CAPITULO 5 ORGANIZACION DEL DEPARTAMENTO DE AUDITORIA INFORMATICA Rafael Ruano Diez 5.1, ANTECEDENTES El concepto de auditoria informatica ha estado siempre ligado al de auditoria en general y al de auditoria interna en particular, y éste ha estado unido desde tiempos histéricos al de contabilidad, control, veracidad de operaciones, ete. En tiempo de los egipcios ya se hablaba de contabilidad y de control de los registros y de las operaciones. Aun algunos lhistoriadores fijan el nacimiento de la excritura como consecvencia de la necesidad de registrar y controlar operaciones (Dale Flesher, $0 Years of Progress). Hago esta referencia histérica a fin de explicar la evolucién de la corta pero intensa historia de la auditoria informética, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la wctualidad. Si analizamos el nacimiemto y la existencia de la auditorfa informética desde un pento de vista empresarial, tendremos que empezar analizando el contexto organi~ zativo y ambiental cn el que se mueve. Empezaremos diciendo que tamo dentro del comexto estratégico como del operativo de las organizaciones actuales, los sistemas de informaciéa y la arquitectura que los soporta desempeian un importante papel como uno de los soportes basicos para la gestidn y el control del negocio, siendo asi uno de los requerimientos bisicos é cualquier organizacida. Esto da lugar a los sistemas de informacién de una ceganizacién. Es evidente que para que dichos sistemas cumplan sus objetivos debe existir una funcide de gestiin de dichos sistemas, de los recursos que los manejan y de las a™ 108 AUDITORIA INFORMATICA: UN ENFOQUE PRACTICO: ota inversiomes que se ponen a disposicién de dichos recursos para que ¢l funcionamiemo y bos resultados sean los esperados. Esto es Jo que llamamos el Departamento de Sistemas de Informacion. Finalmente, y en funcién de bo amerior, aunque mo como algo mo enteramente aceptado ain, debe cxistir una funcidn de control de la gestidin de los sistemas y del departamento de sistemas de informaciin, A esta funcide la Mamames auditoria informitica. El concepto de la funciie de auditoria informatica, cn algunos casos Mamada fupcién de control informitico y en los menos, Hamada y conocida por ambos términos, arranca en su corta historia, cuando cn bos afios cincuenta las organizaciones empezaron a desarrollar aplicaciones informiticas. En ese momento, la auditoria trataba con sistemas manuales, Posteriormente, en funcidn de que las organizaciones empezaron con sistemas cada vex mds complejos, se hizo necesario que parte del trabajo de auditoria empevara a tratar com sistemas que utilizaban sistemas informdtioos, En ese momento, los equipos de auditoria, tanto externos como internos, empezaron a scr mixtos, con involucracién de auditores informdticos junto cos auditores financieros, En ese momento se comenzaron a utilizar des tipos de enfoque diferentes que en algunos casos convergian: + Trabajos en fos que el equipo de auditoria informética trabajaba bajo ws programa de trabajo propio, aunque entroncando sus objetivos con los de la auditoria financiera; éste era el caso de trabajos en los que se revisaban controles generales de la instalacién y controles especificos de las aplicaciones bajo conceptos de riesgo pero siempre unido al hecho de que el equipo de auditoria financiers ulilizarfa este trabajo para sus conclusiones generale: sobre cl componente financier determinado, * Revisiones en las que la auditoria informatica consistia en la extracciéa de informaciée para ¢] equipo de auditoria financiera. En este caso el equipo o funcién de auditoria interna era un exponeme de la mecesidad de ls organizaciones y departamentos de auditoria de utilizar expertos ex informatica para proveer al personal de dicho departamento de informaciga extraida del sistema informético cuando la informacién a auditar estaba empezando a ser voluminosa y se estaba perdiendo la pista de mo se habia creado. Esta situacién convive hoy en dia con conceplos mis actuales y novedosos de lo que es la funcidn y de lo que son los objetivos de la auditoria informatica, En mi opinidn, y es algo que vamos a desarrollar a continuacién, fa tendencia futura de la auditoria informética radicard en los siguientes principios:Chum CAPITULO 5: ORGANIZACION DEL DEPARTAMENTO DE AUDITORIA INFORMATICA 109 . Todos los auditores tendrin que tener conocimientos informdticos que les permitan trabajar en e! cada vex mis fluctuante entorno de las tecnologias de la informacién dentro de las organizaciones cmpresariales, culturales y sociales. 2. Ese aspecto no climinaré la pecesidad de especialistas cn auditorta informitica; antes al contrario, tos especialistas necesitarin cada vex, més, tunos conocimientos muy especificos, que al igual que sucede en el entomo de Jos sistemas de informacién, les permitan ser expertos en las difereniics ramus de Ia tecnologia informatica: comunicaciones, redes, ofimdtica, comercio electrdnico, seguridad, gestidn de bases de datos, ete. » El auditor informética dejaré de ser un profesional procedente de otra Srea, con su consiguiente reciclado, para pasar a ser un profesional formado y titulado en auditoria informédtica que tendré a su alcance diferentes medios de formacién, exiema fundamentalmente, y que tendrd que formar una red de conocimientos compartides con otros profesionales, tanto en su organizacién como con profesionales de otras organizaciones, El futuro de la auditoria informética estaré cn la capacidad de cubrir adecuadamente, en cuanto a experiencia y especializacidn, todas las reas de los sistemas informdtices y de informacién de una empresa y en saber de forma propia o con ayuda interna y externa, adecuarse a los cambios que sucedan en la Tecnologia de a Informacién. Para adecuarse a estos cambios, cl auditor informdtico, tendré que aulogenerar su propia filosofia de gestién del cambio. 5.2. CLASES Y TIPOS DE AUDITORIA INFORMATICA ‘Como he tratado de mencionar anteriormente, existe una gran confusidn sobre lo que cs auditoria informdtica y ta relaciém que Uiene con otras ramas organizativas de hs empresas y organizaciones. Aun hoy en dia, si preguntisemos a diferentes agentes empresariales y sociales, nos contestarian con diferentes respucstas sobre lo que es y cs auditoria informatica. Voy a tratar de resumir las diferentes acepciones de auditoria informitica que txisten en nuestro pais: * Auditoria informatica como soporte ala auditoria tradicional, financiera, etc. + Avditoria informatica coa el concepto anterior, pero afladiendo ta funcién de auditoria de la funcién de gestidn del entomo informatica. baoo” 1O_AUDITORIA INFORMATICA: UN ENFOQUE PRACTIO onan + Anditoria informdtica como funcidn independiente, enfocada hacia ly obtenciin de la situactén actual de un entorno de informacién ¢ informitico es aspectos de seguridad y riesgo, eficiencia y veracidad e integridad. * Las acepciones anteriores desde un punto de vista interno y extemno, * Auditoria como funcién de control dentro de un departamento de sistemas. Ante esta situacién déjenme expresar cudl es mi visidn sobre lo que es y debe ser Ja funcién de auditoria informitica. 5.3. FUNCION DE AUDITORIA INFORMATICA 5.3.1. Definicién Esté claro a estas alturas que la anditoria, revisidn, diagndstico y control de tes sistemas de informacién y de los sistemas informativos que soportan éstos deben ser realizados por personas con experiencia en ambas disciplinas, informdtica y auditoria (en principio Hamemos a nuestro amigo el Auditor Informético General: AIG). A exo yo le afado que ademis nuestro amigo debe completar su formacidn coa conocimientos de gestién del cambio y de gestién empresarial. {Cémo definimos entonces a nuestro amigo AIG? Para tratar de definir su perfil, la definicidn més exacta es quizd que es un profesional dedicado all andlisis de sistemas de informacién ¢ informéticos que est4 especializado en alguna de las miiltiples ramas de la auditoria informética, que tiene conocimientos generales de ke dmbitos en los que, ésta se mueve, que tiene conocimientos empresariales generales, y que ademés: Posee las caracteristicas necesarias para actuar como consultor com su auditado, dindole ideas de cémo enfocar Ia construccién de los elementos de control y de gestién que le sean propios. Y que puede actuar come consejero con la organizacién en la que esti desarrollando su labor, Un cntormo informitico bicn controlado, pyode scr un entormo ineficiente si po es consistente con los objetivos de la organizacién. El eterno problema que se ha suscitado durante mucho ticmpo es si el auditor informdtico, al no existir tal formacién académica en nuestro pais, tenia que ser un auditor convertido cn informditica, o por cf contrario un informiitico reciclado como auditor informdticn. En mi larga experiencia, he visto de todo, personal de desarrollo ode explotacidin convertidos en auditores informdticos en menos de un mes, auditores financieros reciclados, primero como extractores de informaciéa, mediante la formaciéa en et adecuado software de interrogacién de archivos, y posteriormente convertidos en auditores de la funcién informatica.eases CAPITULO S: ORGANIZACION DEL DEPARTAMENTO 198 AUDITORIA INFORMATICA Ltt En ambos casos, los éxitos y los fracasos se acurulaban por igual. ,Qué hacer en estos casos? ;Cudl debe ser el perfil correcto de un auditor informitico? Esta es mi ‘visién y opinién del perfil del futuro auditor information y consecuentemente de las funciones que la funcién de auditoria informitica debe tener. 5.3.2. Perfiles profesionales de la funcién de Auditoria Informatica ‘A tenor de fo que hemos dicho hasta ahora, se ve claramente que cl auditor informético debe ser tna persona con un alto grado de calificacién técnica y al mismo ‘Ueenpo estar integrado en las corrientes organizativas empresariales que imperan hoy en dia, De esta forma, dentro de la funcién de auditoria informatica, se deben ‘contemplar las siguientes caracteristicas para mantener un perfil profesional adecuado yy actualizado: L. La persona o personas que imtegren esta funcién deben contemplar cn su formaciéa bdsica una mezcla de conocimientos de auditoria financiera y de informatica general. Estos dltimos deben contemplar conocimientos basicos en cuanto a: * Desarrollo informiitico; gestién de proyectos y det ciclo de vida de un proyecto de desarrollo. * Gestién del departamento de sistemas. * Anilisis de riesgos en un entomo informdtico. + Sistema operative (este aspecto dependerd de varios factores, pero principalmente de si va a trabajar en un entomno Gnico ~auditor intemo- 0, por el contrario, va a tener posibilidades de trabajar en varios entornos comp auditor externa). © Telecomunicaciones, © Gestién de bases de datos. * Redes locales. + Seguridad fisica. * Qperaciones y planificaciéa informitica: efectividad de las operaciones y del rendimiento de los sistemas. © Gestida de la seguridad de los sistemas y de la continuidad empresarial a través de planes de contingencia de la informacién. + Gestidn de problemas y de cambios en entomnos informéticos. * Administracién de datos.oy 112 _AUDITORLA INFORMATICA: UN ENFOQUE FRACTICO, oma * Ofimética. * Comercio electrinico, * Encriptacidn de: datos. 2, A estos conocimientos bisicos se les deberd aftadir una especializacién a funciéa de la importancia econémica que distintos componentes financier Ppuedan tener en un entorno empresarial, Asé, en un entorno financiero puedes tener mucha importancia las comunicaciones, y seri mecesario que alguica demtro de la funcién de avditoria informatica tenga esta especializacién, pem esto mismo peeds no ser vilido para un entomo productive en el que lis transacciones EDI pueden ser més importantes. 3. Uno de los problemas que mis han incididéo en la escasa presencia de auditores informéticos en nuestro pais, es quizs la a veces escasa relaciéa entre el trabajo de avditoria informética y tas conclusiones con el entom empresarial donde se ubicaba la “entidad auditada”, Esta sensacidn de que bs hormas van por sitios diferentes de por donde va el negocio ha sido fru muchas veces de la escasa comunicacién entre el auditado (objectives empresariales) y el auditor (objetivos de control}, Como quiera que la croda realidad nos esté demostrando en la actualidad cada vex mis la necesidad de cada vez mayor control en los sistemas de informacién, se hace necesario pars el auditor informiitico conocer téenicas de gestién empresarial, y sobre todo de gestidn del cambio, ya que las recomendaciones y soluciones que se aporten deben estar en la linea de la bdsqueda éptima de la mejor solucién para ks objetivos empresariales que se persiguen y con los recursos que se tienen. 4. El auditor informitico debe tener siempre el concepto de Calidad Total, Como parte de un colectivo empresarial, bien sea permanentemente com auditor interno © puntualmente como auditor extemo, el concept de calidad total hard que sus conclusiones y trabajo sea reconocide como un clemeato valioso dentro de la organizacién y que los resultados sean aceptados ¢n totalidad. Esta apticacién organizativa debe hacer que la propia imagen dei auditor informético sea mds reconocida de forma positiva por la organizaciéa. 5.3.3, Funciones a desarrollar por la funcién de Auditoria Informatica ‘Se han suscitado milltiples controversias sobre las funciones a desarrollar en cuanto al trabajo de Auditoria Informética que se debe realizar. {Cuil es el objetivo de una Auditoria Informatica? ;Qué se debe revisar, analizar o diagnosticar?hus _ CAPITULO $: ORGANEZACION DEL. DEPARTAMENTO DEL AUDITORIA INFORMATICA 113 {Puede Ia funcién de Auditorfa Informitica aporiar slo lo que le piden o debe formar parte de wn ente organizativo total, lo que le exige una actited de contribucién total al entorno empresarial en el que esti realizando su trabajo? En definitiva, ;qué aspectos debe revisar el auditor informatico? Debe revisar la seguridad, el control intemo, la efectividad, la gestiéa del cambio y la integridad de la informacién. Si analizamos la realidad mis actual, diremos que la funcién Auditoria Informitica debe mantener en la medida de Io posible los objetivos de revisiGn que le demande la organizacién, pero como esto es muy gencral, vamos a precisar algo mis Joque seria un entomo ideal que tiene que ser auditado. Supongamos una organizaciin que produce componentes tecnoldgicos de audio y video tanto en formato primario como en producto semiterminado y terminado, Esta ‘ceganizacién mantiene sus programas y resultados de investigaciéa bajo control informitico. Ademids tiene las caracterfsticas propias de cualquier empresa productora y comercial en cuanto a sistemas de informaci6n. Maatiene en Internet un sistema de informactéa de sus productos con la posibilidad de que usuarios de la Red puedan hacer consultas sobre diferentes caracteristicas de los productos. Gasta anualmente un uuno por ciento de su facturaciéa en sus sistemas de informacidn y un diez por ciento en inwestigacién. {Cudles serfan los objetivos de revisidn de Ja Auditoria Informética en este gjemplo? Desde luego parece que la Auditoia Informética deberia enfocarse hacia aspectos de seguridad, de comercio electrénico y de control imemo en general, atadiendo en funcién de lo expuesto en cuanto al gasto anual que deberia realizarse ena revisidn de La efectividad del departamento. Esto nos indica que solamente con un ejemplo simple vemos que la Auditoria Informética abarca campos de revisién més alld de los que tradicionalmemte se han mantenido; esto es, la sevisiGn del contro! intemo informatico de los servicios centrales y de las aplicaciones. EI mundo complejo de las empresas en el que nos movemos, con industrias emergentes y con una tendencia globalizadora cn los negocios, hace muy necesario or los sistemas de control imerno sean lo mis efectivos posibles, pero también conceptos mis amplios, come el riesgo de la informacién, la continuidad de las operaciones, la gesticin del centro de informacién o Ia efectividad y actualizacién de las inversiones realizadas son necesarias para poder mantener cl nivel competitive que el mundo empresarial demanda a sus sistemas de informaciéa. Es asf que entonces la funcién de Auditoria Informatica debe realizar un amplio abanico de actividades objetivas, algunas de las cuales enumero a continuacién: aeIM AUDITORIA INFORMATICA: UN ESPOQUE PRACTIOD enn * Verificaciéa del control intemo, tanto de kas aplicaciones como de los sistemas informaticos, centrales y periféricos, * Andlisis de la gestiGn de los sistemas de informacién desde un punto de vista de riesgo de seguridad, de gestiin y de efectividad de la gestidn. * Andilisis de la integridad, fiabilidad y certeza de la informacién a través del andilisis de las aplicaciones. Esta funcidn, que la vienen desempefiando los auditores informdtioos, esti empezando ya a desarrollarla los auditores financieros. + Avditoria det riesgo operativo de los circuitos de informacién. * Andlisis de Ia gestién de los riesgos de la informacién y de la seguridad implicita. * Verificacién del nivel de continuidad de las operaciones (a realizar ‘conjuntamente con los auditores financieros). + Anilisis del Estado del Arte tecnolégico de ta instalacién revisada y de las eonsecuencias empresariales que un desfase tecnolégico pueda acarrear. + Diagnéstico sobre ef grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de informacién de la organizacida, El papel de la avditoeia informética se convierte de esta manera en algo mis que la clisica definiciéa det auditor informitico: ~... el auditor informiitico es responsable para establecer los objetivos de control que reduzcan o eliminen la exposicién al riesgo de control interno. Después de que los objetivos de la auditoria se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisién para determinar las areas que requieran correcciones o mejoras.” Aun a riesgo de ser criticado por muchos de mis compafieras, creo que el papel del auditor informitico tiene que dejar de ser el de un profesional cuya Unica meta empresarial sea analizar el grado de implantaciéa y cumplimiento del control interno. Las organizaciones estin invirtiendo mucho dinero en sistemas de informacién, cada vez son mids dependientes de ellos y no pueden permitirse ¢l lujo de tener buenos profesionales, que estaban mediatizados por esquemas que eran validos hace unos aflos pero que en estos momentos no lo son 4 tenor de Las necesidades empresariales, F] concepto de control interno es importantisimo, pero ademis de verificar dicho ‘control, el auditor interno tiene la obligacién de convertirse un poco en consultor yen ayuda del auditado, diindole ideas de cémo establecer procedimientos de seguridad, control intemo, efectividad y eficacia y medicién del riesgo empresartal.emmy CAPITULO 5: ORGANIZACKIN DEL DEPARTAMENTO DE AUDITORIA INFORMATICA 165 5.4, ORGANIZACION DE LA FUNCION DE AUDITORIA INFORMATICA Segiin lo que hemos comentado hasta ahora, la funcién de auditoria informética ha pasado de ser una funcién meramente de ayuda al auditor financicro a ser una feacién que desarrotia un trabajo y lo seguird haciendo en el futuro, mis acorde con la importancia que para las organizaciones tienen los sistemas informéticos y de informacién que son su objeto de estudio y andlisis. El auditor informitico pasa a ser saditor y consultor del ente empresarial, cn cl que va a ser analista, auditor y asesor en materias de: + Seguridad * Control imemo operative * EBfictencia y eficacia * Tecnologia informética * Continuidad de operaciones + Gestidn de riesgos no solamente de los sistemas informdticos objeto de su estudio, sino de lax relaciones ec implicaciones operativas que dichos sistemas tienen en el contexte empresarial. Con esta amplitud de miras, emo se va a organizar la funcidin dentro de la empresa? Esti claro que en este caso estamos hablando de una funcidn intema de aaditorta informética. La concepcidn tipica que he visto en las empresas espafolas hasta ahora, ¢s lade que la funcién de auditoria informética eeté entroncada dentro de Jo que es la funcién de auditoria interna con rango de subdepartamento, Esta concepcién se basa en el sacimiento histérico de la auditoria informitica y en la dificultad de separar el elemento informitico de lo que es la auditorfa operativa y financiera, al igual que lo es scparar la operativa de una empresa de los sistemas de informacién que los soportan, Si volvemos a mi aseveraciéa anterior sobre el papel que debe desempettar el woditor informético dentro de un contexto empresarial, la organizacidn tipo de la suéitoria informéitica, debe contemplar en mi opiniGn los siguientes principios: * Su localizacién puede estar ligada a la localizacién de La auditoria interna ‘operativa y financiera, pero con independencia de objetivos (aunque haya una coordinacién légica entre ambos departamentos), de planes de formacién y de presupuestos.Hib ALDATORIA INFORMATICA: UN ENFOQUE PRACTICN cnn + La organizaciéin operativa tipo debe ser la de un grupo independieme del de auditoria interna, con una aocesibilidad total a los sistemas informiticos y dé informacién, ¢ idealmente dependiendo de ta misma persona en la empress que la auditoria interna, que deberia ser el director general 0 comscjew delegado. Cualquier otra dependencia puede dar al traste con la imagen del auditor informético y consecvemtemente con la aceptacién de su trabajo y de sus conchusiones. La dependencia, en todo caso, debe ser del maximo responsable operative de la organizaciGn, nunca del departamento de organizacién o del de sistemas (abundan los casos en que esta dependencia existe), ni del departamento financiero ylo administrative. La gestién de la funcida, en la medida de que exista Ia experiencia, debe ser Nevada 2 cabo por personal que haya 0 esté trabajando en auditoria informatica, Los recursos humanos con los que debe contar el departamento deben contemplar tuna mezcla equilibrada entre personas con formacién en auditoria y organizacién y personas con perfil informético, No obstante, este perfil genérico debe ser tratado con ‘un amplio programa de formacién en donde se espesifiquen no s6to los objetivos de bs funcién, sino también de la persona, * Este personal debe contemplar entre su titulacién la de CISA como um elemento bisico para comenzar su carrera como auditor information. * La organizacién interna tipo de la funcida podria ser: = Jefe del departamento. Desarrolla el plan operative del departamento, las descripciones de los puestos de trabajo de! personal a su cargo, las planificaciones de actuacién a un aio, los métodes de gestién del cambio en su funciGn y bos programas de formacidn individualizados, ast como gestiona los programas de trabajo y los trabajos en si, tos cambios en los métodos de trabajo y evahia la capacidad de las personas a su cargo. — Gerente o supervisor de auditoria informatica. Trabaja estrechamente com el Jefe del departamento en las tareas operativas diarias. Ayuda en la evaluaciéa del riesgo de cada uno de los trabajos, realiza bos programas de trabajo, dirige y supervisa directameme a las personas en cada uno de los trabajos de los que es responsable. Realiza la formacién sobre el trabajo, Es responsable junto con su jefe de la obtemcién del mejor resultado del trabajo para el auditado, entroncando los conceptos de valor afiadido y ‘gestidn del cambio dentro de su trabajo. Es el que mds “vende” la funcidn con el auditade.emmy CAPITULO 5: ORGANIZACION DIL DIFARTAMENTO DE AUDETORIA INFORMATICA 117 — Auditor iinformatico, Son responsables para la ejecuckin directa del trabajo, Deben tener una especializaciin genérica, pero también una especifica, segiin se comenté anteriormente, Su trabajo consistird en la obtencidn de informaciée, realizacién de prochas, documentacidn del trabajo, evaluacién y diagndstico de resultados, El tamaio silo se puede precisar en funcidn de los objetives de la funcién, pero en mi opinién, para una organizacién tipo, cl abanico de responsabilidades deberia cubrir: — Especialista en el entomno informdtico a auditar y en gestidin de bases de datos. — Especialista en comunicaciones y/o redes. ~ Responsable de gestién de riesgo operativo y aplicaciones, — Responsable de la auditoria de sistemas de informacidn, tanto en explotacidn como en desarrollo, ~ En su caso, especialista para la claboracién de programas de trabajo sonjumtos con la Auditoria Financiers. 5.5. CUESTIONES DE REPASO 7. & 10, Defina un plan de formacién para que un informtico pueda desempefiar sin bh {Cuiiles son las lineas de evolucién de la Auditoria Informética? {Qué diferentes acepciones existen dela Auditoria Informética? {Cuil es el perfil det auditor informético general? {Qué formacin debe poscer el auditor informiitico? {Cuiiles son las funciones de la Auditorfa Informstica? {Qué aspostos pueden hacer mis compleja, en la actualidtad, la funcién de Auditoria Informstica? {Cua debe ser Ia localizacién de la funciée de Auditoria Informatica en la ‘empresa? {Cudles son tas tareas del Jefe del Departamento de Auditoria Informatica? {Qué tamaio debe tener el Departamento de Auditoria Informatica? problemas la funcién de auditor.