El título de nuestro trabajo es: “La doble función del Auditor Interno en la Auditoria a las Tecnologías de la Informática y las Comunicaciones. Experiencia de la División Territorial villa Clara”.
Los autores de este trabajo son el MsC. Antonio Rodríguez Pérez, graduado de Licenciatura en Derecho en la Universidad Central de Las Villas, Asesor Jurídico y Asesor para los temas de Control Interno en COPEXTEL SA, División Territorial Villa Clara y la Lic. Olga Lidia León Burguera, Asesora Jurídica, graduada de Licenciatura en Derecho de la Universidad de La Habana, Asesora de COPEXTEL SA, División Territorial Villa Clara para los temas de Gestión de la Calidad.
La investigación se enmarca en la temática de Auditoría, específicamente en el tema relativo a la Auditoría a las Tecnologías de la Información.
Los objetivos que nos trazamos son los siguientes: Establecer los antecedentes directos de la Auditoría de las Tecnologías de la Información y las Comunicaciones; definir el Impacto de las TIC en la Gestión Empresarial; especificar la doble función del Auditor Interno en las Auditorías de las TIC y puntualizar la importancia que tiene validar todos estos procesos sobre la base de Normas Internacionales, definiéndose ello sobre la base de la experiencia de COPEXTEL SA, División Territorial Villa Clara.
La Auditoria de las TIC está adquiriendo cada vez mayor relevancia, desde su aparición en el año 1969, debido a la cada vez mayor importancia y protagonismo de los sistemas informáticos en todos los ámbitos de nuestra Sociedad. Estas auditorías ayudan a las organizaciones a evaluar la manera en que hacen sus negocios o proveen sus servicios apoyados por TIC, buscando proteger los intereses del Estado, de los Trabajadores y de los Clientes. Un elemento que nos ha propiciado, en gran medida, reducir los riesgos en materia de utilización de las TIC en nuestra División, ha sido incorporar a los Auditores Internos de nuestro Sistema de Gestión de Calidad Integrada, a los procesos de desarrollo de Sistemas Informáticos sobre los que se sostiene y organizan algunas de nuestras actividades. La participación del Auditor Interno es uno de los mejores controles en el desarrollo de sistemas informáticos de gestión empresarial, en tanto es el mejor momento para que el Auditor pueda influir en el diseño de controles. La información es el recurso más importante de cualquier compañía, por ser el único que no se puede o es muy difícilmente reemplazable. Al mismo tiempo, es el recurso que está sujeto a mayores vulnerabilidades. Cuando en materia de Auditoría Interna logramos incluir los temas relacionados con la aplicación de las TIC en la gestión empresarial, logramos evaluar la efectividad del control interno en esa importante esfera de la empresa, alcanzando una verdadera diversidad en la Lista de Chequeo utilizada por los Auditores. Lograr contar con un Sistema Integrado de Gestión, certificado ya por las Normas ISO 9001 nos ha permitido direccionar el trabajo en función de alcanzar, a corto plazo, la certificación por las Normas ISO 27001 y 27002, normas en las que nos detendremos someramente a continuación.
Las principales conclusiones a la que arribamos en nuestra investigación es que el vertiginoso desarrollo que tienen las Tecnologías de la Informática y las Comunicaciones exigen del mundo empresarial un accionar más efectivo en relación con el ordenamiento de los mecanismos de control interno sin desvirtuar su esencia; además pudimos constatar que la labor del Auditor, desde los primeros momentos del surgimiento e implementación de aplicaciones informáticas, permite detectar y corregir posibles riesgos en la Gestión Empresarial, con menos costes y de manera más oportuna. Otra de las conclusiones a la que arribamos es que es viable y objetivamente posible integrar, en materia de Auditorías Internas de Sistemas de Gestión Empresarial, los temas relacionados con el control, la supervisión y la fiscalización a las Tecnologías de la Informática y las Comunicaciones, además de tener la opción de validar esas mejores practicas con Normas Internacionales como son la ISO 27001 y 27002.
Desarrollo.
Los objetivos que nos trazamos son los siguientes:
- Establecer los antecedentes directos de la Auditoría de las Tecnologías de la Información y las Comunicaciones;
- Definir el Impacto de las TIC en la Gestión Empresarial;
- Especificar la doble función del Auditor Interno en las Auditorías de las TIC;
- Puntualizar la importancia que tiene validar todos estos procesos sobre la base de Normas Internacionales.
- Destacar la experiencia de COPEXTEL SA, División Territorial Villa Clara, en relación con la aplicación de estas buenas prácticas.
El alcance de nuestra investigación estuvo centrado básicamente en la labor realizada en COPEXTEL SA, División Territorial Villa Clara, por los Auditores Internos del Sistema de Gestión de la Calidad Integrado, relativo a la revisión de las Tecnologías de la Informática y las Comunicaciones y su inserción en nuestro Sistema de Gestión Empresarial, como parte de las acciones del Sistema de Control Interno con el que contamos. Nuestra experiencia abarcó las siete Unidades Estratégicas de Negocio declaradas en nuestra estructura organizacional, las 4 Gerencias de Apoyo y el aparato de dirección de la División.
Globalización, Internet, nuevos mercados… La creciente complejidad de los entornos en los que se mueven las empresas y especialmente la creciente importancia que han adquirido los Sistemas de Información, hace necesario que los departamentos de auditoría interna realicen un esfuerzo por anticiparse a los nuevos riesgos antes de que sea demasiado tarde. Para esta tarea es fundamental una perfecta coordinación con los departamentos responsable de los sistema de información que no siempre existe.
La Auditoria de las Tecnologías de la Información y las Comunicaciones está adquiriendo cada vez mayor relevancia, desde su aparición en el año 1969, debido a la cada vez mayor importancia y protagonismo de los sistemas informáticos en todos los ámbitos de nuestra Sociedad. Actualmente, las Empresas y Organismos depositan en sus Sistemas de Información la responsabilidad de gestionar de forma eficaz y eficiente sus transacciones de negocio. Los procesos manuales son cada vez menos frecuentes y en la práctica se observa que la casi totalidad de las empresas hacen uso de la enorme capacidad de proceso, gestión y comunicación disponibles, todo ello a precios cada vez más asequibles a Organizaciones de todos los tamaños. Esta responsabilidad hace que una posible pérdida de la operatividad de estos sistemas tenga un impacto muy importante en las capacidades de gestión corporativa, por lo que se hace cada vez más imprescindible disponer de métodos y tecnologías que minimicen las probabilidades de sufrir incidencias que conlleven estas consecuencias negativas.
El procesamiento electrónico de datos comenzó en la década de 1950 para llevar las cuentas y el registro de actividades en las organizaciones. Al poco tiempo inició el interés por auditar los sistemas de información, los procesos de negocios apoyados por estos, los datos financiero-contables, la infraestructura tecnológica y la seguridad informática.
Se someten a examen las actividades apoyadas por las TIC para revisar los controles, el cumplimiento con políticas y regulaciones, así como el grado en el cual estas apoyan la eficiencia, eficacia y rentabilidad económica.
Estas Auditorías ayudan a las organizaciones a evaluar la manera en que hacen sus negocios o proveen sus servicios apoyados por TIC, buscando proteger los intereses del Estado, de los Trabajadores y de los Clientes. Esto permite validar la seguridad, confiabilidad, integridad y privacidad de los sistemas de información.
Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa para su buen gobierno, el auditor interno también trabaja como consejero empresarial, asesorando en cuanto al establecimiento de políticas y estándares que aseguren la información y el control de las TIC.
Un elemento que nos ha propiciado, en gran medida, reducir los riesgos en materia de utilización de las TIC en nuestra División, ha sido incorporar a los Auditores Internos de nuestro Sistema de Gestión de Calidad Integrada, a los procesos de desarrollo de Sistemas Informáticos sobre los que se sostiene y organizan algunas de nuestras actividades, para lo cual brindaremos nuestra experiencia sobre la base de los elementos sobre los que se sostiene la labor del Auditor en ese contexto. Estamos en presencia, en este caso, de la labor profiláctica del Auditor, la que bien encausada, contribuye no solo a la formación de habilidades en el control interno de directivos y trabajadores, sino a evitar la ocurrencia de violaciones de la norma.
La participación del Auditor Interno es uno de los mejores controles en el desarrollo de sistemas informáticos de gestión empresarial, en tanto es el mejor momento para que el Auditor pueda influir en el diseño de controles. Durante ese período se pueden hacer cambios en la estructura del control del aplicativo, a un costo mucho más bajo y con esfuerzos menores, que después de estar el sistema en su etapa productiva.
Su contribución principal consiste en asegurar que los nuevos sistemas incluyan controles apropiados (efectivos y suficientes).
Nuestra experiencia nos ha permitido definir algunos de los principales problemas con que se encuentra el Auditor Interno durante el desarrollo de los Sistemas Informáticos de Gestión de la Empresa, para lo cual formularemos algunas interrogantes a las que daremos respuesta más adelante.
- Los Auditores pierden su independencia mental y objetividad al participar en el desarrollo de sistemas?
- Si el Auditor participa y dice que los controles son apropiados, posteriormente se sentirá impedido para decir que son inadecuados los controles?
- Se justifica producir aplicativos con pobres controles simplemente para que el Auditor pueda mantener independencia?
Las soluciones a estas interrogantes serían:
- Hacer que las aplicaciones en funcionamiento sean revisadas por Auditores Internos diferentes a los que participaron durante el desarrollo del sistema.
- Efectuar revisiones solo en puntos críticos del ciclo de vida del desarrollo del sistema.
Para lograr un mejor entendimiento de la labor del Auditor Interno en todo el proceso de creación de nuevas aplicaciones informáticas sobre la que se sostiene determinada actividad de nuestra Gestión Empresarial, se hace necesario esbozar los distintos momentos por lo que atraviesa el mismo desde su nacimiento hasta su puesta en explotación.
- Auditoría al Proyecto de Desarrollo de Sistemas Informáticos, momento en que se evalúa e informa a la dirección de la empresa “que tan bien se lleva a cabo las fases de desarrollo del sistema” En tal sentido la labor del Auditor estaría encaminada a:
- Monitorear y evaluar el cumplimiento de las políticas y estándares de desarrollo del sistema.
- Evaluar la objetividad de las revisiones y aprobaciones administrativas de cada fase.
- Evaluar la responsabilidad y grado de participación de los usuarios, proveedores, técnicos.
- Evaluar la planeación y ejecución de la fase de implementación.
- Auditoría a la Administración de Proyectos de Desarrollo de Sistemas Los puntos de intervención de la Auditoría se establecerán en cada una de las etapas del ciclo de desarrollo del Sistema.
- Definición de necesidades de información.
- Definición del modelo de datos.
- Diseño del sistema de información
- Construcción y pruebas del sistemas
- Implantación del sistema
- Operación y ajuste al sistema
- Auditoría a las Fases de Estudio previo
- El Auditor debe verificar que son razonables los procesos que llevan a la solución del problema
- Determinar además que las necesidades del usuario están definidas y documentadas
- Verificar que se han elaborado estudios sobre la relación coste/beneficio y que esta es razonable
- Determinar que el problema empresarial se ha solucionado
- Verificar que se han especificado los requisitos de control.
- Auditoría a la Fase de Diseño
- Se deben identificar los riesgos de la aplicación, determinando los controles de la aplicación para reducir el riesgo a niveles aceptables.
- Cumplimiento en la aplicación de estándares, políticas, regulaciones y
- La documentación (manuales) de la aplicación debe estar completa
- La aplicación ha de ser capaz de resolver los problemas planteados.
Además el Auditor debe verificar:
- Especificaciones de entrada
- Especificaciones del proyecto
- Especificaciones de salida
- Flujograma de sistemas
- Necesidades de hardware y software
- Especificaciones de procedimiento del manual de operaciones
- Política de retención de datos
- Auditoría a la fase de Programación Se deben revisar los siguientes documentos:
- Especificaciones de programación
- Estudio general de la aplicación (transacciones y cadenas)
- Documentación de programas
- Instrucciones de Operación
- Documentación de los ensayos (diseño y resultados de las pruebas)
- Auditoría a la Fase de Prueba La información que se obtiene de la fase de prueba incluye:
- Pruebas del Plan
- Pruebas de los datos
- Resultados de las pruebas informe del usuario con la aceptación o rechazo de la aplicación
- Auditoría a la Fase de Conversión
- Plan de Conversión
- Flujograma de conversión
- Listados de los programas y documentación de la conversión
- Documentación necesaria para la sustitución de los programas antiguos por los nuevos
- Nuevo manual del operador
- Nuevo manual del usuario
- Procedimiento de la verificación de que la fase de conversión se ha ejecutado con éxito.
Nuestra entidad, dentro de sus experiencias en esta modalidad de Auditoría puede referir el trabajo realizado en relación a dos importantes aplicaciones creadas por nuestros Especialistas territoriales: una de ella nombrada “Registro de Clientes y Registros de Contratos” y la otra “Sistema de Gestión de los Servicios Técnicos. Observamos que desde el nacimiento mismo de estas aplicaciones informáticas nos vinculamos a su proyecto, desarrollo e implementación para toda la División Territorial, pudiendo corregir en cada una de esas etapa todos aquellos detalles técnicos necesarios para contar con aplicaciones que realmente respondieran a las necesidades de la alta dirección, pero a su vez que estuvieran validadas con herramientas de control interno que nos dieran la certeza de que la información contenida en cada uno de estos Software no fuera vulnerada fácilmente por los usuarios del mismo.
Se impone ante todo referir que cada experiencia abordada en nuestra investigación es sobre la base de la condición de Auditores Internos que tiene el Grupo Gestor, integrado en nuestro caso por 11 especialistas. Esta condición de Auditores Internos de Gestión Empresarial ha sido otorgada por el Lloyd’s Register y están avaladas por las Norma ISO 9001, lo cual nos otorga facultades para evaluar, fiscalizar y perfeccionar las herramientas de gestión habilitadas para cada proceso declarado en la División. La Norma ISO 9001 en nada se contrapone con el Sistema de Control Interno, en tanto exige por requisito que toda la gestión empresarial sea evaluada de manera sistemática en función de detectar oportunamente posibles desviaciones, corregir las mismas y trabajar sobre la base de las mejoras continúas. Es la propia Norma quien exige incluir en el alcance de cada Auditoría los temas relativos a las TIC, al estar sostenido el funcionamiento de la Empresa en Sistemas Informáticos.
El Asesor Jurídico, como ente velador de la legalidad en la Empresa, junto con parte del Grupo Gestor de la División, puede realizar acciones de supervisión y monitoreo de cada una de las aplicaciones a las que hacemos alusión anteriormente, proceder que de igual manera pueden realizar los directivos de las distintas estructuras de mando. Estas revisiones o monitoreos se hacen online, se valida contra los documentos primarios (en copia dura) que sustentan cada registro en los Software y se mide no solo la legalidad de cada asiento realizado, sino la propia trazabilidad de las operaciones ejecutadas por los usuarios del sistema.
En cada supervisión no solo medimos el cumplimiento de la norma legal, sino el funcionamiento del software sobre el que sostenemos cada sistema. Los diferentes tipos de reportes que hemos habilitado como medio de consulta de estas aplicaciones son también parte de las acciones de control que tenemos prevista, lo cual nos da la posibilidad de medir eficacia y eficiencia de cada proceso, pero a su vez el cumplimiento de la norma, los sistemas de salva, la posible vulnerabilidad de los sistemas y el proceder del capital humano que opera estas TIC.
Auditoría de Seguridad basada en las Normas ISO27001 e ISO27002
La razón de ser de las Normas ISO27001 e ISO27002 es contar con un sistema de gestión que permita, partiendo de la base de que la seguridad absoluta no existe, ofrecer a empresas y organizaciones, instrumentos para garantizar al máximo posible la seguridad de su información.
Una buena definición de las políticas de seguridad es necesaria para disponer de unas líneas de actuación específicas en el marco de la seguridad relativa a las Tecnologías de la Información en el futuro.
NORMA ISO/UNE 2700X
La información es el recurso más importante de cualquier compañía, por ser el único que no se puede o es muy difícilmente reemplazable. Al mismo tiempo, es el recurso que está sujeto a mayores vulnerabilidades.
La seguridad de la información pretende proteger a la información de amenazas, garantizando la continuidad del negocio, así como minimizar los posibles daños y maximizar el rendimiento de las inversiones y las oportunidades de negocio. Es importante subrayar que la seguridad de la información no es sinónimo de seguridad informática. La seguridad de la información efectivamente incluye aspectos técnicos, pero se extiende también al ámbito de la organización y contempla aspectos que son estrictamente jurídicos.
Factores críticos de despliegue de las buenas prácticas recogidas en las Normas ISO 27001 e ISO 27002
La política de seguridad debe adecuarse a los objetivos de la organización; el enfoque de seguridad de la información debe ser coherente con la cultura de la organización, siendo necesarios el compromiso y el apoyo visible de la dirección.
ÁMBITO DE LA NORMA ISO 27002
La norma ISO27002 (antes ISO 17799) es una guía para empresas y organizaciones, cuyo contenido es eminentemente orientativo. Establece lo que la empresa “debería hacer” para contar con una gestión de la seguridad de la información eficaz.
Estructura de la Norma ISO 27002
La norma se estructura entorno a 12 áreas o ámbitos de actuación denominados Cláusulas de Control:
- Análisis de riesgos
- Política de seguridad.
- Organización de la seguridad.
- Clasificación y control de activos.
- Seguridad ligada al personal.
- Comunicaciones y gestión de la explotación.
- Control de acceso al sistema.
- Seguridad física y del entorno.
- Desarrollo y mantenimiento.
- Plan de Continuidad.
- Conformidad a leyes.
- Gestión de incidentes de seguridad
Cuando en materia de Auditoría Interna logramos incluir los temas relacionados con la aplicación de las TIC en la gestión empresarial, logramos evaluar la efectividad del control interno en esa importante esfera de la empresa, alcanzando una verdadera diversidad en la Lista de Chequeo utilizada por los Auditores, quienes asistidos por expertos en estos temas, nos han dado la posibilidad de detectar oportunamente riesgos, modificar normas o manuales internos, delimitar y corregir desviaciones de los principales procesos sobre los que se sostiene la Gestión Empresarial, formar y profilactar a directivos y trabajadores sobre estas actividades, convirtiéndose ello en una importante herramienta con la que cuenta la alta dirección de nuestra entidad, lo cual le permite una efectiva y oportuna toma de decisiones en la diversas estructuras de mando.
Lograr contar con un Sistema Integrado de Gestión, certificado ya por las Normas ISO 9001 nos ha permitido direccionar el trabajo en función de alcanzar, a corto plazo, la certificación por las Normas ISO 27001 y 27002, normas en las que nos detendremos someramente a continuación.
LA NORMA ISO27001
La segunda parte del estándar BS7799 se ha convertido en la norma ISO27001, y especifica la forma de implementar los controles seleccionados de la norma ISO27002.
Por último es importante destacar su gran interrelación con otras normas de gestión como la conocida ISO9001 de Calidad y la ISO 14001 de Medio Ambiente.
El desarrollo de una Auditoría de seguridad basada en las Normas ISO 27001 e ISO 27002 permitirá conocer el nivel de seguridad existente en la información de la compañía, así como tener suficientes elementos para abordar inversiones futuras siguiendo no sólo criterios de capacidad sino de seguridad.
Esta ha sido una experiencia circunscripta a nuestra División Territorial, pero que perfectamente puede ser aplicada en cualquier empresa cubana, que aún sin contar con un Sistema de Gestión certificado, puede incluir en el proceso de control interno el tema relacionado con la Auditoría de las Tecnologías de la Informática y las Comunicaciones
Conclusiones.
Las principales conclusiones a la que arribamos en nuestra investigación es que el vertiginoso desarrollo que tienen las Tecnologías de la Informática y las Comunicaciones exigen del mundo empresarial un accionar más efectivo en relación con el ordenamiento de los mecanismos de control interno sin desvirtuar su esencia; además pudimos constatar que la labor del Auditor, desde los primeros momentos del surgimiento e implementación de aplicaciones informáticas, permite detectar y corregir posibles riesgos en la Gestión Empresarial, con menos costes y de manera más oportuna. Otra de las conclusiones a la que arribamos es que es viable y objetivamente posible integrar, en materia de Auditorías Internas de Sistemas de Gestión Empresarial, los temas relacionados con el control, la supervisión y la fiscalización a las Tecnologías de la Informática y las Comunicaciones, además de tener la opción de validar esas mejores practicas con Normas Internacionales como son la ISO 27001 y 27002.
Recomendaciones.
- Implementar, de manera escalonada, en las empresas de nuestro territorio, la experiencia de la División Territorial Villa Clara, en relación con la inserción, dentro de la Auditoría Interna, del tema relacionado con el control a las Tecnologías de la Informática y las Comunicaciones.
- Potenciar los cursos de formación de los Auditores Internos en materia de las nuevas Tecnologías de la Informática y las Comunicaciones sobre las que se sostiene gran parte del Sistema de Gestión Empresarial.
- Introducir en los planes de estudio y de habilitación de la asignatura de Auditoría, los temas vinculados a las nuevas Tecnologías de la Informática y las Comunicaciones.
- Realizar Talleres, al nivel de empresas, que le permitan a los directivos y trabajadores poder evaluar la importancia y la necesidad de ejercer el control interno en relación con las TIC aplicadas a los procesos de cada entidad.
Referencia Bibliográfica.
- Auditoria TIC. Sergio Etcheverry G. setcheve@unap.cl … Departamento de Auditoría y Sistemas de Información. Actualizado al: 21/03/2007. www.unap.cl/~setcheve/ati/index.html – 9k –
- Los escépticos sobre las bondades de las auditorías, o más concretamente con las de SI–TIC, pueden disipar sus dudas o temores a través de la Asociación de www.idg.es/computerworld/articulo.asp?id=160393 – 65k –
- Proceso de Auditoría. · Función de la Auditoría en las TIC. · Conceptos fundamentales de auditoría. · Estándares y Directrices de Auditoría … www.itdeusto.com/itdeusto/modules/idealportal/upload/Master.pdf –
- Protección de los Activos de Información y Continuidad de Negocio y Recuperación de Desastres. DIPLOMA. AUDITORÍA DE SISTEMAS Y TIC’s. usistemas.cl/2006/images/stories/pdf_diplomas/auditoria_contabilidad/r_diplomado_auditoria_sistemas_ti.pdf –
- Find other items tagged with “auditoria-tic”:. Technorati Del.icio.us IceRocket · Términos de Servicio · Privacidad · Ayuda · Estadisticas … es.wordpress.com/tag/auditoria-tic/ – 10k –
- Experto en Auditoría, Peritaje y Gestión TIC. Tipo de master:. Curso Experto. Modalidad: Presencial. Fecha de inicio:. Cada mes. Horas lectivas: … www.ofertaformativa.com/masters/master-cursos-curso-experto-auditoria-peritaje-gestion-tic-esne.htm – 36k –
- En las auditorías a los Departamentos TIC se identifica el grado de alineamiento del departamento con las necesidades de la organización, … integrity.abast.es/auditoria_departamentos_tic.shtml – 11k –
- Página principal del website de Abast Grup, proveedor global de soluciones de negocio y servicios TIC.
integrity.abast.es/ – 13k – - Generar un encuentro de los profesionales del campo de la auditoría y del control con los nuevos conceptos y enfoques de esta labor profesional, … 158.170.11.155:8080/moodle/course/info.php?id=26 – 5k –
- Información del artículo COBIT 4.0 Marco de trabajo para la auditoría de las TIC. dialnet.unirioja.es/servlet/articulo?codigo=2164668 – 10k –