NUEVAS TECNOLOGÍAS

97Auditoría Pública nº 41 (2007) p.p. 97-100

Fernando Pons OrtegaAuditor Informático y Socio de Deloitte

Auditoría Informática,una aproximación a la mejora del Control Interno

INTRODUCCIÓNLos escándalos contables de principios de la década han provocado un aumen-

to en la sensibilización, tanto de los reguladores como de las organizaciones(públicas y privadas) por el control interno. La existencias de nueva normativaal respecto (como por ejemplo la Sarbannes-Oaxley), las buenas prácticas degobiernos corporativo, las necesidades de transparencia en la gestión como unactivo más de las organizaciones, o la búsqueda de la eficiencia en los procesosinternos han actuado durante los últimos años como catalizadores para la mejo-ra de los mecanismos de control interno en las organizaciones.

Entramos así, en una fase de madurez de las organizaciones, en las que lamejora de la eficiencia y el control de sus actividades comienzan a ser una de lasnecesidades básicas.

Dentro de las diferentes actividades que componen la estrategia de controlinterno de las organizaciones, el control sobre la gestión de los sistemas deinformación día a día adquiere una mayor relevancia. Para ello podemos encon-trar, de manera inmediata, algunas razones:• La creciente dependencia de las organizaciones y sus procesos (tanto internos

como externos) respecto a sus sistemas de información.• Derivado de lo anterior, el aumento de la complejidad de los mismos, con

entornos heterogéneos y abiertos, a la vez que integrados.• El éxito de las estrategias de externalización de la gestión de los sistemas de

información, con los que la dependencia de los sistemas de información serefuerza con la dependencia de uno o varios proveedores de servicio.Prueba de la mayor importancia que el control sobre la gestión de los sis-

temas de información gana día a día, son el hecho de que, por ejemplo, la nor-mativa europea de autorización de organismos pagadores, define, como uno desus cuatro grandes criterios de autorización, el del fomento del uso de los sis-temas de información como soporte a todos sus procesos y el del estableci-miento de un Sistema Integrado de Gestión de la Seguridad (SGSI), que no esmás que el reflejo del aumento del nivel de control sobre los Sistemas deI n f o r m a c i ó n .

En este escenario, el papel de la auditoría informática se muestra como unanueva herramienta para la mejora del control interno en las organizaciones.

AU D I TO R Í A I N F O R M Á T I C A COMO ELEMENTO DE CONTRO LINTERNO

En el momento en el que las organizacionesadquieren conciencia sobre la necesidad de aumen-tar el nivel de control sobre la gestión de sus siste-mas de información, surge la siguiente preguntanatural: ¿pero qué es realmente la auditoría infor-mática y cómo puede ayudarme?

Es natural esta duda desde la perspectiva de que,tradicionalmente, los departamentos de controlinterno o auditoría interna, están compuestos porperfiles muy cercanos al negocio, principalmentefinanciero y, en algunos casos, operativo.

A continuación intentaremos desgranar algunosde los ámbitos en los que la función de la auditoríainformática puede ayudar a la mejora de los siste-mas de control interno de las organizaciones, a tra-vés de la propia evolución que la labor del auditorinformático ha ido experimentando desde sus ini-cios.

En sus inicios, el auditor informático surge comoun apoyo a los tradicionales equipos de auditoría.Su labor de apoyo consistía básicamente en laobtención de información financiera de los sistemas

de información en los que residía y tratarla, conherramientas específicas de tratamiento masivo dedatos, para facilitar la labor de los equipos de audi-toría financiera. Entre las grandes ventajas que elapoyo del auditor informático ofrecía era el da lavalidación del total de la información disponible,en lugar de los habituales procedimientos de mues-treo. Dicha labor continúa siendo hoy día una de lasprincipales tareas del auditor informático. Así, esfácil encontrar auditores informáticos tratandoinformación para validar información contablecompleja de obtener como pueden ser, por ejemplo,en el ámbito financiero, la validación del cálculo dela periodificación de intereses, o en ámbitos pro-ductivos el de la amortización de inmovilizados o lavaloración de existencias.

En paralelo, el hecho de que, cada vez más, lainformación contable de las organizaciones fuesetratada automáticamente y casi por completo en sis-temas informáticos, condujo a una nueva preocupa-ción. ¿Son íntegros los datos de que dispone el equi-po de auditoría? Con esa preocupación, poco a poco,en esa labor de apoyo al auditor financiero, el audi-tor informático pasa, de meramente tratar los datoscontables, a cuestionarse la fiabilidad de los mis-mos. Comienza entonces a plantearse nuevos objeti-vos de control, como son el control de acceso sobrela información, la gestión de autorizaciones, y losmecanismos de registro de actividad sobre dichainformación.

En el momento en el que el auditor informáticocomienza a plantearse objetivos de control sobrequién debe acceder a qué información, qué puedehacer con ella, o a cuestionarse la integridad de lamisma, comienza a necesitar y a obtener un conoci-miento profundo sobre los procesos de negocio de lacompañía. Por otra parte, la integración de dichosprocesos en aplicaciones informáticas, provoca quegran parte de los controles que se aplican sobre losmismos se definan en dichas aplicaciones. A partirde este instante, la labor del auditor informáticocomienza a confluir con la del auditor financiero,adquiriendo una doble versión de especialista en la

NUEVAS TECNOLOGÍAS

98 Abril nº 41 - 2007

definición de procesos de control interno en los pro-cesos de negocio y en su aplicación o análisis sobrelos sistemas de información que los soportan.

Finalmente, en paralelo a la función de apoyo dela auditoría financiera, comenzaron a plantearsenuevas funciones relacionadas con la auditoríainformática. Entre los principales impulsores deesas nuevas funciones, podemos encontrar:

• Los reguladores, que empezaron a generar nor-mativa específica aplicable sobre los sistemas deinformación de las organizaciones y sus procesosde gestión. Los ejemplos más conocidos son laLey Orgánica de Protección de Datos (LOPD enadelante en este documento), desarrollada por elReglamento de Medidas de Seguridad recogidoen el Real Decreto 994/1999, o la Ley de Servi-cios de la Sociedad de la Información.

• Los sistemas de comercio electrónico, tanto entreo rganizaciones (B2B), como orientada a clientesfinales (B2C), que han impulsado la mejora de losprocesos de comercialización de productos pero ala vez han abierto la puerta a nuevos riesgos deri-vados de la necesidad de “abrir” los sistemas deinformación de las organizaciones a terceros.

• El aumento de la complejidad de los sistemas deinformación y la dependencia de las organizacio-nes respecto a los mismos, que en ocasiones semuestran opacos para la dirección de las organi-zaciones y para sus usuarios.

Con ellos, se generó una sensibilización hacia laseguridad de los sistemas de información, enten-diendo la misma desde los tres puntos de vista tra-dicionales:

• Confidencialidad.• Disponibilidad.• Integridad.

Y con ella, los auditores informáticos comenza-ron a analizar los riesgos asociados al uso de los sis-temas de información y los controles destinados agarantizar sus tres pilares básicos. Así, se plateannuevas funciones como la de análisis de vulnerabili-dades de los sistemas y aplicaciones, evaluación de

planes de continuidad de negocio, y, en general, elanálisis de los procesos de gestión de los sistemas deinformación.

En definitiva, el papel actual del auditor infor-mático dentro de las organizaciones lo podemosresumir en dos grandes tareas principales:

• Apoyo del auditor interno, en la definición yaplicación de controles sobre los procesos denegocio de las organizaciones, en tanto que granparte de los mismos se aplican desde sus sistemasde información.

• Auditoría de la gestión de los sistemas de infor-mación, que se plantea básicamente dos objeti-vos:- Que los sistemas de información soportan ade-cuada y eficientemente los procesos de negocio delas organizaciones.- Que la información tratada por los sistemas deinformación dispone de un nivel de seguridadadecuado a su valor y a los riesgos asociados a suuso.

OPCIONES DE IMPLANTACIÓNUna vez que las organizaciones adquieren con-

ciencia de la necesidad de disponer de una funciónde auditoría informática y de qué objetivos persiguecon ella, surge la siguiente cuestión; ¿cómo lo llevoa la práctica de mi organización? No nos debe gene-rar gran preocupación el encontrarnos con esta cues-tión sin tener muy clara la respuesta. A día de hoy,no es atrevido decir que el 80% de las organizacio-nes en España se encuentran todavía en este punto,y que sólo un 20% (principalmente entidadesfinancieras y aseguradoras), lo tienen resuelto.

A la hora de formalizar la función de auditoríainformática dentro de una organización, existenvarias alternativas y, a su vez, diferentes puntos aconsiderar:

• La complejidad de los sistemas de información denuestra organización y la dependencia de nues-tros procesos internos respecto a los mismos (nosólo en términos de disponibilidad, sino tambiénde confidencialidad e integridad).

Auditoría Informática, una aproximación a lamejora del Control Interno

99Auditoría Pública nº 41 (2007) p.p. 97-100

• El nivel de especialización necesario para llevar acabo dicha función.

La complejidad de nuestros sistemas de infor-mación nos puede dar una medida del volumen detrabajo potencial que podría realizar la función deauditoría informática en nuestra org a n i z a c i ó n .Para muchas organizaciones, la complejidad de susentornos todavía puede no ser tal como pararequerir una dedicación “full-time” de personalpara el desarrollo de la función de auditoría infor-m á t i c a .

Por otra parte, de acuerdo a las funciones típicasdel auditor informático, descritas en el punto ante-rior, el perfil del auditor informático es un perfilmuy específico. Si desgranamos un poco los princi-pales “skills” del auditor informático, nos encontra-mos:

• Buen conocimiento de los procesos de negocio.• Buenos conocimientos contables.• Conocimientos informáticos desde varios puntos

de vista:- Programación.- Administrador de sistemas.- Administrador de Bases de datos.- Herramientas de auditoría informática.- Soluciones de seguridad.

• Nociones de manejo normativo.

En ocasiones, las tendencias naturales a la hora decubrir las necesidades de auditoría informática sonbásicamente dos:

• Reaprovechar a algún auditor interno con cono-cimientos avanzados de informática.

• Incluir un informático dentro del equipo deauditoría interna.En ambos casos, desde nuestra experiencia pode-

mos contar algunas excepciones dentro de un nutri-do número de decepciones, tanto para la organiza-ción como para el empleado que se ve responsablede una función a la que no sabe muy bien cómodotar de contenido.

Desde los dos puntos de vista antes mencionados,una opción razonable, al menos en el arranque de la

función de auditoria informática, es la de contar conel soporte de expertos en la materia.

Así, como decíamos anteriormente, podemosencontrar diferentes aproximaciones a la hora deformalizar la función de auditoría informática den-tro de las organizaciones:

• Externalizar totalmente la función, medianteacuerdo marcos, en los que, de manera mixta, laorganización y expertos en la materia definen losobjetivos de control y son los expertos los quedesarrollan los trabajos de auditoría.

• Arrancar de manera inicial la función de audito-ría informática, dotando a la organización de per-sonal dedicado a ello, con el apoyo de expertosque asesoren a la hora de dotar de contenido a lafunción y formar al personal interno en el des-arrollo de las habilidades necesarias.

• Dotar a la organización de recursos específicosdedicados en exclusiva a la función de auditoríainformática.

Cualquiera de las anteriores será válida en fun-ción del análisis que cada organización haga de susnecesidades en este sentido. Así, podemos encontrarentidades financieras que han optado con éxito porexternalizar totalmente su función de auditoríainformática, contando siempre con expertos en cadamateria concreta, mediante acuerdos marcos, mien-tras que otras han optado por dotar de personalinterno dicha función y acometerlo totalmente demanera interna.

CONCLUSIÓNA medida que las organizaciones adquieren

mayor tamaño, y una mayor sensibilidad por el con-trol interno, en la búsqueda de la eficiencia en susprocesos, la necesidad de formalizar la función deauditoría informática se hace más patente.

A la hora de formalizar dicha función, las organi-zaciones deben tener muy presentes los objetivosque se plantean con ella, sus necesidades en cuantoa recursos y las diferentes estrategias que se puedenadoptar para ello, sin olvidar la posibilidad deexternalizar total o parcialmente la función.

NUEVAS TECNOLOGÍAS

100 Abril nº 41 - 2007