Dentro de las Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, emitidas por el Instituto Global de Auditores Internos (www.theiia.org), se encuentra la norma de implantación aplicable a las actividades de aseguramiento, 1210.A3, la cual especifica que “los auditores internos deben tener conocimientos suficientes de los riesgos y controles clave en tecnologías de la información y de las técnicas de auditoría disponibles basadas en tecnología que le permitan desempeñar el trabajo asignado. Sin embargo, no se espera que todos los auditores internos tengan la experiencia de aquel auditor interno cuya responsabilidad fundamental es la auditoría de tecnología de la información”. Asimismo, la norma de implantación 1220.A2 indica que “Al ejercer el debido cuidado profesional el auditor interno debe considerar la utilización de auditoría basada en tecnología y otras técnicas de análisis de datos”.
Es bueno destacar el uso del término “debe” para indicar que se trata, en ambos casos, de requisitos incondicionales. Al margen de lo anterior, resulta necesario establecer cuáles serían los “conocimientos suficientes” de los riesgos, controles, técnicas de auditoría disponibles basadas en tecnología, y otras técnicas de análisis de datos, que le permitan al auditor interno cuya responsabilidad fundamental no son las tecnologías de la información, desempeñar eficientemente el trabajo asignado.
Para esto, es necesario partir de la auditoría interna basada en riesgos, la cual exige la utilización del enfoque basado en procesos de la organización. Un proceso es “un conjunto de actividades interrelacionadas, o que interactúan para transformar entradas en salidas”, y tiene un propósito, un alcance determinado, entradas, salidas, controles y recursos.
Los recursos son todas las cosas que el proceso debe tener o utilizar para convertir las entradas en salidas, pudiendo ser estos tangibles (tal como personas, computadoras y aplicaciones) o intangibles (por ejemplo habilidades y experiencia). Recursos de vital importancia para los procesos son los proporcionados por las tecnologías de información, de manera directa las aplicaciones informáticas que soportan el proceso de negocio, e indirectamente otros recursos tales como software base, redes de cómputo, servidores, etc.
Los controles de las tecnologías de la información que soportan los procesos de negocio, asimismo, pueden ser de dos tipos: controles generales de tecnologías de información y controles de aplicación.
Los controles generales son responsabilidad de TI, mientras que los controles de aplicación además de ser responsabilidad de TI son responsabilidad del negocio, ya que reflejan los controles del negocio y se basan en los requerimientos funcionales y de control atendidos por medio de servicios automatizados.
Los procesos de negocio utilizan las aplicaciones como herramientas, cada una de las cuales cuenta con una base de datos. Esta es la frontera de los controles de aplicación (la funcionalidad y seguridad intrínseca de la aplicación, y la integridad de los datos contenidos en la base de datos que soporta la misma). El siguiente esquema muestra los límites de ambos controles, los que se superponen en el área de aplicaciones y bases de datos, sobre las que existe responsabilidad compartida de parte del negocio y de TI.
En conclusión, la auditoría de procesos de negocio debe incluir la revisión de los controles de aplicación, siendo necesario para esto el conocimiento de parte del auditor interno cuya responsabilidad fundamental no es la auditoría de tecnología de la información, de las aplicaciones informáticas que soportan el proceso de negocio (al nivel de usuario de la aplicación) y de la información contenida en la base de datos. Y para la revisión de la base de datos, el auditor debe conocer y utilizar técnicas de análisis de datos, disponibles en herramientas especializadas tales como ACL o IDEA. Todos los demás temas de tecnologías de la información, deben ser asumidos por el auditor de tecnologías de información; y ninguno de ellos debería incluirse en la auditoría de un proceso de negocio.
Por: Jorge Salazar Heredia, CISA, CIA
Publicado en el Blog de Nahun Frett -http://nahunfrett.blogspot.com/
Nahun Frett
Es un reconocido conferencista especializado en temas sobre auditoría interna, gestión de riesgo, gobierno corporativo, cambio organizacional, liderazgo y auto-evaluación de control. Motivador nato de equipos multidisciplinarios de auditoría interna, ampliamente solicitado para dictar conferencias y proveer capacitación en cursos, talleres y seminarios. Colaborador de Auditool
Santo Domingo, República Dominicana