Por Jorge Salazar Heredia,
CISA, CIA
Es bueno destacar
el uso del término “debe” para indicar que se trata, en ambos casos, de
requisitos incondicionales. Al margen de lo anterior, resulta necesario
establecer cuáles serían los “conocimientos suficientes” de los riesgos,
controles, técnicas de auditoría disponibles basadas en tecnología, y otras
técnicas de análisis de datos, que le permitan al auditor interno cuya
responsabilidad fundamental no son las tecnologías de la información,
desempeñar eficientemente el trabajo asignado.
Para esto, es
necesario partir de la auditoría interna basada en riesgos, la cual exige la
utilización del enfoque basado en procesos de la organización. Un proceso es
“un conjunto de actividades interrelacionadas, o que interactúan para
transformar entradas en salidas”, y tiene un propósito, un alcance determinado,
entradas, salidas, controles y recursos.
Los recursos son
todas las cosas que el proceso debe tener o utilizar para convertir las
entradas en salidas, pudiendo ser estos tangibles (tal como personas,
computadoras y aplicaciones) o intangibles (por ejemplo habilidades y
experiencia). Recursos de vital importancia para los procesos son los
proporcionados por las tecnologías de información, de manera directa las
aplicaciones informáticas que soportan el proceso de negocio, e indirectamente
otros recursos tales como software base, redes de cómputo, servidores, etc.
Los controles de las
tecnologías de la información que soportan los procesos de negocio, asimismo,
pueden ser de dos tipos: controles generales de tecnologías de información y
controles de aplicación.
Los controles
generales son responsabilidad de TI, mientras que los controles de aplicación
además de ser responsabilidad de TI son responsabilidad del negocio, ya que
reflejan los controles del negocio y se basan en los requerimientos funcionales
y de control atendidos por medio de servicios automatizados.
Los procesos de
negocio utilizan las aplicaciones como herramientas, cada una de las cuales
cuenta con una base de datos. Esta es la frontera de los controles de
aplicación (la funcionalidad y seguridad intrínseca de la aplicación, y la
integridad de los datos contenidos en la base de datos que soporta la misma).
El siguiente esquema muestra los límites de ambos controles, los que se
superponen en el área de aplicaciones y bases de datos, sobre las que existe responsabilidad
compartida de parte del negocio y de TI.
En conclusión, la auditoría de procesos de negocio debe incluir la revisión de los controles de aplicación, siendo necesario para esto el conocimiento de parte del auditor interno cuya responsabilidad fundamental no es la auditoría de tecnología de la información, de las aplicaciones informáticas que soportan el proceso de negocio (al nivel de usuario de la aplicación) y de la información contenida en la base de datos. Y para la revisión de la base de datos, el auditor debe conocer y utilizar técnicas de análisis de datos, disponibles en herramientas especializadas tales como ACL o IDEA. Todos los demás temas de tecnologías de la información, deben ser asumidos por el auditor de tecnologías de información; y ninguno de ellos debería incluirse en la auditoría de un proceso de negocio.
¿Te ha gustado el post? ¡Compártelo con otro auditor interno!
No hay comentarios:
Publicar un comentario