La Auditoría Informática como instrumento para la Dirección

Anuncio
Perpectiva de las AA.PP.
La Auditoría Informática como
instrumento para la Dirección
LA MISIÓN DE LA FUNCIÓN DE AUDITORÍA INFORMÁTICA DEBE IR MÁS ALLÁ DE SUPERVISAR
LOS CONTROLES Y EN DETERMINAR LA EFICIENCIA DE LOS MISMOS, REFORZÁNDOSE CON
UN ENFOQUE PREVENTIVO APORTANDO EL CONOCIMIENTO Y BUENAS PRÁCTICAS
Fernando
Rodríguez
Rivadulla
forma en que la auditoría informática
puntos de vista ante la dirección de la
aporta dichos instrumentos.
organización, ya que disponen de una
AUDITOR INFORMÁTICO
opinión independiente que puede ava-
CISA
lar sus posicionamientos.
AGENCIA ESTATAL
DE ADMINISTRACIÓN
A su vez, para proveer una direc-
Supervisión del Control
El control interno es un proceso
ción eficaz los directivos de las organi-
diseñado con el objeto de proporcionar
zaciones necesitan, además de poder
un grado de seguridad razonable de la
apreciar y poseer un conocimiento
consecución de objetivos, y es llevado
básico de los riesgos y los límites de
a cabo por los miembros de las organi-
omo señalara en otro
las TIC y los controles adecuados,
zaciones en cada nivel de la organiza-
artículo ya publicado por
contar con instrumentos que midan los
ción. Se compone de cinco elementos:
resultados alcanzados en relación con
el entorno a controlar, la evaluación de
las metas y los objetivos fijados.
los riesgos a que está expuesto, las
TRIBUTARIA
C
mento a la hora de hacer valer ciertos
auditoría y seguridad,
las organizaciones exitosas reconocen
la necesidad de administrar los riesgos
A continuación se comentará la
políticas y procedimientos para afron-
asociados con las TIC. Surge así la
misión principal de la función de
Auditoría Informática, o Auditoría de
los Sistemas de Información: la supervisión de los controles efectivamente
implementados y determinación de la
eficiencia de los mismos.
La visión anterior es reforzada con
un enfoque preventivo de la función
de auditoría informática, participando
durante la definición de la estructura
de controles, asegurando siempre su
independencia y aportando el cocimiento y las buenas prácticas de un
primer momento.
Por otro lado, los directivos TIC
auditados comienzan a ver en la función de auditoría informática un instru-
nº 6 „ noviembre / diciembre 2006
83
84
Perpectiva de las AA.PP.
mientos legales a cumplir o de las
prioridades de control establecidas por
la dirección de la organización. Como
consecuencia de ello, este tipo de
auditorías suele dirigirse al análisis de
situaciones de riesgos informáticos en
áreas de actividades concretas.
A modo de ejemplo, se enumeran
algunos tipos de auditorías
informáticas para la supervisión del
sistema de control establecido:
„ Dirección de las Tecnologías de la
Información
„ Seguridad (sistema de gestión de la
seguridad, seguridad física o seguridad
lógica, seguridad en las redes de comunicaciones)
„ Equipamiento Informático (planificación infraestructuras, puestos de
trabajo, redes de área local, mantenimiento del parque e inventario)
tar los riesgos respecto de conseguir
una apreciación independiente al servi-
„ Desarrollo y Mantenimiento de los
los objetivos de la entidad, los instru-
cio de la misma para supervisar el con-
Sistemas de Información (ciclo de vida
mentos de información y comunicación
trol establecido. Sobre este particular,
de los sistemas de información, facto-
para que se pueda desarrollar la acti-
debe tenerse presente el ciclo de ges-
ría de software)
vidad, y la supervisión del proceso que
tión de control, que se resume en el
„ Calidad de los Productos Desarrolla-
permita introducir modificaciones
siguiente esquema, en el cual la fun-
dos
cuando se estime oportuno.
ción de auditoría tendría la misión de
„ Explotación de los Sistemas de In-
analizar la implementación de los con-
formación
auditoría informática, que se traduce
troles y corregir la gestión de riesgos
„ Contratación de Bienes y Servicios
en asistir a los miembros de la organi-
proponiendo, en su caso, mejoras.
de Tecnologías de la Información
Es allí donde interviene la función de
„ Control de Accesos a los sistemas
zación en el efectivo desempeño de sus
de información
responsabilidades, de forma que se
garantice la construcción de la confianza de los accionistas y clientes. Así, los
auditores informáticos deben proveer
análisis, apreciaciones, recomendaciones, consejos e información concernientes a las actividades revisadas.
Como se señalara, es un requisito
previo para poder realizar auditorías
en general, y auditorías informáticas
en particular, que la organización tenga definida, documentada, conocida
por todo el personal y aplicada, una
Al directivo TIC le podrá
resultar de utilidad el
trabajo resultante de una
auditoría informática,
pues contará con una
apreciación independiente
operativos, bases de datos, etc.)
„ Gestión de la Continuidad del Servicio Informático
„ Acreditación de Servicios de Confianza
„ Cumplimiento de Requerimientos
Legales (protección de datos, calidad de
servicio en la prestación de los servicios
de comunicaciones electrónicas, etc.)
„ Administración Electrónica (aprobación de programas que ejercen potestades, registros telemáticos, etc.)
política y procedimientos de control.
La función de auditoría informática
„ Técnica de Sistemas (sistemas
La naturaleza de las auditorías
„ Centralitas Telefónicas Digitales
„ Accesibilidad de páginas web o por-
que se establezca dentro de una orga-
informáticas siempre dependerá del
nización para examinar y evaluar sus
análisis de riesgos que se haya realiza-
tales internet/intranet
actividades debe ser considerada como
do en la organización, de los requeri-
„ ...
nº 6 „ noviembre / diciembre 2006
Perpectiva de las AA.PP.
organización están siendo protegidos y
adecuadas, es decir el registro por las
como instrumento para realizar las
El marco metodológico adoptado
que se establezcan los controles inter-
propias aplicaciones de información
auditorías informáticas contemplará
nos adecuados para proteger los re-
específica para una futura auditoría del
una serie de puntos de control de ries-
cursos informáticos.
proceso al que sirven, y que lo regis-
gos, que podrán ser identificados
Para ello, además de la supervisión
trado guarde relación con los riesgos
como aquellos a tener en cuenta en
del control sería deseable que la fun-
asociados al proceso.
las actuaciones y serán objeto de veri-
ción de auditoría informática tuviera
„ Señalando la adecuada salvaguarda
ficación en función del alcance de las
alguna participación en otras fases del
de los activos de la organización y el
mismas.
ciclo de control, como en la planifica-
seguimiento de procedimientos ade-
ción y en la implantación de los con-
cuados.
informática no debe perseguir como fin
troles, pero siempre asegurando el
„ Asegurando la eficiencia de la ges-
único la identificación de deficiencias,
principio de independencia, ya que no
tión de los recursos, evitando recurrir
errores, actos ilegales, fraudes, etc.,
es éticamente aceptable auditar los
a sistemas onerosos o a posteriores
sino que también tendrá que poner de
controles que haya definido.
cambios de procedimientos.
Conviene señalar que la auditoría
manifiesto las mejoras más sustancia-
Así, se podría configurar una parti-
les alcanzadas o las buenas prácticas
cipación de la función de auditoría
seguidas por la unidad auditada.
informática apoyando puntualmente a
la unidad de la organización con res-
Refuerzo del posicionamiento TIC
La función de auditoría informática
ponsabilidades en las TIC durante la
puede, y debe, facilitar a los directivos
planificación y el desarrollo o el man-
de las organizaciones los instrumentos
tenimiento de los sistemas de informa-
de apreciación fundamentales para
de la auditoría, enfocado a la detec-
ción de la organización, así como en la
una dirección eficaz. Para ello, las ac-
ción de situaciones de riesgo en el
definición de los procedimientos a que
tuaciones y los informes resultantes
sistema de control, ha ido evolucio-
dan soporte, por ejemplo, en las si-
deben orientarse hacia ese objetivo,
nando, se ha vuelto más participativo,
guientes tareas:
haciendo énfasis en:
dando prioridad a un enfoque preven-
„ Asegurando la existencia de contro-
„ La evaluación de la eficacia y la
tivo e intentando actuar antes o du-
les internos razonables y adecuados.
calidad de los servicios prestados por
rante el hecho, y no sólo a posteriori.
„ Divulgando y fomentando el uso de
las TIC.
buenas prácticas del sector.
„ El grado de satisfacción de los
de la auditoría informática apunta a
„ Verificando la completa y apropiada
usuarios, o incluso de los clientes.
participar más activamente en todos
documentación de los sistemas y los
„ La verificación del cumplimiento de los
los proyectos y decisiones, y en todos
procedimientos.
planes y programas de actuación TIC.
los aspectos de la tecnología relaciona-
„ Asesorando sobre la
„ El ajuste de los resultados a los
da, para asegurar que los activos de la
implementación de pistas de auditoría
objetivos previstos.
Participación Proactiva
El enfoque tradicional de la función
La tendencia actual, en el ámbito
Refuerzo del posicionamiento TIC
E
l directivo TIC debe
vencer la resistencia
natural de sentirse evaluado por los auditores
informáticos, y que viene
dada por ver sólo en la
auditoría un juicio crítico
del trabajo realizado por
su equipo. Como directivo debe comprender que
aquella actuación de
auditoría que cuente con su
colaboración resultará un
instrumento útil para la
mejora operativa de su unidad, y por lo tanto de la
organización. En muchos
casos, le podrá resultar de
utilidad al exponer ante la
dirección de la organización
la motivación para poner en
marcha o modificar políticas
de su área.
De esta forma, su exposición se verá reforzada por
una apreciación independiente al servicio de la organización, que logra establecer
un vínculo y una comunicación efectiva. Se salva así la
brecha que pudiera existir,
sustentando y apoyando
ante la dirección la necesidad de reforzar los controles internos para hacer
frente a las amenazas, siempre cambiantes en las TIC,
lo que suele traducirse en
la aprobación de nuevas
inversiones.
nº 6 „ noviembre / diciembre 2006
85
Descargar