You are on page 1of 5

LA AUDITORA POR OBJETIVOS DE CONTROL EN LOS SISTEMAS DE INFORMACIN Desde la dcada de 1960, el rpido desarrollo de los sistemas automatizados

ha creado la expectativa de una apropiada respuesta de las reas que se ocupan de gestionar la tecnologa informtica y sistemas de informacin. Las organizaciones modernas, y por ende muchas entidades financieras, se estn reestructurando a fin de modernizar sus operaciones y simultneamente aprovechar los avances en tecnologas de informacin a fin de mejorar su posicin competitiva. La reingeniera de negocio, el dimensionamiento correcto, la tercerizacin y el procesamiento distribuido, son todos cambios que afectan la forma en que operan las organizaciones. La alta velocidad con la cual se procesan las transacciones; los sistemas de administracin de las bases de datos; las redes de telecomunicaciones globales; el procesamiento distribuido de datos; la comunicacin sobre Internet, y muchos otros factores, han causado que en toda organizacin, sin excepcin alguna, la informacin y los datos en los cuales se apoya se tornen cada da ms y ms importantes. Por lo que las estrategias de la funcin gerencial; las polticas de seguridad; la segregacin de las funciones; el impacto de los fallos; los accesos no autorizados; la revelacin de la informacin; la continuidad del normal procesamiento de los datos; la adecuacin de los sistemas de informacin, y otros aspectos que surgen de la aplicacin de innovadoras tecnologas, han pasado a tener un impacto mucho mayor dentro de la organizacin que el de hace unos aos; de ah la necesidad de contar con un adecuado marco de control. Por lo expuesto, para muchas organizaciones, la informacin y la tecnologa que la soporta, han pasado a representar sus activos ms valiosos. Bajo esta situacin, stas han comenzado a reconocer los beneficios potenciales que las herramientas tecnolgicas les pueden proporcionar. Pero sin embargo, tambin han comprendido la importancia de conocer y administrar los riesgos asociados con la implementacin de las nuevas tecnologas. EL ROL DE LA AUDITORA DE SISTEMAS Estos cambios tienen y seguirn teniendo profundas repercusiones en sus estructuras de control. La automatizacin de las funciones organizacionales est determinando la incorporacin de mecanismos de control ms potentes en los sistemas de informacin, en los sistemas operativos, las redes, y el hardware. Adems, las caractersticas estructurales de estos controles estn evolucionando al mismo ritmo y de igual manera que estas tecnologas. Para un nmero creciente de organizaciones y principalmente las de corte financiero, la seguridad de sus sistemas sigue siendo un aspecto importante a controlar y proteger, hasta el punto de que en algunas de ellas se cre inicialmente la funcin de Auditora Informtica para revisar la seguridad, aunque despus se haya ido ampliando el alcance y los objetivos de esta, en funcin de la gran relevancia que ha pasado a tener esta tarea por la automatizacin de la mayora de los procesos de negocio.

Pero en la actualidad, debemos ir hablando ms de "Auditora de Sistemas de Informacin" que slo de Auditora Informtica, por la extensin de las reas que llega a cubrir, y lejos ya de la denominacin en ingls que seguimos viendo en muchos libros "EDP Audit." ("Auditora del proceso electrnico de datos" (Electronic Data Processing)). En todo caso, la Auditora de Sistemas de Informacin se ha convertido en el control del ambiente de controles embebido en los procesos automatizados y en la funcin gerencial de los mismos. Esta denominacin abarca la necesidad de controlar globalmente a los sistemas de informacin, es decir, desde su planificacin a su implementacin; observando tambin su alineacin con las estrategias de la organizacin, ya que es cierto que en muchos casos tan necesario o ms que la proteccin de la informacin, es que las inversiones en los sistemas de informacin y la tecnologa informtica estn alineadas con las estrategias de la alta direccin, escapando al inadecuado enfoque de la tecnologa por la tecnologa. Tambin la Auditora de Sistemas de Informacin debe contemplar el control del aprovechamiento que se hace de las tecnologas informticas y si stas aportan ventajas competitivas, adems de la adecuacin de la gestin de los recursos tecnolgicos y de la seguridad que otorgan. Debe evaluarse en la Auditora de Sistemas de Informacin, si los modelos de seguridad estn en consonancia con las nuevas arquitecturas y las distintas plataformas, porque no se puede auditar con conceptos, tcnicas o recomendaciones de hace algunos aos atrs. As, el enfoque tradicional de la auditora ha ido evolucionando. Se ha vuelto ms participativa, priorizando un enfoque preventivo e intentando actuar antes o durante el hecho. La tendencia actual, en el mbito de la Auditora de Sistemas de Informacin apunta a participar ms activamente en todos los proyectos y decisiones relacionados con los sistemas de informacin y la tecnologa informtica dentro de la organizacin. ESTABLECIMIENTO DE UN MARCO DE CONTROL En este contexto de cambios acelerados, si los gerentes, especialistas en sistemas de informacin y auditores han de desempear realmente sus roles con efectividad, sus habilidades deben evolucionar con la misma rapidez que lo hacen la tecnologa y el ambiente de negocio. Deben comprender acabadamente la tecnologa de los controles y su naturaleza cambiante; si han de aplicarse criterios razonables y prudentes para evaluar las prcticas de control presentes en las organizaciones. La alta direccin de cualquier organizacin necesita poder comprender y contar con un conocimiento bsico de los riesgos que introduce la incorporacin y utilizacin de la tecnologa informtica, para as proveer una direccin eficaz y poner en prctica todos los mecanismos necesarios para la puesta en marcha de los controles adecuados. Tiene que decidir cul es el grado de inversin razonable en seguridad y control, y cmo alcanzar un balance razonable entre el nivel de riesgo y la inversin en los controles.

Planteadas anteriormente muchas de las nuevas exigencias para el incremento de los controles, surge la necesidad de contar con una metodologa para organizar las actividades de la Auditora de Sistemas de Informacin, la cual contribuya a salvar las brechas existentes entre riesgos de negocio, necesidades de control y aspectos tcnicos; que sea aplicable a todos los tamaos y tipos de organizacin, y que est dirigida no slo a auditores de sistemas, sino tambin a la administracin y a los usuarios; que permita adems, determinar el alcance de la tarea de auditora e identificar los controles mnimos, y que pueda utilizarse como una herramienta de auto-evaluacin del rea de tecnologa informtica. ESTNDARES DE AUDITORA En los ltimos aos se ha incrementado la atencin sobre los controles internos, tanto para los auditores, los gerentes, los contadores, como para las entidades reguladoras en general. Como resultado de un continuo y trabajoso esfuerzo, se han desarrollado varios documentos para definir, valorizar, reportar y mejorar el control interno y ser utilizados como marco de referencia en las organizaciones. En resumen, stos son: Informe COSO - (Committee of Sponsoring Organizations), de la Comisin de Estudios de Controles Internos. SAC - (Systems Auditability and Control), de la Fundacin de Investigacin del Instituto de Auditores Internos. SAS 55 y SAS 78 - Consideraciones de la estructura de Controles Internos en los Informes de los Estados Financieros, del Instituto Americano de Contadores Pblicos (CPA) COBIT (Control Objectives for Information and related Technology), de la Fundacin de Auditora y Control de Sistemas de Informacin.

Cada uno de ellos ha sido definido para una audiencia en particular: el "COSO" fue diseado para la Gerencia; el "SAC" para los auditores internos; los SAS 55 y SAS 78 para los auditores externos, y finalmente el "COBIT" enfocado principalmente para los auditores de sistemas de informacin. Este ltimo es el que desarrollaremos ms ampliamente, por ser el ms relacionado con los recursos de tecnologa informtica. MARCO DE REFERENCIA COBIT Uno de los estndares que ms se estn utilizando en el mundo para ser tomado como base para realizar una metodologa de control interno en el ambiente de tecnologa informtica y sistemas de informacin, es el denominado COBIT (Control Objetives for Information and Related Technology), el cual es un marco de referencia y se fundamenta en los objetivos de control existentes de la Information Systems Audit and Control Foundation (ISACF), y que ha sido mejorado a partir de estndares internacionales tcnicos, profesionales, regulatorios y especficos para la industria. El marco de referencia COBIT otorga especial importancia al impacto sobre los recursos de tecnologa informtica, as como a los requerimientos de negocios en cuanto a efectividad, eficiencia, confidencialidad, integridad, disponibilidad,

cumplimiento y confiabilidad que deben ser satisfechos. Adems, el marco de referencia proporciona definiciones para los requerimientos de negocio que son derivados de objetivos de control superiores en lo referente a calidad, seguridad y reportes fiduciarios en tanto se relacionen con tecnologa de informacin. La orientacin a negocios es el tema principal de COBIT. Est diseado no slo para ser utilizado por usuarios y auditores, sino que en forma ms importante, est diseado para ser utilizado como una lista de verificacin detallada para los propietarios de los procesos de negocio. En forma incremental, las prcticas de negocio requieren de una mayor delegacin y otorgamiento de autoridad de los dueos de procesos para que stos posean total responsabilidad de todos los aspectos relacionados con dichos procesos de negocio. En forma particular, esto incluye el proporcionar controles adecuados y herramientas al propietario de procesos de negocio que faciliten el cumplimiento de esta responsabilidad. Ya que una de las preguntas ms frecuentes que se realizan los auditores es: Cul es la mnima cantidad de controles que se deben implementar para poder decir: "est bien controlado"?. Este marco de referencia intenta contestar esta pregunta definiendo los "Objetivos de Control" que deben estar implementados para todas las actividades dentro de la funcin de tecnologa informtica y sistemas de informacin. El desarrollo del marco de referencia COBIT ha sido limitado a objetivos de control de alto nivel en forma de necesidades de negocio dentro de un proceso de tecnologa informtica particular, cuyo logro es posible a travs del establecimiento de controles, para el cual deben considerarse controles aplicables potenciales. LOS OBJETIVOS DE CONTROL Un "Objetivo de Control", es una definicin del resultado o propsito que se desea alcanzar implementando procedimientos de control especficos dentro de una actividad de tecnologa informtica y sistemas de informacin. Los objetivos de control muestran una relacin clara y distintiva con los objetivos de negocio con el fin de apoyar su uso dentro de toda la organizacin y ms all del uso exclusivo de los auditores. Los Objetivos de Control estn definidos con una orientacin a los procesos, siguiendo el principio de reingeniera de negocios. Estos objetivos de control de tecnologa informtica han sido organizados por proceso / actividad, pero tambin se facilita la entrada a partir de cualquier punto de vista estratgico, adems para lograr enfoques combinados o globales, tales como instalacin / implementacin de un proceso, responsabilidades gerenciales globales para un proceso y utilizacin de recursos de tecnologa informtica por un proceso. Para mayor facilidad los Objetivos de Control, dentro del COBIT han sido definidos en una manera genrica, sin depender de la plataforma tcnica. El marco de referencia identifica un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los procesos de tecnologa informtica, agrupados en cuatro dominios: planeacin y organizacin, adquisicin e implementacin, entrega (de servicio) y monitoreo. Cubriendo todos los aspectos de tecnologa informtica. Dirigiendo estos 34 Objetivos de Control de alto nivel, el propietario de procesos de

negocio podr asegurar que se proporciona un sistema de control adecuado para el ambiente de tecnologa de informacin. Adicionalmente, correspondiendo a cada uno de los 34 objetivos de control de alto nivel, existe una gua de auditora o de aseguramiento que permite la revisin de los procesos de tecnologa informtica, contra los 302 objetivos detallados de control recomendados por COBIT para proporcionar la certeza de su cumplimiento y/o una recomendacin para su mejora. QUINES HAN ADOPTADO EL COBIT Advirtiendo la necesidad de contar con un adecuado marco de referencia para el gobierno de los sistemas de informacin y las tecnologas relacionadas, muchas organizaciones en el mbito nacional e internacional ya han adoptado el COBIT como una de las mejores prcticas. Sin intencin de ser exhaustivo, slo mencionar las que desde hace tiempo lo vienen haciendo: Gobierno de la Provincia de Mendoza; Superintendencia de Administradoras de Fondos de Jubilaciones y Pensiones; Superintendencia de Entidades Financieras y Cambiarias; la Reserva Federal de los Estados Unidos de Amrica; Daimler-Chrysler en Alemania y los EE.UU., entre otras. CONCLUSIN FINAL El impacto creciente de la tecnologa en los procesos de negocio y el advenimiento de las operatorias de las organizaciones por medio de Internet, ocasionarn grandes cambios que modificarn radicalmente las pautas de los controles que se debern establecer en estas nuevas realidades. La productividad y supervivencia futura de una organizacin depender cada vez en mayor grado, del funcionamiento ininterrumpido de los sistemas de tecnologa informtica, transformando a todo el entorno como un proceso crtico adicional. Todas las empresas, incluidas aquellas que ignoran las nuevas tecnologas, sentirn el impacto de estos nuevos escenarios de riesgo. Por ello la importancia de contar con marco de referencia metodolgico que agilice todo el proceso de la Auditora de Sistemas de Informacin.

Los puntos de vista y opiniones son de los autores y no necesariamente representan los puntos de vista de las organizaciones a las cuales pertenecen. La informacin provista aqu es de naturaleza general y de carcter informativo.
Marcelo Hctor Gonzlez, ASS, CISA. mhgonzalez@movi.com.ar Vice Presidente Asociacin de Auditora y Control de Sistemas de Informacin. ADACSI ISACA Chapter Buenos Aires. Inspector General de Auditora Externa de Sistemas de Entidades Financieras. Superintendencia de Entidades Financieras y Cambiarias. Banco Central de la Repblica Argentina.