"REINGENIERIA DE LA CONTADURIA PUBLICA ANTE LOS RETOS DEL NUEVO MILENIO" AUDITORA EN SISTEMAS DE INFORMACIN: EL NUEVO CONCEPTO Lic.

Sergio Espinoza I. INTRODUCCIN Cada da es mayor el nmero de situaciones irregulares que se presentan, como consecuencia del uso y aplicacin de la Tecnologa de Informacin (T. I.), en las diferentes organizaciones, entidades, empresas y compaas en general. El conocimiento de esta tecnologa se ha ampliado a todas las esferas; la gente aprende cada da ms, se vuelve ms estudiosa y conocedora, pero no todos estn orientados puramente al conocimiento como aumento de calidad en todos los campos; a algunos les interesa aprender ms que todo, para ver cmo efectan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situacin que ligada a la prdida de valores morales, ticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que se haga imposible para la administracin, establecer controles que disminuyan los riesgos presentados. Aunado a lo anterior, las aperturas comerciales, la globalizacin, las alianzas estratgicas, y las integraciones de todo tipo, de alguna manera han venido a complicar la situacin en cuanto al sistema de control interno se refiere; tambin han recargado las funciones que deben realizar los auditores. Los aspectos citados han generado tambin, un desajuste en todos los campos relacionados con la T. I.; nadie sabe qu hacer, ni cmo hacerlo; unos dicen: "...eso no me corresponde a m, "le toca" a los tcnicos expertos en cmputo." Los informticos manifiestan: "...los usuarios no colaboran, no saben lo que quieren..." La Alta Administracin, no participa y delega en otros las funciones y actividades que le corresponden. Los usuarios jefes, nicamente solicitan trabajos a cmputo, sin participacin activa, y dicen: "...Yo no s de cmputo, pero entiendo que todo es muy fcil..." La Auditora Interna, ha participado muy poco en todos los procesos, ms que todo por desconocimiento y por temor a perder la independencia, tambin por influencia de la Alta Administracin, quien no los deja "participar". La Auditora en Sistemas de Informacin (ASI): se ha preocupado ms en las revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de controles preventivos. Todos los aspectos citados, han tenido gran influencia en la situacin actual de los sistemas de informacin diseados y desarrollados en la mayora de nuestras organizaciones; situacin que debe cambiar ya, (debi cambiar hace unos 20 ms aos), y somos nosotros, los mismos auditores quienes debemos ser agentes de este cambio.

II. POSICIN ACTUAL DE LA AUDITORA La mayor preocupacin de los auditores hoy en da, en especial los que no son auditores de sistemas de informacin, y algunos de stos tambin, es poder utilizar el computador para realizar las auditoras "por dentro del mismo", en la revisin de los datos que contiene; y no se han dado cuenta todava, (a pesar de estar tan avanzada esta especializacin, tanto en mtodos, tcnicas, pronunciamientos, tecnologa, y herramientas, as como en el tiempo), que esta tarea es muy sencilla y que, ms que todo es parte sustancial de la Auditora Financiera. Esta parte de las pruebas en la ASI es importante tambin, pero no lo de mayor peso; es lo ltimo que se lleva a cabo, en la parte de la evaluacin de sistemas en operacin. Por estar pendientes de lo anterior, no han querido hacer, ms que todo porque piensan o creen que no estn realizando ASI, lo que verdaderamente les corresponde llevar a cabo: evaluar los procesos que no requieren de un computador para efectuarlo, como son: o o o o o o o o Gestin Informtica. Controles Generales. Procesos de Adquisiciones. Planificacin. Seguridad. Mantenimiento de Equipo y Sistemas. Diseo y Desarrollo de Sistemas. Evaluacin y Anlisis de Riesgos.

No se debe perder de vista que el control de la calidad debe estar al inicio de los procesos, no al final cuando ya el producto est terminado; tal vez con defectos o fallas de origen, que se presentan precisamente por la falta de visin y revisin en la parte inicial de todo proyecto, que es en donde se plantean las bases para el mismo; adems, estas fallas o deficiencias son muy difciles de corregir, y si se logra, resulta con un alto costo de recursos para la organizacin, adems de la desmotivacin y frustracin del personal que particip en su desarrollo, y del consecuente "enojo" con los auditores por efectuar las revisiones y criticar cuando el trabajo est terminado y no al principio que es cuando ellos lo necesitan, como soporte, colaboracin y ayuda a su labor. III. EL CAMBIO Si desean continuar revisando al final, no existe nada que lo impida, pero es importante que nos propongamos a realizar el cambio que se necesita, para que se atiendan una serie de aspectos que se han dejado de lado y que son bsicos para lograr que se diseen sistemas de informacin como los requieren nuestras organizaciones y que tengan las protecciones, seguridades y controles que permitan su adecuado y correcto funcionamiento, y que soporten los embates de los que intenten violentarlos para cometer actos irregulares. Este cambio se refiere a que dejemos de ser REVISORES y nos convirtamos en ASESORES Y CONSULTORES, en aquellos puntos o aspectos de la T.I. en que se ha venido fallando desde sus inicios con el computador ENIAC en 1945, como es el: "CICLO DE VIDA DEL DESARROLLO DE SISTEMAS" (CVDS) y algunos otros conceptos relacionados con l. Es en este campo en donde reside el fundamento y la base de: o o o o o Los Sistemas de Informacin. La aplicacin correcta de la Tecnologa de Informacin. La administracin de la informacin. El sistema de control interno. La Auditora de Sistemas de Informacin.

o o

Los procesos de Reingeniera. Los Sistemas como soporte de la Productividad.

IV. APLICACIN DEL CAMBIO Se debe aprovechar la T. I. para aplicar los conceptos de la Reingeniera; por lo tanto si queremos verdaderamente colaborar con nuestras entidades, debemos comenzar por efectuar reingeniera en nuestra forma de realizar las actividades de auditora, (disminucin de papeles de trabajo; menos procedimientos y procesos; eliminacin de tareas paralelas; aumento en la participacin y mayor valor agregado), si deseamos que los Sistemas de Informacin cumplan con la funcin para los cuales se conciben y desarrollan, entonces variemos sustancialmente la forma de realizar nuestro trabajo, de ahora en adelante (ahora significa HOY, no la espera de otros 10 15 aos) vamos a: ASESORAR, NO A REVISAR. El CVDS se divide para efectos de su aplicacin en dos partes: o o Tcnica Administrativa.

La primera de ellas se conoce y se est manejando bastante bien, aunque slo sea por los tcnicos en Informtica y Cmputo; slo resta que le hagamos ver a la Alta Administracin, que deben velar porque los tcnicos mencionados, la lleven a cabo en todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, que se citan a continuacin: o o o o o reas de Control (Planificacin; Diseo; Desarrollo e Implantacin) Etapas correspondientes a cada rea de control, independientemente de la metodologa que se emplee. Actividades de cada una de las etapas Productos Finales de cada una de las etapas Participantes en el proceso total.

Realizando esta parte con cuidado y esmero, con la participacin de todos los involucrados y el apoyo irrestricto de la Alta Direccin, y agregando los aspectos que se citan en la parte administrativa, se podr en un futuro cercano, contar con sistemas de informacin que cumplan su verdadera misin: "Suministrar datos e informacin que soporten la toma de decisiones, a todos los niveles de la organizacin, con lo que asisten a la consecucin de objetivos y metas." Debe tenerse muy en cuenta que ambas partes citadas deben verse como una sola a la hora de desarrollar una aplicacin, no puede ni debe desligarse una de la otra, y por ms bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos con la cantilena de siempre: " que los sistemas de informacin no estn bien..."; para no decirlo de otra manera. As que tambin debe ponrsele mayor atencin todava, a la segunda de las partes citadas, ya que sta no depende en absoluto de los tcnicos, sino ms bien de la Administracin, y es en este captulo en donde se ha estado fallando mucho, ms que todo por: o o o o o o o Falta de involucracin de la Alta Direccin Dejar en manos de los tcnicos todo el proceso Exigencias e imposiciones de la Alta Direccin Necesidad de los tcnicos de cumplir con lo solicitado aunque no est bien definido Falta de integracin El tomar la herramienta de cmputo como un ente "solucionador de problemas" El no saber distinguir los diferentes tipos de sistemas de informacin

o o

La ausencia de Polticas, Estndares y Procedimientos El desconocimiento de lo que es el CVDS y el grado de participacin de los involucrados.

V. REAS A ASESORAR A continuacin se enumeran y en algunos casos se detallan, las reas que se consideran de mayor importancia, dentro del CVDS, en las que los auditores pueden asesorar a la Alta Direccin, y a los encargados de llevar a cabo los procesos de diseo y desarrollo. 1. POLTICAS, ESTNDARES Y PROCEDIMIENTOS Es esencial para todo proceso computacional que estos tres conceptos se redacten, se integren en manuales, se divulguen, se apliquen y se establezcan sanciones para quienes los incumplan o traten de hacerlo. Las metodologas y tcnicas de desarrollo que se apliquen deben estar sustentadas en estos tres conceptos. 2. PLANIFICACIN Los planes de cmputo en cuanto a: o o o o o o o Desarrollo Mantenimiento Adquisiciones Educacin Vacaciones Contingencias Recuperacin en Caso de Desastre

y cualquier otro relacionado, deben estar por escrito, actualizados, ser divulgados y conocidos, adems, deben estar integrados con los planes generales de la organizacin, en los tres conceptos tradicionales de: o o o Estratgico Tctico y Operativo.

Deben adicionarse e integrarse los comits, de Informtica y de Usuarios, as como los puntos claves o crticos de control, como parte del proceso de planificacin. 3. ESTUDIOS ADMINISTRATIVOS PREVIOS Debe establecerse como poltica que antes de iniciar el diseo y desarrollo de cualquier aplicacin, se realice un estudio administrativo/operativo del sistema, con el fin de detectar, antes de computadorizarlo, cualquier problema, anomala, deficiencia o situacin que requiera atencin, para no trasladar estas situaciones a la aplicacin una vez automatizada. Este estudio servir a la vez para revisar los procesos, procedimientos, funciones, tareas, tiempos, movimientos, etc., que de alguna manera se utilice tambin, para realizar reingeniera; adems, ser de gran ayuda, como "entrada" al estudio de factibilidad. Es importante que este estudio se efecte totalmente antes de iniciar cualquier proceso relacionado con el desarrollo del sistema, y que las recomendaciones, disposiciones, y normativa que emanen de l, se pongan a funcionar antes de iniciar el diseo de la aplicacin bajo estudio.

4. ESTUDIO DE FACTIBILIDAD Los objetivos de control exigen que para todo sistema que se disee, debe realizarse un estudio de factibilidad, previa definicin de requerimientos, y para cada una de las opciones revisadas, sugeridas y evaluadas, que comprenda al menos tres factibilidades: 4.1 Factibilidad Tecnolgica Que la tecnologa seleccionada funcionar de manera correcta y adecuada, y sin menoscabo del sistema, una vez puesto en operacin y por la vida del mismo. Que la aplicacin soportar cambios sustanciales en la tecnologa sin tener que realizar modificaciones importantes en l. 4.2 Factibilidad Operacional Que el sistema una vez puesto en operacin funcionar de acuerdo con los criterios bajo los cuales se dise y que no ofrecer problemas de carcter tcnico ni administrativo. 4.3 Factibilidad Econmico / Financiera Que los beneficios (tangibles e intangibles) y ahorros superen a los costos; que los ndices financieros que se calculen sean aceptables, de acuerdo con polticas y estndares generales y especficos; que el proyecto tenga contenido econmico y est contemplado en el presupuesto respectivo. Como mnimo deben calcularse las siguientes razones: o o o o Tasa Interna de Retorno Valor Neto Presente Perodo de Recuperacin Y, el total de los beneficios netos.

Dependiendo de los resultados de este estudio se determinar si se contina o no con el proyecto. 5. PRODUCTOS TERMINADOS Los proyectos computacionales de desarrollo deben cumplir con todos los productos finales de cada una de las etapas en que se divide el CVDS, cualquiera que sea la metodologa que se haya empleado. Adems, estos productos finales deben estar revisados, probados y aprobados por los usuarios. 6. ADMINISTRACIN DE PROYECTOS El diseo y desarrollo de un sistema, as como el mantenimiento mayor, debe manejarse como un verdadero proyecto; como tal deben establecerse los procedimientos y medios para lograrlo. Los aspectos que deben ser tomados en cuenta, entre otros, son: o o o o o Definicin del grupo de trabajo (Comit de Usuarios) Designacin del Administrador del Proyecto (Representante de la Alta Direccin) Establecimiento de las actividades a realizar, en detalle Definicin del cronograma de actividades Establecimiento de fechas de reuniones de seguimiento

o o o o

Clculos y redaccin de Presupuestos en horas y dinero Redaccin de minutas Forma de contabilizar los costos Asignacin de tareas adicionales 7. SEGURIDAD

Este concepto, tan dejado de lado muchas veces, es de vital importancia en todos los procesos de las organizaciones; se debe insistir para que se le d el valor que tiene, en especial en los procesos computacionales; los sistemas de informacin deben contar, desde su implantacin, con los esquemas de seguridad que los protegen contra los intentos no autorizados a sus datos, archivos y programas. Deben establecerse dos niveles de seguridad: o o Seguridad Fsica. Seguridad Lgica.

Adems de la gestin administrativa / operativa que debe realizarse en cuanto a la misma; administracin que debe contemplar la integracin de todos los aspectos de seguridad que imperen en la entidad.

8. PROCESOS DE ADQUISICIONES Los procesos de compra de Tecnologa de Informacin, deben estar sustentados en Polticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organizacin para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
9. O T R O S El auditor de sistemas de informacin puede, dentro de su planificacin, revisar si existen debilidades en otras reas de su empresa, en la que pueda asistirlos y ayudarlos como asesor y consultor, de esta manera podemos decir que entraremos en un cambio de siglo, con nuevos conceptos, actitudes y mentalidades para realizar nuestra labor, dndole un nfasis mucho ms atractivo para los auditados, cual es el "VALOR AGREGADO" en nuestras recomendaciones. VI. CONCLUSIN

Si se lograra influir los suficiente en los niveles administrativos para que comprendan los siguientes puntos y aspectos esenciales: que la gestin de los sistemas de informacin le corresponde a ellos; que el aplicar correcta y adecuadamente los conceptos antes citados, son
vitales para el xito; de las aplicaciones; que se deben integrar los equipos de trabajo de manera que se cumpla con los objetivos de control y los de la organizacin; que los proyectos computacionales deben controlarse y determinar claramente su costo con el fin de capitalizarlos si fuere necesario; que los comits de seguimiento son esenciales; podremos estar tranquilos y seguros que nuestra funcin de asesores y consultores est funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrn sistemas que no van a necesitar mantenimiento excesivo, que el cmputo va a ser parte de la solucin y no parte del problema , como lo es hoy en da.