I. INTRODUCCIÓN
Cada día es mayor el número de situaciones irregulares que se presentan, como consecuencia del uso y aplicación de la Tecnología de Información (T. I.), en las diferentes organizaciones, entidades, empresas y compañías en general.
El conocimiento de esta tecnología se ha ampliado a todas las esferas; la gente aprende cada día más, se vuelve más estudiosa y conocedora, pero no todos están orientados puramente al conocimiento como aumento de calidad en todos los campos; a algunos les interesa aprender más que todo, para ver cómo efectúan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situación que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, y que se haga imposible para la administración, establecer controles que disminuyan los riesgos presentados.
Aunado a lo anterior, las aperturas comerciales, la globalización, las alianzas estratégicas, y las integraciones de todo tipo, de alguna manera han venido a complicar la situación en cuanto al sistema de control interno se refiere; también han recargado las funciones que deben realizar los auditores.
Los aspectos citados han generado también, un desajuste en todos los campos relacionados con la T. I.; nadie sabe qué hacer, ni cómo hacerlo; unos dicen:
"...eso no me corresponde a mí, "le toca" a los técnicos expertos en cómputo."
Los informáticos manifiestan: "...los usuarios no colaboran, no saben lo que quieren..."
La Alta Administración, no participa y delega en otros las funciones y actividades que le corresponden.
Los usuarios jefes, únicamente solicitan trabajos a cómputo, sin participación activa, y dicen:
"...Yo no sé de cómputo, pero entiendo que todo es muy fácil..."
La Auditoría Interna, ha participado muy poco en todos los procesos, más que todo por desconocimiento y por temor a perder la independencia, también por influencia de la Alta Administración, quien no los deja "participar".
La Auditoría en Sistemas de Información (ASI): se ha preocupado más en las revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de controles preventivos.
Todos los aspectos citados, han tenido gran influencia en la situación actual de los sistemas de información diseñados y desarrollados en la mayoría de nuestras organizaciones; situación que debe cambiar ya, (debió cambiar hace unos 20 ó más años), y somos nosotros, los mismos auditores quienes debemos ser agentes de este cambio.
II. POSICIÓN ACTUAL DE LA AUDITORÍA
La mayor preocupación de los auditores hoy en día, en especial los que no son auditores de sistemas de información, y algunos de éstos también, es poder utilizar el computador para realizar las auditorías "por dentro del mismo", en la revisión de los datos que contiene; y no se han dado cuenta todavía, (a pesar de estar tan avanzada esta especialización, tanto en métodos, técnicas, pronunciamientos, tecnología, y herramientas, así como en el tiempo), que esta tarea es muy sencilla y que, más que todo es parte sustancial de la Auditoría Financiera.
Esta parte de las pruebas en la ASI es importante también, pero no lo de mayor peso; es lo último que se lleva a cabo, en la parte de la evaluación de sistemas en operación.
Por estar pendientes de lo anterior, no han querido hacer, más que todo porque piensan o creen que no están realizando ASI, lo que verdaderamente les corresponde llevar a cabo: evaluar los procesos que no requieren de un computador para efectuarlo, como son:
Gestión Informática.
Controles Generales.
Procesos de Adquisiciones.
Planificación.
Seguridad.
Mantenimiento de Equipo y Sistemas.
Diseño y Desarrollo de Sistemas.
Evaluación y Análisis de Riesgos.
No se debe perder de vista que el control de la calidad debe estar al inicio de los procesos, no al final cuando ya el producto está terminado; tal vez con defectos o fallas de origen, que se presentan precisamente por la falta de visión y revisión en la parte inicial de todo proyecto, que es en donde se plantean las bases para el mismo; además, estas fallas o deficiencias son muy difíciles de corregir, y si se logra, resulta con un alto costo de recursos para la organización, además de la desmotivación y frustración del personal que participó en su desarrollo, y del consecuente "enojo" con los auditores por efectuar las revisiones y criticar cuando el trabajo está terminado y no al principio que es cuando ellos lo necesitan, como soporte, colaboración y ayuda a su labor.
III. EL CAMBIO
Si desean continuar revisando al final, no existe nada que lo impida, pero es importante que nos propongamos a realizar el cambio que se necesita, para que se atiendan una serie de aspectos que se han dejado de lado y que son básicos para lograr que se diseñen sistemas de información como los requieren nuestras organizaciones y que tengan las protecciones, seguridades y controles que permitan su adecuado y correcto funcionamiento, y que soporten los embates de los que intenten violentarlos para cometer actos irregulares.
Este cambio se refiere a que dejemos de ser REVISORES y nos convirtamos en ASESORES Y CONSULTORES, en aquellos puntos o aspectos de la T.I. en que se ha venido fallando desde sus inicios con el computador ENIAC en 1945, como es el:
"CICLO DE VIDA DEL DESARROLLO DE SISTEMAS" (CVDS)
y algunos otros conceptos relacionados con él.
Es en este campo en donde reside el fundamento y la base de:
Los Sistemas de Información.
La aplicación correcta de la Tecnología de Información.
La administración de la información.
El sistema de control interno.
La Auditoría de Sistemas de Información.
Los procesos de Reingeniería.
Los Sistemas como soporte de la Productividad.
IV. APLICACIÓN DEL CAMBIO
Se debe aprovechar la T. I. para aplicar los conceptos de la Reingeniería; por lo tanto si queremos verdaderamente colaborar con nuestras entidades, debemos comenzar por efectuar reingeniería en nuestra forma de realizar las actividades de auditoría, (disminución de papeles de trabajo; menos procedimientos y procesos; eliminación de tareas paralelas; aumento en la participación y mayor valor agregado), si deseamos que los Sistemas de Información cumplan con la función para los cuales se conciben y desarrollan, entonces variemos sustancialmente la forma de realizar nuestro trabajo, de ahora en adelante (ahora significa HOY, no la espera de otros 10 ó 15 años) vamos a:
ASESORAR, NO A REVISAR.
El CVDS se divide para efectos de su aplicación en dos partes:
Técnica
Administrativa.
La primera de ellas se conoce y se está manejando bastante bien, aunque sólo sea por los técnicos en Informática y Cómputo; sólo resta que le hagamos ver a la Alta Administración, que deben velar porque los técnicos mencionados, la lleven a cabo en todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, que se citan a continuación:
Áreas de Control (Planificación; Diseño; Desarrollo e Implantación)
Etapas correspondientes a cada área de control, independientemente de la metodología que se
emplee.
Actividades de cada una de las etapas
Productos Finales de cada una de las etapas
Participantes en el proceso total.
Realizando esta parte con cuidado y esmero, con la participación de todos los involucrados y el apoyo irrestricto de la Alta Dirección, y agregando los aspectos que se citan en la parte administrativa, se podrá en un futuro cercano, contar con sistemas de información que cumplan su verdadera misión:
"Suministrar datos e información que soporten la toma de decisiones, a todos los niveles de la organización, con lo que asisten a la consecución de objetivos y metas."
Debe tenerse muy en cuenta que ambas partes citadas deben verse como una sola a la hora de desarrollar una aplicación, no puede ni debe desligarse una de la otra, y por más bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos con la cantilena de siempre:
" que los sistemas de información no están bien...";
para no decirlo de otra manera.
Así que también debe ponérsele mayor atención todavía, a la segunda de las partes citadas, ya que ésta no depende en absoluto de los técnicos, sino más bien de la Administración, y es en este capítulo en donde se ha estado fallando mucho, más que todo por:
Falta de involucración de la Alta Dirección
Dejar en manos de los técnicos todo el proceso
Exigencias e imposiciones de la Alta Dirección
Necesidad de los técnicos de cumplir con lo solicitado aunque no esté bien definido
Falta de integración
El tomar la herramienta de cómputo como un ente "solucionador de problemas"
El no saber distinguir los diferentes tipos de sistemas de información
La ausencia de Políticas, Estándares y Procedimientos
El desconocimiento de lo que es el CVDS y el grado de participación de los involucrados.
V. ÁREAS A ASESORAR
A continuación se enumeran y en algunos casos se detallan, las áreas que se consideran de mayor importancia, dentro del CVDS, en las que los auditores pueden asesorar a la Alta Dirección, y a los encargados de llevar a cabo los procesos de diseño y desarrollo.
1. POLÍTICAS, ESTÁNDARES Y PROCEDIMIENTOS
Es esencial para todo proceso computacional que estos tres conceptos se redacten, se integren en manuales, se divulguen, se apliquen y se establezcan sanciones para quienes los incumplan o traten de hacerlo.
Las metodologías y técnicas de desarrollo que se apliquen deben estar sustentadas en estos tres conceptos.
2. PLANIFICACIÓN
Los planes de cómputo en cuanto a:
Desarrollo
Mantenimiento
Adquisiciones
Educación
Vacaciones
Contingencias
Recuperación en Caso de Desastre
y cualquier otro relacionado, deben estar por escrito, actualizados, ser divulgados y conocidos, además, deben estar integrados con los planes generales de la organización, en los tres conceptos tradicionales de:
Estratégico
Táctico y
Operativo.
Deben adicionarse e integrarse los comités, de Informática y de Usuarios, así como los puntos claves o críticos de control, como parte del proceso de planificación.
3. ESTUDIOS ADMINISTRATIVOS PREVIOS
Debe establecerse como política que antes de iniciar el diseño y desarrollo de cualquier aplicación, se realice un estudio administrativo/operativo del sistema, con el fin de detectar, antes de computadorizarlo, cualquier problema, anomalía, deficiencia o situación que requiera atención, para no trasladar estas situaciones a la aplicación una vez automatizada.
Este estudio servirá a la vez para revisar los procesos, procedimientos, funciones, tareas, tiempos, movimientos, etc., que de alguna manera se utilice también, para realizar reingeniería; además, será de gran ayuda, como "entrada" al estudio de factibilidad.
Es importante que este estudio se efectúe totalmente antes de iniciar cualquier proceso relacionado con el desarrollo del sistema, y que las recomendaciones, disposiciones, y normativa que emanen de él, se pongan a funcionar antes de iniciar el diseño de la aplicación bajo estudio.
4. ESTUDIO DE FACTIBILIDAD
Los objetivos de control exigen que para todo sistema que se diseñe, debe realizarse un estudio de factibilidad, previa definición de requerimientos, y para cada una de las opciones revisadas, sugeridas y evaluadas, que comprenda al menos tres factibilidades:
4.1 Factibilidad Tecnológica
Que la tecnología seleccionada funcionará de manera correcta y adecuada, y sin menoscabo del sistema, una vez puesto en operación y por la vida del mismo. Que la aplicación soportará cambios sustanciales en la tecnología sin tener que realizar modificaciones importantes en él.
4.2 Factibilidad Operacional
Que el sistema una vez puesto en operación funcionará de acuerdo con los criterios bajo los cuales se diseñó y que no ofrecerá problemas de carácter técnico ni administrativo.
4.3 Factibilidad Económico / Financiera
Que los beneficios (tangibles e intangibles) y ahorros superen a los costos; que los índices financieros que se calculen sean aceptables, de acuerdo con políticas y estándares generales y específicos; que el proyecto tenga contenido económico y esté contemplado en el presupuesto respectivo.
Como mínimo deben calcularse las siguientes razones:
Tasa Interna de Retorno
Valor Neto Presente
Período de Recuperación
Y, el total de los beneficios netos.
Dependiendo de los resultados de este estudio se determinará si se continúa o no con el proyecto.
5. PRODUCTOS TERMINADOS
Los proyectos computacionales de desarrollo deben cumplir con todos los productos finales de cada una de las etapas en que se divide el CVDS, cualquiera que sea la metodología que se haya empleado.
Además, estos productos finales deben estar revisados, probados y aprobados por los usuarios.
6. ADMINISTRACIÓN DE PROYECTOS
El diseño y desarrollo de un sistema, así como el mantenimiento mayor, debe manejarse como un verdadero proyecto; como tal deben establecerse los procedimientos y medios para lograrlo.
Los aspectos que deben ser tomados en cuenta, entre otros, son:
Definición del grupo de trabajo (Comité de Usuarios)
Designación del Administrador del Proyecto (Representante de la Alta Dirección)
Establecimiento de las actividades a realizar, en detalle
Definición del cronograma de actividades
Establecimiento de fechas de reuniones de seguimiento
Cálculos y redacción de Presupuestos en horas y dinero
Redacción de minutas
Forma de contabilizar los costos
Asignación de tareas adicionales
7. SEGURIDAD
Este concepto, tan dejado de lado muchas veces, es de vital importancia en todos los procesos de las organizaciones; se debe insistir para que se le dé el valor que tiene, en especial en los procesos computacionales; los sistemas de información deben contar, desde su implantación, con los esquemas de seguridad que los protegen contra los intentos no autorizados a sus datos, archivos y programas.
Deben establecerse dos niveles de seguridad:
Seguridad Física.
Seguridad Lógica.
Además de la gestión administrativa / operativa que debe realizarse en cuanto a la misma; administración que debe contemplar la integración de todos los aspectos de seguridad que imperen en la entidad.
8. PROCESOS DE ADQUISICIONES
Los procesos de compra de Tecnología de Información, deben estar sustentados en Políticas, Procedimientos, Reglamentos y Normatividad en General, que aseguren que todo el proceso se realiza en un marco de legalidad y cumpliendo con las verdaderas necesidades de la organización para hoy y el futuro, sin caer en omisiones, excesos o incumplimientos.
9. O T R O S
El auditor de sistemas de información puede, dentro de su planificación, revisar si existen debilidades en otras áreas de su empresa, en la que pueda asistirlos y ayudarlos como asesor y consultor, de esta manera podemos decir que entraremos en un cambio de siglo, con nuevos conceptos, actitudes y mentalidades para realizar nuestra labor, dándole un énfasis mucho más atractivo para los auditados, cual es el "VALOR AGREGADO" en nuestras recomendaciones.
VI. CONCLUSIÓN
Si se lograra influir los suficiente en los niveles administrativos para que comprendan los siguientes puntos y aspectos esenciales:
que la gestión de los sistemas de información le corresponde a ellos;
que el aplicar correcta y adecuadamente los conceptos antes citados, son vitales para el éxito
de las aplicaciones;
que se deben integrar los equipos de trabajo de manera que se cumpla con los objetivos de
control y los de la organización;
que los proyectos computacionales deben controlarse y determinar claramente su costo con
el fin de capitalizarlos si fuere necesario;
que los comités de seguimiento son esenciales;
podremos estar tranquilos y seguros que nuestra función de asesores y consultores está funcionando como se debe, y saber que cuando se siguen estos lineamientos se obtendrán sistemas que no van a necesitar mantenimiento excesivo, que el cómputo va a ser parte de la solución y no parte del problema , como lo es hoy en día.
FUENTE: Lic. Sergio Espinoza