Embed Size (px)
Citation preview
9Auditoría Pública nº 40 (2006) p.p. 9-11
E N T R EV I S TA
Auditoría Pública. Comencemos acotando los conceptos. Cuandohablamos de auditoría de sistemas, ¿a qué nos estamos refiriendo?
Lo más importante cuando eres parte complementaria de un trabajo, y laauditoría informática lo es respecto a la auditoría financiera, es definir el alcan-ce, es decir, qué resultado se espera de esa auditoría financiera para integrar tutrabajo dentro de los objetivos de dicha auditoría. Esto es una parte de la audi-toría informática, limitada a cumplir determinadas pruebas utilizando tu capa-cidad técnica. Pero la auditoría informática va más allá, desde conocer el gradode control del entorno informático hasta ver cómo se adaptan las organizacio-nes al cumplimiento de la normativa en aspectos como, por ejemplo, la ley deprotección de datos. En Deloitte definimos la Auditoría informática como laaportación de valor al control interno respecto a la tecnología y su entorno (másallá del hardware y del software), desde los procesos de negocio hasta el buengobierno del área de Sistemas de Información, o su alineamiento con la estra-tegia corporativa.
A.P. ¿Hasta qué punto considera a la auditoría de sistemas como unaexigencia a la hora de pronunciarse sobre el control interno de unadeterminada organización?
A mí me resulta difícil entender la auditoría sin un análisis de los sistemasde información. La auditoría tradicional alrededor del ordenador, entendidocomo una caja negra que te da la información sobre la que vas a trabajar, ya no
“No se puede hacer una auditoría sinanalizar los sistemas de información”
Fernando Pons OrtegaAuditor informático y socio de Deloitte
Fernando Pons Ortega, socio de Deloitte, informá-tico y responsable de auditoría de sistemas de lafirma, ofreció una conferencia sobre “La auditoría desistemas como apoyo al auditor financiero” en elmarco del I Foro Tecnológico de los Órganos deControl Externo, celebrado en Valencia el pasadomes de septiembre. AUDITORÍA PÚBLICA apro-vechó la ocasión para hablar con él.
nos sirve porque nos perdemos parte de lo que exigeel control interno: de dónde surge la información,cómo se ha manejado, cómo se calculan los datos,quién accede a la información y la manipula…Estaríamos perdiendo una parte muy importante dela fiabilidad de la información sobre la que nos pro-nunciamos. En la actualidad, salvo casos en los quela complejidad tecnológica sea mínima o inexisten-te, me parece impropio dar opinión del controlinterno de una organización sin conocer sus siste-mas de información. Los propios auditores financie-ros hace quince años se dieron cuenta de que habíaque cambiar la forma de auditar. Y esto se estáhaciendo de forma paulatina en un proceso que yoconsidero imparable, alineado con el obligado“escepticismo saludable” que debe tener todo profe-sional de la auditoría.
A.P. ¿Y quién debe ser el responsable de eseanálisis que usted considera necesario?¿Debería dejarse en manos de expertos infor-máticos o podrían hacerlo los auditores?
Pienso que el auditor, consciente de que necesitaunas competencias adicionales, puede acudir a lacolaboración de auditores informáticos o desarrollaresas habilidades él mismo. Estamos hablando derealizar unos análisis, unas pruebas que antes no sehacían y que ahora son imprescindibles porque elentorno sobre el que se pronuncian ha cambiado.De hecho, la mitad de los profesionales que hacenauditoría informática no son informáticos. Portanto, es factible que un auditor, con cierta colabo-ración, desarrolle esa habilidad lo mismo que hadesarrollado otras como consecuencia de normasnuevas, porque se les obliga a hacer determinadas
pruebas, etc. En definitiva, se trata de que el audi-tor se vaya dotando de capas adicionales de conoci-miento técnico, teniendo en cuenta que en esto haymucho de lógica y poco de tecnología. Y siemprepodrá acudir a profesionales de la Auditoría infor-mática.
A . P. El futuro, por tanto, parece llevarnos a unaauditoría que integrará ese análisis de sistemas.
Sí, al final acabaremos hablando de auditoría, node auditoría informática, y los análisis y pruebasrelacionadas con el componente tecnológico seránuna parte más de la auditoría, como lo puede seruna circularización o la entrevista con un responsa-ble de la organización. Utilizando términos infor-máticos para definir la auditoría, hemos de pasar dela auditoría “analógica” a la “digital”.
A.P. Partiendo de la premisa de que la audi-toría de sistemas mejora la calidad del produc-to, hablemos de costes.
Este tipo de auditoría, tanto en el control inter-no como externo, exige un coste inicial importanteporque hay que definir muy bien los programas ypruebas que se van a realizar, aunque la curva vadisminuyendo y, a largo plazo, la reducción de cos-tes es evidente. En el mismo tiempo puedes hacermás pruebas, aumentar el campo de prueba (lamuestra) y reducir tiempos que se pueden utilizarpara incrementar el número de pruebas. Esto esimportante porque estamos hablando de un tipo deauditoría que las organizaciones se plantean amedio y largo plazo. La ventaja es que se va crean-do una base de auditoría permanente, con pruebasque las repites en cualquier momento a costes cadavez menores. Sin olvidar que el esfuerzo es el mismo
10 Diciembre nº 40-2006
“En definitiva, se trata de que el auditor se vaya dotando de capasadicionales de conocimiento técnico”
E N T R EV I S TA
ejecutando esa prueba sobre una muestra que sobrela totalidad, lo que implica hablar del universo, del100%, no de muestreos sobre cuya fiabilidad cuan-do se aplican a conclusiones de auditoría tampoco esfácil ponerse de acuerdo. En mi opinión, no es untema de coste, sino decidir si queremos auditar deforma profesional y rigurosa o no.
A . P. La Ley Orgánica de Protección de Datosobliga a auditar cada dos años los sistemas deinformación que contengan datos de carácterpersonal. ¿Esta auditoría está al margen de loque debe ser una auditoría informática integral?
Metodológicamente es lo mismo, la diferencia esque existe un reglamento de medidas de seguridadque se debe cumplir, por lo que el programa de tra-bajo te viene dado por la propia ley. Por lo tanto,estamos hablando de auditoría informática con unalcance determinado: las medidas de seguridad queexige la ley. Considero que auditar conforme a laLOPD no puede considerarse una auditoría infor-mática integral porque tiene un campo de acciónlimitado: los ficheros con datos personales y susentornos, que han de cumplir unas determinadascondiciones, por lo que hay áreas y aspectos quequedan fuera del alcance.
A.P. ¿Cómo se pueden coordinar los diferen-tes tipos de auditoría (financiera, operativa,informática…) para reducir costes y, al mismotiempo, entorpecer menos el día a día de lasorganizaciones auditadas?
Creo que la clave es encontrar sinergias entre losdiferentes tipos de auditoría. Nosotros como audi-
tores de cuentas, por ejemplo, analizamos la situa-ción de nuestro cliente desde el punto de vista dela protección de datos pensando en que puedehaber una sanción, es decir, una contingencia. Lomismo se puede hacer respecto a otro tipo de audi-toría. Cuando hacemos una auditoría financierapuedes estar mirando un proceso de negocio o elentorno informático. La manera de minimizar elimpacto del auditor es una buena planificación,tener claro el objetivo de cada trabajo y establecers i n e rg i a s .
A.P. Por último, ¿qué mensaje mandaría a losórganos de control externo respecto a la audi-toría informática?
Que no se puede entender la auditoría externa –ytampoco la interna– sin tener en cuenta la tecnolo-gía, es decir, sin analizar los sistemas que soportanla información. Obviar ese análisis es hacer unaauditoría incompleta.
11Auditoría Pública nº 40 (2006) p.p. 9-11
“La manera de minimizar elimpacto del auditor es unabuena planificación, tener claroel objetivo de cada trabajo yestablecer sinergias“
Entrevista a Fernando Pons Ortega
