- Resumen
- La Auditoría Informática. Nociones generales
- Concepto
- Objetivos de la Auditoría Informática
- Independencia del auditor informático
La gestión y control de la actividad económica-financiera de cualquier instituto, ya sea de carácter público o privado; se desarrolla a través de la auditoría de cuentas.
Sin embargo, a través de la auditoría de cuentas se puede conocer cómo se abastece de información al sistema informático, pero no lo que sucede entre la entrada y salida de la información; es decir, si ésta ha sido objeto de alguna manipulación antes de hacerse visible, clave ésta indispensable para la seguridad de la información, de la cual dependen en la actualidad el éxito de una empresa o institución.
1. LA AUDITORÍA INFORMÁTICA.
1.1. NOCIONES GENERALES
Todo radica en la competitividad que existe en las empresas a nivel mundial actualmente, lo que trae como consecuencia la exigencia de toma de decisiones y búsqueda de información en el menor tiempo posible, para lo cual se necesita la información pero de manera elaborada.
Pues bien, la gestión y control de la actividad económica-financiera de cualquier instituto, ya sea de carácter público o privado; se desarrolla a través de la auditoría de cuentas, que consiste en el examen y evaluación de la actividad financiera, económica y administrativa de un instituto, realizada generalmente por especialistas ajenos a la misma.
Entonces a través de esta auditoría de cuentas se puede conocer cómo se abastece de información al sistema informático, pero no lo que sucede entre la entrada y salida de la información; es decir, si ésta ha sido objeto de alguna manipulación antes de hacerse visible.
Estos problemas se acentúan cada vez más como resultado del alto grado de informatización de las empresas o institutos, haciendo que este método de auditoría de cuentas en muchos casos sea deficiente.
Es entonces, cuando empieza a surgir como vía de retaguardia la Auditoría Informática, que podría ser definida de la siguiente manera:
Según RAMOS GONZÁLEZ:
"La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y técnicamente competentes del entorno informático de una entidad, abarcando todas o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables; el grado de satisfacción de usuarios y directivos; los controles existentes y un análisis de los riesgos".
La Auditoría Informática constituye una serie de exámenes que se realizan en un sistema informático de manera periódica o esporádicamente, con la tarea de analizar y evaluar la planificación, la eficacia, el control, la seguridad, economía y por supuesto la búsqueda de una adecuada infraestructura informática en la empresa o instituto.
Es decir que la Auditoría Informática no sólo constituye el control de los aspectos informáticos, sino también la detección de irregularidades que se podrían manifestar tanto en los sistemas de información, como en la entrada y salida de los mismos.
1.3. OBJETIVOS DE LA AUDITORÍA INFORMÁTICA:
a) Prestar colaboración a la Auditoría de Cuentas:
Como se mencionó en la introducción de este tema, se hace difícil en la actualidad llevar un buen control de la actividad económica-financiera de las instituciones como resultado del alto del alto grado de informatización de las mismas, por medio de la auditoría de cuentas, por lo que necesita de la Auditoría Informática para llevar a cabo su propósito.
b) Auditoría de los propios sistemas informáticos:
En este punto, se debe resaltar no sólo el aspecto del control informático en sí, sino también el desarrollo de la seguridad, economía, adecuación de la infraestructura informática de la empresa, entre otros, que hará posible el funcionamiento con eficacia y eficiencia del sistema informático.
c) Prevención de fraude y obtención de la prueba:
De esta manera, se persigue al fraude y se puede obtener la prueba del mismo, trayendo como consecuencia que la información que se aprecie no haya sido manipulada de mala fe antes de hacerse visible y a posteriori.
1.4. INDEPENDENCIA DEL AUDITOR INFORMÁTICO:
Una de las características más importantes del auditor informático consiste en su independencia; pero ¿en qué radica esta independencia?:
Esta independencia se podría enfocar desde varios puntos de vista. Se podría hablar entonces de una Auditoría Informática; que por supuesto debe estar constituida por especialistas en dicha materia, de carácter externo.
En este caso se busca a este personal especializado fuera de la empresa para que realice una Auditoría Informática en la empresa, como podría ser el caso a través de una experticia judicial, si resultare que internamente en la empresa se presentan anomalías aún existiendo en la misma un personal especializado para la realización de auditorías informáticas.
El otro caso, someramente mencionado en el párrafo anterior, es el de la independencia que debe existir en el personal de una Auditoría Informática que se encuentre internamente en el instituto.
Y en este punto es necesario resaltar que a muchas Auditorias Informáticas las hacen depender del centro de Proceso de Datos o de la Dirección de Informática; resultando una evidente ausencia de independencia, y creando por consiguiente una sujeción entre la Auditoría Informática y el centro de proceso de datos o la dirección de informática.
El resultado de esta irregularidad no produce otra anomalía que la situación de que el que recibe el informe de la auditoría sea el director del mismo centro auditado; es decir, que el auditor informático está auditando a su propio jefe (al director de informática).
Para evitar estos problemas la Auditoría Informática debe salir de los departamentos de informática, y luego hacer llegar la auditoría a la dirección del instituto, sin ningún tipo de censura previo, hecha por ejemplo por el director de informática, quien al verse perjudicado pueda manipular la información.
Si resultare que esta Auditoría Informática interna del instituto no pudiese tener una autonomía, y se presentasen anomalías en el mismo, entonces se puede acudir a la Auditoría Informática externa a que se hizo anteriormente mención, a través, por ejemplo de una experticia judicial, o también por medio de una solicitud hecha a una empresa privada que se dedique a realizar estas labores.
Para culminar, es importante destacar que la Auditoría Informática ha sido ignorada en parte por intereses consolidados, pero también por la ausencia de textos legales que traten específicamente este punto.
Tal es el caso de Venezuela, donde no existe ninguna ley que rija o trate las auditorías informáticas, específicamente.
Sin embargo, esta figura está emergiendo con gran potencia, y es así como en países desarrollados, entre otros España, ha determinado por primera vez las funciones inspectoras de la Auditoría Informática. Determinación pautada en el Estatuto de la Agencia de Protección de Datos, aprobado por el Real Decreto 428/93 del 26 de Marzo de 1.993.
En el futuro la actuación de los auditores informáticos será indispensable para el verdadero tráfico informático que se desplazará por las futuras autopistas de la información, para que ésta sea lo suficientemente fluida como para satisfacernos.
ALCANCE, Eduardo y GARCÍA, Miguel. Informática Básica. 2a. Edición. MacGraw-Hill. España. 1.994. Pág. 393.
GIRALDO, Jaime. Informática Jurídica Documental. Temis. Colombia. 1.990. Pág. 192.
TÉLLEZ, Julio. Derecho Informático. 2a. Edición. México. 1.996. Pág. 283.
UNED. Revista Iberoamericana de Derecho Informático. XIV Tomos. España. 1.996.
Por el Doctor en Derecho
Héctor Ramón Peñaranda Quintero
(Abogado – Magíster en Gerencia Tributaria – Doctor en Derecho – Presidente de la Organización Mundial de Derecho e Informática –
Autor del Libro IUSCIBERNÉTICA: Interrelación entre el Derecho y la Informática, Juez del Tribunal de Protección del Niño y del Adolescente de la Circunscripción Judicial del Estado Zulia)
Maracaibo – Venezuela