Dentro de las Normas Internacionales para el Ejercicio
Profesional de la Auditoría Interna, emitidas por el Instituto Global de
Auditores Internos (www.theiia.org), se encuentra la norma de implantación
aplicable a las actividades de aseguramiento, 1210.A3, la cual especifica que “los
auditores internos deben tener conocimientos suficientes de los riesgos y
controles clave en tecnologías de la información y de las técnicas de auditoría
disponibles basadas en tecnología que le permitan desempeñar el trabajo
asignado. Sin embargo, no se espera que todos los auditores internos tengan la
experiencia de aquel auditor interno cuya responsabilidad fundamental es la
auditoría de tecnología de la información”.
Asimismo, la norma de
implantación 1220.A2 indica que “Al
ejercer el debido cuidado profesional el auditor interno debe considerar la
utilización de auditoría basada en tecnología y otras técnicas de análisis de
datos”.
Es bueno destacar el uso del término “debe” para
indicar que se trata, en ambos casos, de requisitos incondicionales. Al margen
de lo anterior, resulta necesario establecer cuáles serían los “conocimientos
suficientes” de los riesgos, controles, técnicas de auditoría disponibles
basadas en tecnología, y otras técnicas de análisis de datos, que le permitan
al auditor interno cuya responsabilidad fundamental no son las tecnologías de
la información, desempeñar eficientemente el trabajo asignado.
Para esto, es necesario partir de la auditoría interna
basada en riesgos, la cual exige la utilización del enfoque basado en procesos
de la organización. Un proceso es “un conjunto de actividades
interrelacionadas, o que interactúan para transformar entradas en salidas”, y
tiene un propósito, un alcance determinado, entradas, salidas, controles y
recursos.
Los recursos son todas las cosas que el proceso debe
tener o utilizar para convertir las entradas en salidas, pudiendo ser estos
tangibles (tal como personas, computadoras y aplicaciones) o intangibles (por
ejemplo habilidades y experiencia). Recursos de vital importancia para los
procesos son los proporcionados por las tecnologías de información, de manera
directa las aplicaciones informáticas que soportan el proceso de negocio, e
indirectamente otros recursos tales como software base, redes de cómputo,
servidores, etc.
Los controles de las tecnologías de la información que
soportan los procesos de negocio, asimismo, pueden ser de dos tipos: controles
generales de tecnologías de información y controles de aplicación.
Los controles generales son responsabilidad de TI,
mientras que los controles de aplicación además de ser responsabilidad de TI
son responsabilidad del negocio, ya que reflejan los controles del negocio y se
basan en los requerimientos funcionales y de control atendidos por medio de
servicios automatizados.
Los procesos de negocio utilizan las aplicaciones como
herramientas, cada una de las cuales cuenta con una base de datos. Esta es la
frontera de los controles de aplicación (la funcionalidad y seguridad
intrínseca de la aplicación, y la integridad de los datos contenidos en la base
de datos que soporta la misma). El siguiente esquema muestra los límites de
ambos controles, los que se superponen en el área de aplicaciones y bases de
datos, sobre las que existe responsabilidad compartida de parte del negocio y
de TI.
En conclusión, la auditoría
de procesos de negocio debe incluir la revisión de los controles de aplicación,
siendo necesario para esto el conocimiento de parte del auditor interno cuya
responsabilidad fundamental no es la auditoría de tecnología de la información,
de las aplicaciones informáticas que soportan el proceso de negocio (al nivel
de usuario de la aplicación) y de la información contenida en la base de datos.
Y para la revisión de la base de datos, el auditor debe conocer y utilizar
técnicas de análisis de datos, disponibles en herramientas especializadas tales
como ACL o IDEA. Todos los demás temas de tecnologías de la información, deben
ser asumidos por el auditor de tecnologías de información; y ninguno de ellos
debería incluirse en la auditoría de un proceso de negocio.
Por Jorge Salazar Heredia, CISA, CIA
Por Jorge Salazar Heredia, CISA, CIA
Excelente articulo me es muy util para el desarrollo de mi investigación.
ResponderEliminar