043

Volver
1
AUDITORA INFORMTICA EN LA
ADMINISTRACIN:
UN RETO PARA LOS PROFESIONALES TIC
Fernando Rodrguez Rivadulla
Colaborador de Auditora - CISA
Agencia Estatal de Administracin Tributaria
Volver
2
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
Fernando Rodrguez Rivadulla
Palabras clave
Auditora informtica
Auditora de sistemas de informacin
Calidad de los servicios pblicos
Construccin de confianza en los servicios pblicos
Control interno
Resumen de su Comunicacin
Las organizaciones exitosas son aquellas que, entre otras cosas, reconocen los beneficios que las
TIC les proporcionan para cumplir sus objetivos. Adems, comprenden la necesidad de administrar los
riesgos del empleo de las TIC, ya que la informacin es uno de sus activos ms importantes.
La funcin de la Auditora Informtica en dichas organizaciones, comienza con la implantacin de un
proceso para supervisar el control de las tecnologas y de los procesos asociados, y evoluciona hacia un
enfoque proactivo participando en otras fases del ciclo de control.
Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados para contri-
buir a la construccin de la confianza en la Administracin Electrnica, configurndose como los garantes
de la prestacin de servicios de calidad, y en la consecucin de las polticas pblicas relacionadas.
Volver
3
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
AUDITORA INFORMTICA EN LA ADMINISTRACIN: UN RETO
PARA LOS PROFESIONALES TIC
1. Introduccin
Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms en los servicios
de las tecnologas de la informacin y las comunicaciones (TIC), que han acompaado la automatizacin y el
crecimiento de todos los procesos productivos, y la prestacin de nuevos servicios.
Como consecuencia, son muchas las organizaciones en las que la informacin y la tecnologa que la soporta
representan los activos ms valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas
tecnologas les pueden proporcionar. La productividad de cualquier organizacin depende del funcionamiento
ininterrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crtico adicional.
Por tanto, se requiere contar con una efectiva administracin de los riesgos asociados con las TIC, y que
viene dada por:
- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente
dependencia de la informacin y de los sistemas que la proporcionan.
- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que
estn expuestos.
- La importancia y magnitud de los costes y las inversiones TIC.
- La desconfianza que los procedimientos automatizados o los servicios electrnicos pudieran
provocar en el colectivo usuario y en los ciudadanos en general.
- El potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a introducir
importantes cambios en la organizacin, y en las prcticas de su actividad, para crear nuevas
oportunidades y reducir costes.
Resulta de ello el rol bsico que debe desempear la funcin de Auditora Informtica, o Auditora de los
Sistemas de Informacin, en una organizacin: supervisin de los controles efectivamente implementados
y determinacin de la eficiencia de los mismos.
Dada la especializacin de los controles a supervisar, es indudable que en la Administracin Pblica el perfil
de los profesionales TIC es el idneo para asumir y realizar directamente esas funciones, ayudando a las
organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de
la Administracin Electrnica.
Es as que los profesionales TIC de la Administracin tienen ante si un reto en su carrera profesional:
realizar tareas propias de la funcin de auditora, para contribuir a la mejora de la calidad de los servicios
prestados a los ciudadanos.
2. Factores Crticos de xito
A continuacin, se relacionarn los factores crticos a tener en cuenta para poder desplegar con xito la
funcin de Auditora Informtica en una organizacin.
Fernando Rodrguez Rivadulla
Volver
4
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
2.1. Participacin de la Direccin
Las organizaciones exitosas, adems de lo antes sealado, comprenden y gestionan los riesgos asociados
con la implementacin de las nuevas tecnologas. Para ello, la direccin de una organizacin necesita poder
apreciar y poseer un conocimiento bsico de los riesgos y los lmites de las TIC para proveer una direccin
eficaz y los controles adecuados. Tambin debe pronunciarse sobre cual es la inversin razonable en
seguridad y control, y sobre cmo balancear el riesgo y el control de las inversiones.
En el caso concreto de la Administracin Pblica que presta servicios electrnicos a los ciudadanos, se
requiere el establecimiento de medidas tanto tcnicas como organizativas que aseguren el mantenimiento de
las garantas en los procedimientos y que fortalezcan la confianza de los usuarios y de los administrados.
En definitiva, es imprescindible que los rganos de direccin de la Administracin entiendan la implicacin de
una gestin de riesgos en general, y los relacionados con las TIC en particular, y aseguren el establecimiento
de un sistema de control apropiado para la organizacin que dirigen. Es un requisito previo para poder
realizar cualquier tipo de auditora que la organizacin tenga definida, documentada, conocida por todo el
personal y aplicada, una poltica de control.
2.2. Estructura Organizativa
En esta comunicacin no se abordar la problemtica relativa al reconocimiento de la funcin TIC como
una unidad estratgica dentro de las organizaciones de la Administracin, que salvo en contados casos,
a diferencia del sector privado, no se ve reconocida orgnicamente como tal. No obstante, se seala
como un condicionante para el despliegue de la funcin de Auditora Informtica, ya que si la operativa
TIC no interviene en la definicin de la estrategia de la Administracin Electrnica, difcilmente la Auditora
Informtica pueda desplegarse eficientemente en la supervisin del control.
Al conformar la estructura organizativa de la unidad que asuma la funcin de la Auditora Informtica
deben asegurarse unos requisitos bsicos para poder cumplir con xito sus propsitos. Por un lado, la
independencia del rgano que tenga asignadas las funciones operativas TIC, dado que la participacin en
tareas ejecutivas comprometera su funcin durante las auditoras. Por otro lado, el reconocimiento de la
autoridad de los auditores, los que debern disponer de acceso no restringido a la informacin requerida
para el ejercicio de sus funciones auditoras, manteniendo la discrecin y la confidencialidad de los asuntos
tratados.
Tambin es fundamental que los auditados, en nuestro caso los profesionales de los centros TIC, adems
de su deber de colaboracin, vean en la Auditora Informtica una herramienta ms de control que emplea
una organizacin que asume y gestiona sus riesgos.
De lo anterior, se ve la necesidad de encuadrar la funcin Auditora Informtica dentro de una unidad con
suficiente rango dentro de la organizacin, que no dependiera de las reas operativas que fuera a auditar,
y dotada del personal con autoridad y nivel tcnico adecuado.
2.3. Marco Metodolgico
El incremento masivo en el uso de medios informticos, ya sea de ordenadores en los puestos de trabajo
como en las aplicaciones de tecnologa cada vez ms sofisticada, y en la prestacin de servicios a los
ciudadanos mediante la Administracin Electrnica, han llevado a la necesidad de adaptar las tcnicas de
auditora tradicionales para poder hacer frente a esos cambios.
Fernando Rodrguez Rivadulla
Volver
5
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar con un
marco metodolgico para organizar las actividades de Auditora Informtica, y as definir las pautas y los
controles a considerar en las futuras actuaciones de auditora. Esto se sustenta en el hecho que el uso de
una metodologa contrastada contribuye a:
- Salvar las brechas existentes entre riesgos del proceso de gestin, necesidades de control y
aspectos tcnicos. Esto es debido a que los riesgos de un proceso de gestin no son los mismos
que los riesgos a que se expone el sistema de informacin que le da apoyo. La Auditora Informtica
debe intentar asegurar que ambos estn controlados, o sea, ajustados a las necesidades de control,
o a lo que se asuma controlar, y a los medios y recursos tcnicos disponibles.
- Determinar el alcance de la tarea de auditora e identificar los controles mnimos, que debe estar
dirigida no slo a auditores informticos, sino tambin a los gestores y a los usuarios.
- Observar e incorporar los estndares y regulaciones nacionales o internacionales.
Al contar con una metodologa se podrn tener predefinidos los procedimientos de actuacin, que aunque
slo lleguen a definir el qu y el cmo hacer las actuaciones, permitirn generar resultados homogneos
por los distintos miembros del equipo auditor. Asimismo, el marco metodolgico adoptado tendr que
definir las pautas y los controles a realizar con relacin a los sistemas de informacin, tecnologas de
hardware, seguridad, planificacin, desarrollo de sistemas, etc.
Las metodologas e instrumentos de normalizacin que pueden ser considerados por el auditor informtico
como referentes, y que debe conocer, y en su caso aplicar, son:
Instrumentos de normalizacin de las Administraciones Pblicas
- Normas de Auditora del Sector Pblico de la IGAE, aunque no son especficas de la Auditora
Informtica, establecen un marco organizativo (www.igae.minhac.es).
- Serie del Centro Criptogrfico Nacional sobre la Seguridad de las Tecnologas de la Informacin
(CNN-STIC), que incluye polticas, procedimientos, normas, instrucciones tcnicas y guas de
implantacin(www.oc.ccn.cni.es).
- Information Technology Infrastructure Library (ITIL) desarrollada por Office of Government
Commerce del H.M.Teasury de UK Government, constituye una gua de las mejores prcticas para
la gestin de servicios de tecnologas de la informacin (www.ogc.gov.uk).
- Serie de publicaciones especiales SP-800 del Instituto Nacional de Estndares y Tecnologa (NIST)
de EE.UU. (http://ers.nist.gov).
Prcticas y recomendaciones del mbito de asociaciones internacionales
- Control Objectives for Information and Related Technologies (COBIT) de la Asociacin de Auditora
y Control de Sistemas de Informacin (ISACA), establecen un marco para la Auditora Informtica
(www.cobit.com).
- IS Standards, Guidelines and Procedures for Auditing and Control Professionals de ISACA (www.
isaca.com).
- Common Criteria for Information Technology Evaluation Version 2.3 de CSE (Canad), SCI (Francia),
BSI (Alemania), NLNCSA (Holanda), GESG (Reino Unido), NIST (EE.UU.) y NSA (EE.UU.).
Fernando Rodrguez Rivadulla
Volver
6
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
Normalizacin internacional
- Cdigo de buenas prcticas para la gestin de la seguridad de la informacin, actual ISO/IEC
17799:2005, y futura ISO/IEC 27002 Controles de seguridad prevista para 2007.
- Especificaciones para los sistemas de gestin de la seguridad de la informacin ISO/IEC
27001:2005.
- Criterios comunes de evaluacin de la seguridad de las tecnologas de la informacin ISO/IEC
15408.
Procedimiento administrativo
- Real Decreto 263/1996 que regula la utilizacin de tcnicas electrnicas, informticas y
telemticas por la Administracin General del Estado BOE 29/02/1996.
- Legislacin sobre registros telemticos: Real Decreto 72/1999 que regula la presentacin
de solicitudes, escritos y comunicaciones ante la AGE, la expedicin de copias de documentos y
devolucin de originales y el rgimen de registros, BOE 22/05/1999; Real Decreto 209/2003
que regula los registros y notificaciones telemticas, utilizacin de medios telemticos para la
sustitucin de certificados, BOE 28/02/2003, y la Orden PRE/1551/2003 que desarrolla su
disposicin final primera, BOE 13/06/2003.
- Resolucin de la Secretara de Estado de Administracin Pblica de 26 de mayo de 2003 que
dispone la publicacin del acuerdo del Pleno de la Comisin Interministerial de Adquisicin de Bienes
y Servicios Informticos que aprob los criterios de seguridad, normalizacin y conservacin de las
aplicaciones utilizadas por la AGE en el ejercicio de sus potestades (www.csi.map.es/csi/pg5c10.
htm).
- MAGERIT versin 2, Metodologa de anlisis y gestin de riesgos de los sistemas de informacin
(http://www.csi.map.es/csi/pg5m20.htm).
Proteccin de datos de carcter personal
- Ley Orgnica 15/1999 de proteccin datos de carcter personal, BOE 14/12/1999.
- Reglamento de medidas de seguridad de los ficheros automatizados que contienen datos
de carcter personal, BOE 25/06/1999 (se espera su actualizacin en 2006).
2.4. Proceso de Auditora
Las actuaciones de Auditora Informtica requieren una planificacin en tres niveles. En el primero se
define qu se debe auditar, apoyndose en un anlisis de riesgos de la organizacin, en requerimientos
legales o en prioridades de la direccin para la consecucin de sus metas. En el segundo nivel se decide
cundo auditar, priorizando las actuaciones a realizar, y ajustando el alcance de las mismas a los recursos
disponibles. Esta planificacin se suele reflejar en un documento de planificacin peridica de la unidad de
auditora. Por ltimo, en el tercer nivel se estipula el detalle de cmo realizar las actuaciones previstas en
ese plan, que se desarrollarn en actuaciones concretas.

Fernando Rodrguez Rivadulla
Volver
7
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
Esta planificacin debe seguir un proceso estructurado en las siguientes fases:

Planificacin de las Actuaciones de Auditora

El equipo de auditora designado deber definir los trabajos a realizar para poder cumplir los objetivos
perseguidos con la actuacin, obteniendo toda la informacin preliminar sobre la actividad llevada a cabo por
el rea sujeta a la auditora. Si el rea ha sido auditada con anterioridad, debe revisarse la documentacin
previa e identificar todos los cambios realizados desde entonces.

Con la informacin previa se podrn definir los objetivos detallados de la actuacin, el calendario tentativo,
identificar los interlocutores, establecer el tipo de informacin a solicitar, y las verificaciones o pruebas de
campo a efectuar durante la actuacin.

Formalizacin del Inicio de la Actuacin

Se realiza mediante una notificacin del responsable de la unidad de auditora dirigida al responsable de
la unidad auditada, en la que se identifica al equipo auditor y el objeto de la accin a llevar a cabo, aunque
pueden darse circunstancias que lleven a que no se enve notificacin previa.

Los trabajos comenzarn con una reunin entre el equipo auditor con el mximo responsable de la unidad
auditada, para dejar establecido el alcance y la planificacin de los trabajos. Durante la entrevista se
describir la informacin a recopilar durante la actuacin, las pruebas y verificaciones a realizar.

El trabajo de los auditores debe minimizar las interferencias con la operativa del rea auditada, evitando
realizar la actuacin durante perodos de trabajo estacional. Los auditados deben tener presente su deber
de colaboracin con el equipo auditor.

Trabajos de Campo

Se recopilar informacin sobre el proceso objeto de la actuacin con el fin de obtener evidencias e
identificar hallazgos que reflejarn las conclusiones de la actuacin, aplicando alguna o varias tcnicas de
auditora:

- Revisin de documentos: Permitir que el equipo auditor adquiera el entendimiento del entorno a
auditar. Los documentos a estudiar sern aquellos que especifiquen la estructura organizativa, las
polticas, normas y estndares y la documentacin general de los sistemas o procesos a auditar.
- Entrevistas: Tienen como finalidad la obtencin de informacin y determinar el grado de
conocimiento que tienen los entrevistados sobre el sistema de control aplicado. Deben organizarse
con antelacin suficiente, siguiendo un patrn, y documentarse preferentemente con notas escritas.
Como material de apoyo pueden emplearse listas de verificacin o cuestionarios.
- Pruebas y verificaciones de campo: El propsito ser determinar si los controles internos se
encuentran operativos y funcionando segn lo previsto. Para concluir que ello ocurre y se lleva a
cabo, deben obtenerse evidencias de una muestra significativa que permita cuantificar el nivel de
cumplimiento. Los tipos de pruebas dependern de la naturaleza de la auditora.
- Observacin del trabajo realizado: Permite identificar la falta de formacin, mejoras para aumentar
la productividad, simplificacin de procesos, entendimiento de lo que realizan, carencias o vicios
adquiridos, etc. En ningn momento el equipo auditor debe obstruir el trabajo realizado, y debe
documentar lo que considere relevante con los medios adecuados (notas, fotografas, etc.).
Fernando Rodrguez Rivadulla
Volver
8
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
- Uso de herramientas: Los entornos informticos plantean un desafo al auditor TIC para obtener
evidencias, ya que generalmente estn en medios y soportes electrnicos. Las herramientas
recolectan esa informacin, y dada su diversidad, en muchos casos sera imposible la recoleccin
y el anlisis posterior. Adems, facilitan la generacin de muestras, se emplean para interrogar los
sistemas de informacin, para extraer informacin, y para ordenarla segn criterios, asegurando
objetividad en el proceso de recoleccin de los datos.

Evaluacin de la informacin

En esta fase se valorar el cumplimiento de las normas, de los procedimientos o de los estndares
reconocidos, y se determinar si los sistemas tienen una estructura de control adecuada, efectiva en
trminos econmicos, que provea una adecuada seguridad que las tareas se realizan segn lo previsto, y
que el objetivo de control se cumple. Tambin se podrn identificar los procesos de control para compensar
las desviaciones sobre lo previsto, para as obtener una estructura de control completa. Todo el anlisis
debe estar justificado con evidencias recogidas en la actuacin.

Comunicacin de los resultados

Al final del proceso de la auditora se mantendr una reunin de cierre con el mximo responsable de la
unidad auditada, para informarle de los principales hallazgos de la actuacin. El auditado tiene la oportunidad
de influir en las recomendaciones que incluir el informe final, dado que es imprescindible contar con su
opinin para asegurar que los resultados y las recomendaciones sean razonables y posibles de llevarse a
cabo.

A continuacin, se redacta el borrador del informe, que incluir todos los hechos, hallazgos, conclusiones
y recomendaciones. En la redaccin del documento se empelar un lenguaje claro, exento de tecnicismos,
y el detalle tcnico de las pruebas y evidencias se acompaar en anexos. El borrador se remitir a la
direccin del rea auditada, para que remita los comentarios por escrito que estime convenientes.

Despus de revisar y en su caso tomar en consideracin las observaciones remitidas sobre el borrador,
se elaborar el informe final de la auditora. Si el equipo de auditora no coincidiese con alguno de los
comentarios realizados sobre el borrador, debern ser explicadas las razones e incluidas en el informe
final.

Las recomendaciones del informe podrn dar lugar a instrucciones dirigidas a la direccin de la unidad
auditada, sugiriendo acciones para resolver las incidencias sealadas.

Seguimiento

Las recomendaciones incluidas en las instrucciones tendrn que ser llevadas a cabo en un perodo de
tiempo determinado despus de la recepcin del informe. El trabajo de auditora no se podr dar por
finalizado hasta que no se compruebe la ejecucin de las recomendaciones, lo que dar lugar a un informe
de cumplimento. La oportunidad para realizar un seguimiento depender de la gravedad de los hallazgos, y
estar sujeta al criterio del auditor o de su direccin.

2.5. Auditores Informticos

Los profesionales que por su formacin y capacitacin profesional deben asumir la funcin de Auditora
Informtica son sin lugar a duda los profesionales TIC. En el mbito del sector privado existen organizaciones
profesionales que habilitan a un profesional como auditor informtico mediante la certificacin profesional
que gestionan. El modelo de currculo que dichas organizaciones definen, y que un profesional debera
Fernando Rodrguez Rivadulla
Volver
9
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
acreditar para ser reconocido como un auditor informtico, se basa en reas de conocimiento, las que
suelen ser:

- Tcnica o metodologa de Auditora Informtica.
- Gestin, planificacin y organizacin de las tecnologas de la informacin.
- Infraestructura tcnica, prcticas operativas y proteccin de activos informticos.
- Recuperacin de desastres y continuidad de la actividad soportada por los sistemas de
informacin.
- Desarrollo, adquisicin, implantacin y mantenimiento de sistemas de informacin.
- Evaluacin de procesos de negocio y gestin de riesgos.

La certificacin se obtiene despus de aprobar un examen sobre esas materias, acreditar una experiencia
profesional adecuada en el campo de las TIC y aceptar un cdigo de tica profesional; y se mantiene
acreditando una formacin continua en la materia.

En la AGE ya se estn dando los pasos hacia la preparacin de profesionales como auditores TIC, ya que los
planes de formacin del INAP incluyen cursos especficos sobre tcnicas de auditora y sobre tcnicas de
control de sistemas informticos. Se cubrira as que el auditor informtico, como un tcnico o especialista
informtico ms, recibiese una formacin constante para actualizar sus conocimientos, capacidades y
habilidades.

No obstante, caben sealar otras reas no relacionadas con las TIC o la auditora, que son igualmente
fundamentales para cubrir el perfil del profesional del auditor informtico, tales como la capacidad para
poder:
- Comprender los procesos de gestin de los servicios pblicos y la normativa legal en que se apoyan
los sistemas de informacin.
- Evaluar programas y polticas pblicas.
- Revisar y evaluar riesgos de reas gestionadas por las TIC.
- Identificar o diagnosticar problemas y plantear soluciones.
- Llenar el vaco de comunicacin entre usuarios y tcnicos.
- Saber comunicar los temas claves a la direccin.
- Saber negociar y resolver situaciones de conflicto.
- Saber cuando solicitar asistencia de profesionales especializados.
Finalmente sealar que los trabajos de auditora ms exitosos sern aquellos en los cuales el equipo auditor
y los auditados se consideren asimismo como consultores y clientes respectivamente. El entendimiento y
aplicacin de este concepto tiende a establecer una relacin de trabajo ms constructiva, y puede resultar
en la mejora de la operativa de la unidad bajo revisin.
Fernando Rodrguez Rivadulla
Volver
10
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
3. Actuaciones de Auditora Informtica
Teniendo presente que el principal objetivo de la funcin de Auditora Informtica debe ser asistir a los
miembros de la organizacin en el efectivo desempeo de sus responsabilidades, de forma que se garantice
la construccin de la confianza hacia la Administracin Electrnica, los auditores informticos deben
proveer anlisis, apreciaciones, recomendaciones, consejos e informacin concernientes a las actividades
revisadas.
Sobre este particular, debe tenerse presente el ciclo de gestin de control, en el cual la funcin de auditora
tendra la misin de analizar la implementacin de los controles y corregir la gestin proponiendo, en su
caso, mejoras, y que se resume en el siguiente esquema:


La funcin de Auditora Informtica que se establezca dentro de una organizacin para examinar y evaluar
sus actividades debe ser considerada como una apreciacin independiente al servicio de la misma para
supervisar el control establecido. Es un requisito previo para poder realizar Auditoras Informticas que
la organizacin tenga definida, documentada, conocida por todo el personal y aplicada, una poltica de
control.
3.1. Supervisin del Control
El marco metodolgico adoptado como instrumento para realizar las Auditoras Informticas contemplar
una serie de puntos de control de riesgos que podrn ser identificados como aquellos a tener en cuenta en
la actuacin y que sern objeto de verificacin en funcin del alcance de la misma.
Las Auditoras Informticas suelen dirigirse al anlisis de situaciones de riesgos informticos en reas de
actividades concretas. La naturaleza de las auditoras siempre depender del anlisis de riesgos que se
haya realizado en la organizacin, de los requerimientos legales a cumplir o de las prioridades de control
establecidas por la direccin de la organizacin.
A modo de ejemplo, se enumeran algunos tipos de Auditoras Informticas:
Fernando Rodrguez Rivadulla
Volver
11
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
- Auditora de la Direccin de las Tecnologas de la Informacin.
- Auditora de la Seguridad: sistema de gestin de la seguridad, seguridad fsica o seguridad lgica,
seguridad en las redes de comunicaciones.
- Auditora del Equipamiento Informtico: planificacin infraestructuras, puestos de trabajo, redes
de rea local, mantenimiento del parque e inventario.
- Auditora de los Desarrollos y Mantenimiento de los Sistemas de Informacin.
- Auditora de Calidad de los Productos Desarrollados.
- Auditora de la Explotacin de los Sistemas de Informacin.
- Auditora de la Contratacin de Bienes y Servicios de Tecnologas de la Informacin.
- Auditora de Control de Accesos a los sistemas de informacin.
- Auditora de Tcnica de Sistemas: sistemas operativos, bases de datos, etc.
- Auditora de la Gestin de la Continuidad del Servicio Informtico.
- Acreditacin de Servicios de Confianza.
- Auditoras de Cumplimiento de Requerimientos Legales: proteccin de datos, aprobacin de
programas que ejercen potestades, registros telemticos, etc.
3.2. Participacin Proactiva
El enfoque tradicional de la funcin de la auditora ha ido evolucionando, se ha vuelto ms participativa,
dando prioridad a un enfoque preventivo e intentando actuar antes o durante el hecho. La tendencia actual,
en el mbito de la Auditora Informtica apunta a participar ms activamente en todos los proyectos
y decisiones, y en todos los aspectos de la tecnologa relacionada, para asegurar que los activos de la
organizacin estn siendo protegidos y que se establezcan los controles internos adecuados para proteger
los recursos informticos.
Adems de la supervisin del control, sera deseable que la funcin de Auditora Informtica tuviera alguna
participacin en otras fases del ciclo de control, como en la planificacin y en la implantacin de los controles,
pero siempre asegurando el principio de independencia, ya que no es ticamente aceptable auditar los
controles que haya definido.
As, se podra configurar una participacin de la funcin de Auditora Informtica apoyando puntualmente a
la unidad de la organizacin con competencias TIC en la planificacin y el desarrollo o en el mantenimiento
de los sistemas de informacin de la organizacin, as como en la definicin de los procedimientos a que
dan soporte, por ejemplo, en las siguientes tareas:
Fernando Rodrguez Rivadulla
Volver
12
Tecnimap 2006 Sevilla, 30 de Mayo - 2 de Junio
043
- Asegurando la existencia de controles internos razonables y adecuados.
- Divulgando y fomentando el uso de buenas prcticas del sector.
- Verificando la completa y apropiada documentacin de los sistemas y procedimientos.
- Asesorando sobre la implementacin de pistas de auditora adecuadas, es decir que las aplicaciones
registren informacin especfica para una futura auditora del proceso al que sirven, y que la
informacin registrada guarde relacin con los riesgos relacionados con el proceso.
- Sealando una adecuada salvaguarda de los activos de la organizacin y el seguimiento de
procedimientos adecuados.
- Asegurando la eficiencia de la gestin de los recursos, evitando recurrir a sistemas onerosos o a
posteriores cambios de procedimientos.
Conviene sealar que la Auditora Informtica no debe perseguir como fin nico la identificacin de
deficiencias, errores, actos ilegales, fraudes, etc., sino que tambin tendr que poner de manifiesto las
mejoras ms sustanciales alcanzadas o las buenas prcticas seguidas por la unidad auditada.
4. Conclusiones
Las organizaciones exitosas son aquellas que, entre otras cosas, reconocen los beneficios que las TIC les
proporcionan para cumplir sus objetivos. Adems, comprenden la necesidad de administrar los riesgos del
empleo de las TIC, ya que la informacin es uno de sus activos ms importantes.
La funcin de la Auditora Informtica en dichas organizaciones, comienza con la implantacin de un proceso
para supervisar el control de las tecnologas y de los procesos asociados, y evoluciona hacia un enfoque
proactivo participando en todas las fases del ciclo de gestin del control.
Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados para contribuir a
la construccin de la confianza en la Administracin Electrnica, configurndose como los garantes de la
prestacin de servicios de calidad, y en la consecucin de las polticas pblicas relacionadas.
Las organizaciones pblicas deben tomar conciencia de ello y potenciar los factores sealados para el
despliegue de la funcin de Auditora Informtica.
Fernando Rodrguez Rivadulla