Introducción Hoy en día, las tecnologías de la información están presentes en todas las áreas de las organizaciones. Esta implantación generalizada de SI se ha realizado en muchos casos sin la necesaria planificación, en parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas abiertos, la interconexión global y el deseo por parte de los consumidores de independizarse de los fabricantes traen consigo la necesidad de un estudio más profundo de los SI antes de tomar decisiones. Por lo tanto, se hace necesario mejorar la planificación de futuras implementaciones, la compatibilidad entre sistemas y la organización del personal y de la empresa. En los últimos tiempos el ejercicio en las actividades de auditoria y control en tecnologías informáticas, ha auspiciado un desenvolvimiento mas que acelerado de todas las demás actividades inmersas en la economía de un país. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente auditadas. En las organizaciones modernas, tanto públicas como privadas, la misión de las tecnologías de la información es facilitar la consecución de sus objetivos estratégicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnología, además de los costos derivados de la posible organización estructural que muchas veces conlleva la introducción de estas tecnologías. Esta importante inversión debe ser constantemente justificada en términos de eficacia y eficiencia. Por tanto, el propósito a alcanzar por una organización que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratégicos son los mismos que los de la propia organización y que los sistemas prestan el apoyo adecuado a la consecución de estos objetivos, tanto en el presente como en su evolución futura. Definición de Auditoria La auditoría puede definirse como el examen comprensivo y constructivo de la estructura organizativa de una empresa de una institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que dé a sus recursos humanos y materiales. ¿Qué es Auditoría en Informática? Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones. Bases sobre las que se sustenta la Auditoría en SI En la actualidad los temas relativos a la auditoría informática cobran cada vez más relevancia, debido a que la información se ha convertido en el activo más importante de las empresas, representando su principal ventaja estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información, con el fin de obtener la mayor productividad y calidad posibles. Hoy, a las puertas del siglo XXI, estamos inmersos en un profundo cambio, las empresas y organizaciones dependen de las pautas económicos, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si las tendencias tecnológicas y los entornos económicos e industriales cambian, deben adaptarse rápidamente a las nuevas circunstancias para sobrevivir. Este cambio es muy rápido, está afectando al mundo entero, y su comprensión es fundamental para las organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologías de información. 1 Aunque los avances tecnológicos de los últimos veinte años han sido constantes y espectaculares, en los últimos cinco se ha producido una verdadera revolución tecnológica de gran envergadura e impacto para la propia industria informática, así como de consecuencias importantes para el resto de sectores. Cada vez, con mayor frecuencia, un mayor número de organizaciones considera que la información y la tecnología asociada a ella representan sus activos más importantes. Entonces, de igual modo que se exige para los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e información, son indispensables. La gerencia, por ende, debe establecer un sistema de control interno adecuado y tal sistema debe soportar debidamente los procesos del negocio. Haciendo eco de estas tendencias, la Organización ISACA (Information Systems Audit and Control Association), a través de su Fundación, publicó en diciembre de 1995 el COBIT, como resultado de cuatro años de intensa investigación y del trabajo de un gran equipo de expertos internacionales. Siendo está metodología el marco de una definición de estándares y conducta profesional para la gestión y el control de los SI, en todos sus aspectos, unificando diferentes estándares, métodos de evaluación y controles anteriores. Adicionalmente, esta metodología aporta la orientación hacia el negocio y está diseñada no solo para ser utilizada por usuarios y auditores, sino también como una extensa guía para gestionar los procesos de negocios. Hacia la apertura interdisciplinaria de la Auditoria Toda entidad tiene que hacer frente a riesgos de la más variada índole, que le pueden afectar de la más diversas formas posibles dentro de la actividad de la empresa. Las empresas deben determinar cuáles son los niveles de riesgo aceptables y tratar de evitar que sobrepasen esos límites. Pero, antes de determinar los riesgos, hay que determinar los objetivos. Cada entidad debe determinar sus objetivos, sus puntos fuertes y débiles y las oportunidades y amenazas del entorno. De esta manera obtendrá un plan estratégico que identificará los factores de éxito o condiciones para alcanzar sus objetivos. Los objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la información financiera y objetivos de cumplimiento. Una vez identificados los objetivos, podemos pasar a la identificación y el análisis de riesgos. La dirección debe identificar los riesgos existentes en todos los niveles de la empresa, hay muchos procedimientos para proceder a su identificación pero no es relevante cuál de ellos se use. Una vez identificados, la dirección debe realizar un análisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los mismos, evaluar la probabilidad de que se den y analizar cómo han de gestionarse (estableciendo medidas que tiendan a limitarlos o reducirlos). Hay que tener en cuenta que los cambios producidos en la economía, el sector de actividad, la reglamentación y las actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un contexto determinado quizás no lo será en otro. El análisis de riesgos es, por tanto, una actividad que debe renovarse de forma continuada. La dirección debe estar permanentemente alerta para detectar las circunstancias que van modificando el entorno y por consiguiente los riesgos a enfrentar. Las actividades de control, junto con ciertas actividades de gestión, nos ayudarán a evitar que los riesgos a los que está sujeta la entidad se lleguen a materializar y produzcan efectos negativos en ésta. Las actividades de control se traducen en políticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control). Conceptualmente, la auditoría, sea está de cualquier tipo, consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis, presenta adecuadamente la realidad que pretende reflejar y cumple las condiciones que le han sido prescritas. Con base en lo anterior, podemos descomponer este concepto en los siguientes elementos fundamentales: 2 contenido: una opinión condición: una observación profesional justificación: sustentada en determinados procedimientos objeto: una determinada información obtenida de un soporte finalidad: determinar si presenta adecuadamente la realidad o ésta responde a las expectativas que le son atribuidas, es decir, su fiabilidad En todo caso es una función que se realiza luego, en relación con actividades ya realizadas, sobre las que hay que emitir una opinión. El objeto sometido a estudio, sea cual sea su soporte, por un lado, y la finalidad con que se realiza el estudio, por otro, definen el tipo de auditoría que se esta manejando. De esta manera podríamos clasificar los tipos de auditoria según la siguiente tabla: Clase Financiera Gestión Objeto a evaluar Cuentas anuales Sistemas de aplicación, recursos informáticos, planes de contingencia, etc. Dirección Cumplimiento Normas establecidas Informática Finalidad Presentan realidad Operatividad eficiente y según normas establecidas. Eficacia, eficiencia, económica Las operaciones se adecuan a estas normas Modelo de metodología COBIT, para la implementación de la auditoría en cualquier negocio. La misión y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. COBIT ha sido desarrollado como estándares generalmente aplicables y aceptados para mejorar las prácticas de control y seguridad de las TI, que provean un marco de referencia para la administración, los usuarios y los auditores de cualquier tipo. Básicamente consta de 4 pasos, los cuales conforman el planeamiento y realización de una auditoria, ellos son: • Resumen Ejecutivo El Resumen Ejecutivo se basa en una visión ejecutiva, la cual provee a la administración un entendimiento de los principios y conceptos claves de COBIT, así como el marco que provee a la administración con más detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. • Antecedentes y Marco de Referencia El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la información e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propósitos a ser alcanzados para 3 la implementación de 302 objetivos de control específicos, a través de los 34 Procesos de TI. • Guías de Auditoría Las Guías de Auditoría, las cuales contienen pasos de auditoría sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de información en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administración y recomendar sus mejoras. • Herramientas de Implementación Las Herramientas de implementación, las cuales contienen el conocimiento de la administración y diagnóstico de control de TI, una guía de implementación. Esta nueva herramienta es diseñada para facilitar la implementación de COBIT y relacionar sesiones aprendidas desde organizaciones que rápidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo. Conclusiones Los cambios en la tecnología influyen en qué auditar y en cómo auditar, por lo que inevitablemente, la auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han generado las técnicas informáticas en la forma de procesarla. Los procesos de negocios, que se llevan a cabo dentro de las unidades de una organización, se coordinan en función de los procesos de gestión básicos de planificación, ejecución y supervisión. El control que provee la auditoria es parte de dichos procesos y está integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento, con lo que, constituye una herramienta útil para la gestión, pero no un sustituto de ésta. Esta conceptuación del control se aleja de la antigua perspectiva, que veía el control como un elemento inmerso en las actividades de una entidad o como una carga inevitable, impuesta por los organismos reguladores o por los dictados de burócratas excesivamente celosos. Los controles impuestos por la auditoria, deben ser incorporados a toda la infraestructura de una entidad, no deben ser añadidos, de manera que no deben entorpecer, sino favorecer la consecución de los objetivos de la entidad. Bibliografía disponible. De La Fuente, Reynaldo. "El carácter multidisciplinario de la Auditoría y el control en TI", p 32, Revista Percepciones N° 3, Octubre 2000, Montevideo, Uruguay. http://www.isacachile.cl/cobit.htm http://members.tripod.com/~Guillermo_Cuellar_M/dos.html http://www.inei.gob.pe/cpi/bancopub/libfree/lib605/n00.htm Wiilliam P. Leonard. http://campus.uab.es/~2082564/indice2.htm Echenique, José A. http://campus.uab.es/~2082564/indice2.htm COBIT por sus siglas en ingles Control Objectives for Information and Related Technology 1 4