Tecnología de la información: Realización de auditorías e informes más eficaces
por Martín Rubione, Jefe del Departamento de Auditoría Informática, Tribunal Superior de Cuentas de Argentina
Las auditorías de tecnologías de la información (TI) suelen ser complejas, y los resultados de las auditorías suelen dar lugar a informes técnicos redactados en un lenguaje técnico. Como se señala en las Normas Internacionales de las Entidades Fiscalizadoras Superiores (ISSAI) 5300, muy pocas personas encuentran atractivos o comprensibles unos documentos tan largos y complicados.
La Entidad Fiscalizadora Superior (EFS) de Argentina lleva más de una docena de años realizando auditorías informáticas y tomó medidas para cambiar esta realidad.
La EFS de Argentina no es un tribunal de cuentas, sino una oficina de auditoría. Aunque la EFS puede hacer recomendaciones, no puede hacerlas cumplir. Por ello, persuadir a las entidades auditadas para que mejoren la gestión de TI basándose en los resultados de la auditoría puede ser complejo, diverso y a menudo incluye las opiniones de las partes interesadas (que deben entender el informe).
La visión de la EFS de Argentina -contribuir a la mejora de la gestión pública- guió el camino hacia la creación de auditorías informáticas más eficaces e informes más comprensibles para todas las partes interesadas. Profundizar y simplificar esta noción arroja luz sobre tres acciones principales: cambiar el enfoque de la planificación anual, revisar el alcance y la naturaleza de las auditorías informáticas y descubrir nuevas formas de comunicación.
Cambiar el enfoque de la planificación informática
El área de auditoría de TI de la EFS de Argentina comenzó a sistematizar el proceso de planificación anual mediante (1) la identificación de organizaciones públicas sujetas a controles de TI y (2) la elección de un conjunto de variables alineadas con la naturaleza de las auditorías de TI, lo que resultó problemático, ya que el proceso requería medir y clasificar cada organización en función del riesgo.
Entre las lecciones aprendidas con el cambio a este proceso anual sistematizado figuran las siguientes:
- La población de “organismos públicos” identificada en un principio no debe ser el único aspecto que se tenga en cuenta a la hora de elegir las mejores auditorías futuras a realizar; existen otras dimensiones posibles de analizar, incluido el software de aplicación; y
- Es importante tener en cuenta los factores que preocupan a las partes interesadas, que pueden variar en cada localidad y región.
Cambiar el enfoque de planificación ayuda a alinear el trabajo de auditoría con la visión institucional y se presta a informes de auditoría informática más interesantes y eficaces, en particular midiendo y analizando las dimensiones sociales.
Revisar el alcance y la naturaleza de las auditorías informáticas
Los auditores de TI poseen conocimientos y aptitudes especiales -hardware, software, comunicaciones y seguridad- cuyos ámbitos de auditoría tienden a centrarse en la infraestructura y los procesos de TI.
Las auditorías informáticas independientes son valiosas; sin embargo, adquieren un valor aún mayor cuando se amplía su alcance. Revisar el alcance y la naturaleza de la auditoría informática para incluir todo el proceso del sistema de información (SI) puede conducir a auditorías informáticas más eficaces.
El proceso de SI implica a muchas personas, grandes cantidades de software, infraestructura informática, bases de datos y procedimientos manuales. Comienza con la coordinación presupuestaria para obtener los recursos adecuados de la forma correcta y hacerlo para generar información oportuna y fiable para los responsables de la toma de decisiones.
Aunque auditar el proceso de SI puede exceder el alcance convencional, resulta más útil, ya que las auditorías centradas en un aspecto concreto (como una aplicación informática) sin tener en cuenta los pasos del proceso de SI, podrían arrojar resultados en los que el SI (en su conjunto) no fuera fiable.
Algunos de los retos a los que se enfrentan las EFS a la hora de ampliar el alcance y la naturaleza de una auditoría informática son la gran diversidad de estructuras organizativas y los distintos contextos en los que operan. Además, aunque los equipos multidisciplinares hacen posible las auditorías informáticas, cada auditor tiene unas competencias y una especialización específicas. Así pues, repartir a los auditores entre los equipos de auditoría del rendimiento puede no aportar el mismo valor que hacerles compartir un espacio común. Es necesario un análisis más profundo en este ámbito.
Descubrir nuevas formas de comunicación
Es difícil conseguir que la gente lea un buen libro, así que ¿cómo convencerla de que lea un informe de auditoría? Comunicar los informes de auditoría, en particular los de TI, ha sido una lucha durante muchos años, ya que los informes de auditoría de TI tienden a ser largos y a estar llenos de jerga técnica.
Muchos directivos y autoridades han pedido que se acorten los informes de auditoría informática, y cada vez son más los llamamientos a los auditores para que utilicen un lenguaje más práctico.
SAI Argentina hace referencia sistemáticamente a una analogía relacionada con la meteorología para ayudar a sus auditores a comprender mejor la división entre el lenguaje técnico y el práctico: La meteorología puede ser una ciencia más difícil que la informática, ya que se basa en teorías del caos. Sin embargo, “Accuweather” insiste en mostrarnos (a los no especialistas que no entendemos casi nada de isobaras e isotermas) imágenes de nubes, soles y sombrillas.
La difusión de las redes sociales, que ponen más fácilmente la información en manos de las partes interesadas, ha aumentado la necesidad de salvar la brecha del lenguaje técnico y hacerlo de nuevas formas utilizando menos palabras, como a través de vídeos e infografías.
Respondiendo a esta necesidad, la EFS Argentina creó una producción de video disponible aquí (en español) que detalla los resultados de una auditoría informática realizada a los sistemas de información del Control de la Industria Pesquera (CIP).
La auditoría de la FIC refleja plenamente las tres acciones principales que la EFS de Argentina ha considerado beneficiosas para crear auditorías de TI más eficaces e informes de auditoría de TI más comprensibles:
- Cambio del enfoque de planificación de las TI: la auditoría no se habría considerado importante si la EFS Argentina se hubiera centrado únicamente en la clasificación de las entidades públicas;
- Revisión del alcance y la naturaleza de las auditorías informáticas: La EFS de Argentina amplió el alcance de la auditoría para incorporar el proceso de SI en su conjunto; y
- Descubrir nuevas formas de comunicar: Para ayudar a explicar mejor la auditoría a todas las partes interesadas, se tradujo visualmente en un vídeo.