La informática está inmersa en la gestión integral de la organización. A finales del siglo XX, los sistemas de TI (tecnologías de la información) se constituyeron como las herramientas más poderosas para cualquier organización, puesto que apoyan la toma de decisiones, generando un alto grado de dependencia, así como una elevada inversión en ellas. Debido a la importancia que tienen en el funcionamiento de una organización, existe la auditoría informática.

El término de auditoría se ha empleado con frecuencia de forma incorrecta, porque ha sido tomado como sinónimo de detección de errores y fallas. El concepto de auditoría es mucho más que eso, pues tiene como fin evaluar y mejorar la eficacia y eficiencia de una organización, al examinar su gestión.

Al igual que cualquier área de la organización, los sistemas de TI deben estar sometidos a controles de calidad y auditoría informática porque las computadoras y los centros de procesamiento de datos son blancos apetecibles para el espionaje, la delincuencia y el terrorismo. Al perder de vista la naturaleza y calidad de los datos de entrada a los sistemas de TI se genera información errónea, con la posibilidad de que s

e provoque un efecto cascada y afecte a otras aplicaciones. Asimismo, un sistema de TI mal diseñado puede convertirse en una herramienta muy peligrosa para la gestión y la coordinación de la organización.

¿Qué es la auditoría informática?

Es un proceso evolutivo “que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aportación al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”1.

Sus beneficios son:

• Mejora la imagen pública.

• Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI.

• Optimiza las relaciones internas y del clima de trabajo.

• Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

• Genera un balance de los riesgos en TI.

• Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

La metodología empleada en la auditoría informática es similar a las fases que componen una auditoría tradicional: primero se planea para obtener y entender los procesos de negocio; en segundo lugar se analiza y evalúa el control interno establecido para determinar la probable efectividad y eficiencia del mismo; posteriormente, se aplican pruebas de auditorías para verificar la efectividad de los procedimientos de control (pruebas de cumplimiento), o de los productos de los procesos de trabajo (pruebas sustantivas).

Después se informan los resultados de las auditorías, con el fin de reportar las sugerencias correspondientes a las oportunidades de mejora encontradas y finalmente, se efectúa el seguimiento para evaluar el nivel del cumplimiento y el impacto de las recomendaciones hechas.

Para que las organizaciones puedan asegurar que construyen proyectos de tecnología de información que cubren de manera adecuada las necesidades del cliente, en forma eficiente y oportuna, y dentro del presupuesto contemplado, existe una asociación internacional denominada Information Systems Audit and Control Association (ISACA), cuya misión es la de mejorar el reconocimiento de la profesión de auditoría y control de las TI mediante la elaboración de estándares y prácticas, así como capacitación y certificación de sus miembros a través de la fundación (Information Systems Audit and Control Association).

De igual forma, existe un estándar internacional conocido como Control Objetives for Information and Related Technology (COBIT), que sirve como guía para la buena práctica de la auditoría de las TI, emitido por la ISACA. Éste contempla los procesos típicos de la función de TI, agrupados en cuatro dominios:

- Planificación y organización: identificación de la forma en que las TI pueden contribuir de la mejor manera al logro de los objetivos institucionales, y al establecimiento de una organización e infraestructura tecnológica apropiada.

- Adquisición e implementación: para llevar a cabo la estrategia de TI es necesario identificar, desarrollar o adquirir soluciones de TI adecuadas, así como implementarlas e integrarlas dentro del proceso del negocio. Además, cubre los cambios y el mantenimiento realizados a sistemas existentes.

- Distribución y soporte: corresponde a la entrega de los servicios requeridos, desde las tradicionales operaciones sobre seguridad y continuidad, hasta la capacitación, así como los procesos de soporte necesarios.

- Monitoreo: todos los procesos necesitan ser evaluados de forma regular a través del tiempo, para verificar su calidad y suficiencia en cuanto a los requerimientos de control.

COBIT, en su tercera edición, presenta un modelo de madurez basado en el modelo de Evolución de Capacidades de Software (CMM) desarrollado por el Instituto de Ingeniería de Software (SEI), que establece métricas para evaluar y calificar el nivel de madurez de los controles de TI, los cuales deben ser alineados con el nivel correspondiente de los procesos de TI.

Por lo anterior, se puede afirmar que el éxito de un organismo depende de los controles de evaluación de la eficacia y eficiencia de sus sistemas de TI. Hoy en día, las organizaciones estructuran su información en sistemas de TI, debido a ello, es de vital importancia que éstos funcionen de forma correcta e ininterrumpida para la productividad y supervivencia futura de una organización.

El trabajo que se realiza en la auditoría informática debe contar con un marco de referencia metodológico, así como con gente altamente capacitada. Una auditoría mal hecha puede acarrear consecuencias drásticas económicamente para la organización auditada.