-

cio de la misma para supervisar el con-

Sistemas de Informacin (ciclo de vida

mentos de informacin y comunicacin

trol establecido. Sobre este particular,

de los sistemas de informacin, facto-

para que se pueda desarrollar la acti-

debe tenerse presente el ciclo de ges-

ra de software)

vidad, y la supervisin del proceso que

tin de control, que se resume en el

Calidad de los Productos Desarrolla-

permita introducir modificaciones

siguiente esquema, en el cual la fun-

dos

cuando se estime oportuno.

cin de auditora tendra la misin de

Explotacin de los Sistemas de In-

analizar la implementacin de los con-

formacin

auditora informtica, que se traduce

troles y corregir la gestin de riesgos

Contratacin de Bienes y Servicios

en asistir a los miembros de la organi-

proponiendo, en su caso, mejoras.

de Tecnologas de la Informacin

Es all donde interviene la funcin de

Control de Accesos a los sistemas

zacin en el efectivo desempeo de sus

de informacin

responsabilidades, de forma que se

garantice la construccin de la confianza de los accionistas y clientes. As, los
auditores informticos deben proveer
anlisis, apreciaciones, recomendaciones, consejos e informacin concernientes a las actividades revisadas.
Como se sealara, es un requisito
previo para poder realizar auditoras
en general, y auditoras informticas
en particular, que la organizacin tenga definida, documentada, conocida
por todo el personal y aplicada, una

Al directivo TIC le podr

resultar de utilidad el
trabajo resultante de una
auditora informtica,
pues contar con una
apreciacin independiente

operativos, bases de datos, etc.)

Gestin de la Continuidad del Servicio Informtico
Acreditacin de Servicios de Confianza
Cumplimiento de Requerimientos
Legales (proteccin de datos, calidad de
servicio en la prestacin de los servicios
de comunicaciones electrnicas, etc.)
Administracin Electrnica (aprobacin de programas que ejercen potestades, registros telemticos, etc.)

poltica y procedimientos de control.

La funcin de auditora informtica

Tcnica de Sistemas (sistemas

La naturaleza de las auditoras

Centralitas Telefnicas Digitales

Accesibilidad de pginas web o por-

que se establezca dentro de una orga-

informticas siempre depender del

nizacin para examinar y evaluar sus

anlisis de riesgos que se haya realiza-

tales internet/intranet

actividades debe ser considerada como

do en la organizacin, de los requeri-

...

n 6 noviembre / diciembre 2006

Perpectiva de las AA.PP.

organizacin estn siendo protegidos y

adecuadas, es decir el registro por las

como instrumento para realizar las

El marco metodolgico adoptado

que se establezcan los controles inter-

propias aplicaciones de informacin

auditoras informticas contemplar

nos adecuados para proteger los re-

especfica para una futura auditora del

una serie de puntos de control de ries-

cursos informticos.

proceso al que sirven, y que lo regis-

gos, que podrn ser identificados

Para ello, adems de la supervisin

trado guarde relacin con los riesgos

como aquellos a tener en cuenta en

del control sera deseable que la fun-

asociados al proceso.

las actuaciones y sern objeto de veri-

cin de auditora informtica tuviera

Sealando la adecuada salvaguarda

ficacin en funcin del alcance de las

alguna participacin en otras fases del

de los activos de la organizacin y el

mismas.

ciclo de control, como en la planifica-

seguimiento de procedimientos ade-

cin y en la implantacin de los con-

cuados.

informtica no debe perseguir como fin

troles, pero siempre asegurando el

Asegurando la eficiencia de la ges-

nico la identificacin de deficiencias,

principio de independencia, ya que no

tin de los recursos, evitando recurrir

errores, actos ilegales, fraudes, etc.,

es ticamente aceptable auditar los

a sistemas onerosos o a posteriores

sino que tambin tendr que poner de

controles que haya definido.

cambios de procedimientos.

Conviene sealar que la auditora

manifiesto las mejoras ms sustancia-

As, se podra configurar una parti-

les alcanzadas o las buenas prcticas

cipacin de la funcin de auditora

seguidas por la unidad auditada.

informtica apoyando puntualmente a

la unidad de la organizacin con res-

Refuerzo del posicionamiento TIC

La funcin de auditora informtica

ponsabilidades en las TIC durante la

puede, y debe, facilitar a los directivos

planificacin y el desarrollo o el man-

de las organizaciones los instrumentos

tenimiento de los sistemas de informa-

de apreciacin fundamentales para

de la auditora, enfocado a la detec-

cin de la organizacin, as como en la

una direccin eficaz. Para ello, las ac-

cin de situaciones de riesgo en el

definicin de los procedimientos a que

tuaciones y los informes resultantes

sistema de control, ha ido evolucio-

dan soporte, por ejemplo, en las si-

deben orientarse hacia ese objetivo,

nando, se ha vuelto ms participativo,

guientes tareas:

haciendo nfasis en:

dando prioridad a un enfoque preven-

Asegurando la existencia de contro-

La evaluacin de la eficacia y la

tivo e intentando actuar antes o du-

les internos razonables y adecuados.

calidad de los servicios prestados por

rante el hecho, y no slo a posteriori.

Divulgando y fomentando el uso de

las TIC.

buenas prcticas del sector.

El grado de satisfaccin de los

de la auditora informtica apunta a

Verificando la completa y apropiada

usuarios, o incluso de los clientes.

participar ms activamente en todos

documentacin de los sistemas y los

La verificacin del cumplimiento de los

los proyectos y decisiones, y en todos

procedimientos.

planes y programas de actuacin TIC.

los aspectos de la tecnologa relaciona-

Asesorando sobre la

El ajuste de los resultados a los

da, para asegurar que los activos de la

implementacin de pistas de auditora

objetivos previstos.

Participacin Proactiva
El enfoque tradicional de la funcin

La tendencia actual, en el mbito

Refuerzo del posicionamiento TIC

l directivo TIC debe

vencer la resistencia

natural de sentirse evaluado por los auditores

informticos, y que viene
dada por ver slo en la
auditora un juicio crtico
del trabajo realizado por
su equipo. Como directivo debe comprender que

aquella actuacin de
auditora que cuente con su
colaboracin resultar un
instrumento til para la
mejora operativa de su unidad, y por lo tanto de la
organizacin. En muchos
casos, le podr resultar de
utilidad al exponer ante la
direccin de la organizacin

la motivacin para poner en

marcha o modificar polticas
de su rea.
De esta forma, su exposicin se ver reforzada por
una apreciacin independiente al servicio de la organizacin, que logra establecer
un vnculo y una comunicacin efectiva. Se salva as la

brecha que pudiera existir,

sustentando y apoyando
ante la direccin la necesidad de reforzar los controles internos para hacer
frente a las amenazas, siempre cambiantes en las TIC,
lo que suele traducirse en
la aprobacin de nuevas
inversiones.

n 6 noviembre / diciembre 2006

85