- Resumen
- La Auditoría
Informática. Nociones generales - Concepto
- Objetivos de la Auditoría
Informática - Independencia del auditor
informático
La gestión
y control de la
actividad económica-financiera de cualquier instituto, ya
sea de carácter público o privado; se
desarrolla a través de la auditoría de cuentas.
Sin embargo, a través de la auditoría de
cuentas se puede conocer cómo se abastece de información al sistema
informático, pero no lo que sucede entre la entrada y
salida de la información; es decir, si ésta ha sido
objeto de alguna manipulación antes de hacerse visible,
clave ésta indispensable para la seguridad de la
información, de la cual dependen en la actualidad el
éxito
de una empresa o
institución.
1. LA AUDITORÍA
INFORMÁTICA.
1.1. NOCIONES GENERALES
Todo radica en la competitividad
que existe en las empresas a nivel
mundial actualmente, lo que trae como consecuencia la exigencia
de toma de decisiones y búsqueda de información en
el menor tiempo
posible, para lo cual se necesita la información pero de
manera elaborada.
Pues bien, la gestión y control de la actividad
económica-financiera de cualquier instituto, ya sea de
carácter público o privado; se desarrolla a
través de la auditoría de cuentas, que consiste en
el examen y evaluación
de la actividad financiera, económica y administrativa de
un instituto, realizada generalmente por especialistas ajenos a
la misma.
Entonces a través de esta auditoría de
cuentas se puede conocer cómo se abastece de
información al sistema informático, pero no lo que
sucede entre la entrada y salida de la información; es
decir, si ésta ha sido objeto de alguna
manipulación antes de hacerse visible.
Estos problemas se
acentúan cada vez más como resultado del alto grado
de informatización de las empresas o institutos, haciendo
que este método de
auditoría de cuentas en muchos casos sea
deficiente.
Es entonces, cuando empieza a surgir como vía de
retaguardia la Auditoría
Informática, que podría ser definida de la
siguiente manera:
Según RAMOS GONZÁLEZ:
"La Auditoría Informática comprende la revisión
y la evaluación independiente y objetiva, por parte de
personas independientes y técnicamente competentes del
entorno informático de una entidad, abarcando todas o
algunas de sus áreas, los estándares y procedimientos
en vigor, su idoneidad y el cumplimiento de éstos, de
los objetivos
fijados, los contratos y las
normas legales
aplicables; el grado de satisfacción de usuarios y
directivos; los controles existentes y un análisis de los riesgos".
La Auditoría Informática constituye una serie de
exámenes que se realizan en un sistema informático
de manera periódica o esporádicamente, con la tarea
de analizar y evaluar la planificación, la eficacia, el
control, la seguridad, economía y por
supuesto la búsqueda de una adecuada infraestructura
informática en la empresa o
instituto.
Es decir que la Auditoría Informática no
sólo constituye el control de los aspectos
informáticos, sino también la detección de
irregularidades que se podrían manifestar tanto en los
sistemas de
información, como en la entrada y salida de los
mismos.
1.3. OBJETIVOS DE LA
AUDITORÍA INFORMÁTICA:
a) Prestar colaboración a la Auditoría de
Cuentas:
Como se mencionó en la introducción de este tema, se hace
difícil en la actualidad llevar un buen control de la
actividad económica-financiera de las instituciones
como resultado del alto del alto grado de informatización
de las mismas, por medio de la auditoría de cuentas, por
lo que necesita de la Auditoría Informática para
llevar a cabo su propósito.
b) Auditoría de los propios sistemas
informáticos:
En este punto, se debe resaltar no sólo el aspecto del
control informático en sí, sino también el
desarrollo de
la seguridad, economía, adecuación de la
infraestructura informática de la empresa, entre
otros, que hará posible el funcionamiento con eficacia y
eficiencia del
sistema informático.
c) Prevención de fraude y
obtención de la prueba:
De esta manera, se persigue al fraude y se puede obtener la
prueba del mismo, trayendo como consecuencia que la
información que se aprecie no haya sido manipulada de mala
fe antes de hacerse visible y a posteriori.
1.4. INDEPENDENCIA
DEL AUDITOR
INFORMÁTICO:
Una de las características más importantes del
auditor informático consiste en su independencia; pero
¿en qué radica esta
independencia?:
Esta independencia se podría enfocar desde varios
puntos de vista. Se podría hablar entonces de una
Auditoría Informática; que por supuesto debe estar
constituida por especialistas en dicha materia, de
carácter externo.
En este caso se busca a este personal
especializado fuera de la empresa para que realice una
Auditoría Informática en la empresa, como
podría ser el caso a través de una experticia
judicial, si resultare que internamente en la empresa se
presentan anomalías aún existiendo en la misma un
personal especializado para la realización de auditorías informáticas.
El otro caso, someramente mencionado en el párrafo
anterior, es el de la independencia que debe existir en el
personal de una Auditoría Informática que se
encuentre internamente en el instituto.
Y en este punto es necesario resaltar que a muchas Auditorias
Informáticas las hacen depender del centro de Proceso de
Datos o de la
Dirección de Informática; resultando
una evidente ausencia de independencia, y creando por
consiguiente una sujeción entre la Auditoría
Informática y el centro de proceso de datos o la
dirección de informática.
El resultado de esta irregularidad no produce otra
anomalía que la situación de que el que recibe el
informe de la
auditoría sea el director del mismo centro auditado; es
decir, que el auditor informático está auditando a
su propio jefe (al director de informática).
Para evitar estos problemas la Auditoría
Informática debe salir de los departamentos de
informática, y luego hacer llegar la auditoría a la
dirección del instituto, sin ningún tipo de censura
previo, hecha por ejemplo por el director de informática,
quien al verse perjudicado pueda manipular la
información.
Si resultare que esta Auditoría Informática
interna del instituto no pudiese tener una autonomía, y se
presentasen anomalías en el mismo, entonces se puede
acudir a la Auditoría Informática externa a que se
hizo anteriormente mención, a través, por ejemplo
de una experticia judicial, o también por medio de una
solicitud hecha a una empresa privada que se dedique a realizar
estas labores.
Para culminar, es importante destacar que la Auditoría
Informática ha sido ignorada en parte por intereses
consolidados, pero también por la ausencia de textos
legales que traten específicamente este punto.
Tal es el caso de Venezuela,
donde no existe ninguna ley que rija o
trate las auditorías informáticas,
específicamente.
Sin embargo, esta figura está emergiendo con gran
potencia, y es
así como en países desarrollados, entre otros
España,
ha determinado por primera vez las funciones
inspectoras de la Auditoría Informática.
Determinación pautada en el Estatuto de la Agencia de
Protección de Datos, aprobado por el Real Decreto 428/93
del 26 de Marzo de 1.993.
En el futuro la actuación de los auditores
informáticos será indispensable para el verdadero
tráfico informático que se desplazará por
las futuras autopistas de la información, para que
ésta sea lo suficientemente fluida como para
satisfacernos.
ALCANCE, Eduardo y GARCÍA, Miguel.
Informática Básica. 2a. Edición. MacGraw-Hill. España.
1.994. Pág. 393.
GIRALDO, Jaime. Informática
Jurídica Documental. Temis. Colombia. 1.990.
Pág. 192.
TÉLLEZ, Julio. Derecho
Informático. 2a. Edición. México.
1.996. Pág. 283.
UNED. Revista
Iberoamericana de Derecho Informático. XIV Tomos.
España. 1.996.
Por el Doctor en Derecho
Héctor Ramón
Peñaranda Quintero
(Abogado – Magíster en Gerencia
Tributaria – Doctor en Derecho – Presidente de
la
Organización Mundial de Derecho e Informática
–
Autor del Libro IUSCIBERNÉTICA: Interrelación
entre el Derecho y la Informática, Juez del Tribunal de
Protección del Niño y del Adolescente de la
Circunscripción Judicial del Estado
Zulia)
Maracaibo – Venezuela