La Auditoría Informática como instrumento para la Dirección
Anuncio
Perpectiva de las AA.PP. La Auditoría Informática como instrumento para la Dirección LA MISIÓN DE LA FUNCIÓN DE AUDITORÍA INFORMÁTICA DEBE IR MÁS ALLÁ DE SUPERVISAR LOS CONTROLES Y EN DETERMINAR LA EFICIENCIA DE LOS MISMOS, REFORZÁNDOSE CON UN ENFOQUE PREVENTIVO APORTANDO EL CONOCIMIENTO Y BUENAS PRÁCTICAS Fernando Rodríguez Rivadulla forma en que la auditoría informática puntos de vista ante la dirección de la aporta dichos instrumentos. organización, ya que disponen de una AUDITOR INFORMÁTICO opinión independiente que puede ava- CISA lar sus posicionamientos. AGENCIA ESTATAL DE ADMINISTRACIÓN A su vez, para proveer una direc- Supervisión del Control El control interno es un proceso ción eficaz los directivos de las organi- diseñado con el objeto de proporcionar zaciones necesitan, además de poder un grado de seguridad razonable de la apreciar y poseer un conocimiento consecución de objetivos, y es llevado básico de los riesgos y los límites de a cabo por los miembros de las organi- omo señalara en otro las TIC y los controles adecuados, zaciones en cada nivel de la organiza- artículo ya publicado por contar con instrumentos que midan los ción. Se compone de cinco elementos: resultados alcanzados en relación con el entorno a controlar, la evaluación de las metas y los objetivos fijados. los riesgos a que está expuesto, las TRIBUTARIA C mento a la hora de hacer valer ciertos auditoría y seguridad, las organizaciones exitosas reconocen la necesidad de administrar los riesgos A continuación se comentará la políticas y procedimientos para afron- asociados con las TIC. Surge así la misión principal de la función de Auditoría Informática, o Auditoría de los Sistemas de Información: la supervisión de los controles efectivamente implementados y determinación de la eficiencia de los mismos. La visión anterior es reforzada con un enfoque preventivo de la función de auditoría informática, participando durante la definición de la estructura de controles, asegurando siempre su independencia y aportando el cocimiento y las buenas prácticas de un primer momento. Por otro lado, los directivos TIC auditados comienzan a ver en la función de auditoría informática un instru- nº 6 noviembre / diciembre 2006 83 84 Perpectiva de las AA.PP. mientos legales a cumplir o de las prioridades de control establecidas por la dirección de la organización. Como consecuencia de ello, este tipo de auditorías suele dirigirse al análisis de situaciones de riesgos informáticos en áreas de actividades concretas. A modo de ejemplo, se enumeran algunos tipos de auditorías informáticas para la supervisión del sistema de control establecido: Dirección de las Tecnologías de la Información Seguridad (sistema de gestión de la seguridad, seguridad física o seguridad lógica, seguridad en las redes de comunicaciones) Equipamiento Informático (planificación infraestructuras, puestos de trabajo, redes de área local, mantenimiento del parque e inventario) tar los riesgos respecto de conseguir una apreciación independiente al servi- Desarrollo y Mantenimiento de los los objetivos de la entidad, los instru- cio de la misma para supervisar el con- Sistemas de Información (ciclo de vida mentos de información y comunicación trol establecido. Sobre este particular, de los sistemas de información, facto- para que se pueda desarrollar la acti- debe tenerse presente el ciclo de ges- ría de software) vidad, y la supervisión del proceso que tión de control, que se resume en el Calidad de los Productos Desarrolla- permita introducir modificaciones siguiente esquema, en el cual la fun- dos cuando se estime oportuno. ción de auditoría tendría la misión de Explotación de los Sistemas de In- analizar la implementación de los con- formación auditoría informática, que se traduce troles y corregir la gestión de riesgos Contratación de Bienes y Servicios en asistir a los miembros de la organi- proponiendo, en su caso, mejoras. de Tecnologías de la Información Es allí donde interviene la función de Control de Accesos a los sistemas zación en el efectivo desempeño de sus de información responsabilidades, de forma que se garantice la construcción de la confianza de los accionistas y clientes. Así, los auditores informáticos deben proveer análisis, apreciaciones, recomendaciones, consejos e información concernientes a las actividades revisadas. Como se señalara, es un requisito previo para poder realizar auditorías en general, y auditorías informáticas en particular, que la organización tenga definida, documentada, conocida por todo el personal y aplicada, una Al directivo TIC le podrá resultar de utilidad el trabajo resultante de una auditoría informática, pues contará con una apreciación independiente operativos, bases de datos, etc.) Gestión de la Continuidad del Servicio Informático Acreditación de Servicios de Confianza Cumplimiento de Requerimientos Legales (protección de datos, calidad de servicio en la prestación de los servicios de comunicaciones electrónicas, etc.) Administración Electrónica (aprobación de programas que ejercen potestades, registros telemáticos, etc.) política y procedimientos de control. La función de auditoría informática Técnica de Sistemas (sistemas La naturaleza de las auditorías Centralitas Telefónicas Digitales Accesibilidad de páginas web o por- que se establezca dentro de una orga- informáticas siempre dependerá del nización para examinar y evaluar sus análisis de riesgos que se haya realiza- tales internet/intranet actividades debe ser considerada como do en la organización, de los requeri- ... nº 6 noviembre / diciembre 2006 Perpectiva de las AA.PP. organización están siendo protegidos y adecuadas, es decir el registro por las como instrumento para realizar las El marco metodológico adoptado que se establezcan los controles inter- propias aplicaciones de información auditorías informáticas contemplará nos adecuados para proteger los re- específica para una futura auditoría del una serie de puntos de control de ries- cursos informáticos. proceso al que sirven, y que lo regis- gos, que podrán ser identificados Para ello, además de la supervisión trado guarde relación con los riesgos como aquellos a tener en cuenta en del control sería deseable que la fun- asociados al proceso. las actuaciones y serán objeto de veri- ción de auditoría informática tuviera Señalando la adecuada salvaguarda ficación en función del alcance de las alguna participación en otras fases del de los activos de la organización y el mismas. ciclo de control, como en la planifica- seguimiento de procedimientos ade- ción y en la implantación de los con- cuados. informática no debe perseguir como fin troles, pero siempre asegurando el Asegurando la eficiencia de la ges- único la identificación de deficiencias, principio de independencia, ya que no tión de los recursos, evitando recurrir errores, actos ilegales, fraudes, etc., es éticamente aceptable auditar los a sistemas onerosos o a posteriores sino que también tendrá que poner de controles que haya definido. cambios de procedimientos. Conviene señalar que la auditoría manifiesto las mejoras más sustancia- Así, se podría configurar una parti- les alcanzadas o las buenas prácticas cipación de la función de auditoría seguidas por la unidad auditada. informática apoyando puntualmente a la unidad de la organización con res- Refuerzo del posicionamiento TIC La función de auditoría informática ponsabilidades en las TIC durante la puede, y debe, facilitar a los directivos planificación y el desarrollo o el man- de las organizaciones los instrumentos tenimiento de los sistemas de informa- de apreciación fundamentales para de la auditoría, enfocado a la detec- ción de la organización, así como en la una dirección eficaz. Para ello, las ac- ción de situaciones de riesgo en el definición de los procedimientos a que tuaciones y los informes resultantes sistema de control, ha ido evolucio- dan soporte, por ejemplo, en las si- deben orientarse hacia ese objetivo, nando, se ha vuelto más participativo, guientes tareas: haciendo énfasis en: dando prioridad a un enfoque preven- Asegurando la existencia de contro- La evaluación de la eficacia y la tivo e intentando actuar antes o du- les internos razonables y adecuados. calidad de los servicios prestados por rante el hecho, y no sólo a posteriori. Divulgando y fomentando el uso de las TIC. buenas prácticas del sector. El grado de satisfacción de los de la auditoría informática apunta a Verificando la completa y apropiada usuarios, o incluso de los clientes. participar más activamente en todos documentación de los sistemas y los La verificación del cumplimiento de los los proyectos y decisiones, y en todos procedimientos. planes y programas de actuación TIC. los aspectos de la tecnología relaciona- Asesorando sobre la El ajuste de los resultados a los da, para asegurar que los activos de la implementación de pistas de auditoría objetivos previstos. Participación Proactiva El enfoque tradicional de la función La tendencia actual, en el ámbito Refuerzo del posicionamiento TIC E l directivo TIC debe vencer la resistencia natural de sentirse evaluado por los auditores informáticos, y que viene dada por ver sólo en la auditoría un juicio crítico del trabajo realizado por su equipo. Como directivo debe comprender que aquella actuación de auditoría que cuente con su colaboración resultará un instrumento útil para la mejora operativa de su unidad, y por lo tanto de la organización. En muchos casos, le podrá resultar de utilidad al exponer ante la dirección de la organización la motivación para poner en marcha o modificar políticas de su área. De esta forma, su exposición se verá reforzada por una apreciación independiente al servicio de la organización, que logra establecer un vínculo y una comunicación efectiva. Se salva así la brecha que pudiera existir, sustentando y apoyando ante la dirección la necesidad de reforzar los controles internos para hacer frente a las amenazas, siempre cambiantes en las TIC, lo que suele traducirse en la aprobación de nuevas inversiones. nº 6 noviembre / diciembre 2006 85
