Vamos a comentar un poco sobre la Auditoría de Sistemas, comenzando con su definición. Es importante hablar de este tema, porque en El Salvador y en la región centroamericana en general no se ha llegado a valorar el verdadero aporte que un buen auditor de sistemas proporciona a la organización. Muchos perciben la auditoría de sistemas como una asistencia al Auditor Financiero externo o al Auditor Interno. Pocos perciben la necesidad de considerar Auditorías de Sistemas que realmente auditen las Tecnologías de la Información, ayudando a comprender si quienes son responsables de la función de TI están desempeñando un trabajo completo, que proporciona un soporte a las operaciones actuales del negocio, mientras se prepara para asumir los retos futuros, evaluando riesgos y aprovechando al máximo la inversión en TI. Lógico es pensar, que en primer lugar, la Alta Gerencia también ha valorado muy poco la función de TI en la organización, considerándola un centro de costo, más que un aliado estratégico en el logro de objetivos de negocio. Por otro lado, si la Alta Dirección le da importancia a contar con sistemas de información e infraestructura de Tecnologías de la Información que soporten con efectividad y eficiencia al negocio, también incluirá en sus planes el contar con Auditoría de Sistemas que le ayude a verificar que efectivamente es así y que además le ayude en la formulación de Planes de Acción razonables para mejorar el desempeño del soporte de TI al negocio.

Primero, hay que valorar la función de las Tecnologías de la Información en la organización, luego hay que auditarlas para comprobar su efectividad.

Bajo este enfoque, igual que la Auditoría Interna, la Auditoría de Sistemas proporciona una labor de soporte a los objetivos de negocio, proporcionando aseguramiento sobre la función de TI en la organización y proveyendo consultoría adecuada a los objetivos de la organización. A este respecto, es conveniente definir previamente que es un Auditor Interno. De acuerdo al Instituto de Auditores Internos (IAI, www.theiia.org) “la Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Para el IAI un Auditor de Tecnología de la Información es un Auditor Interno que se enfoca en el uso que la Organización hace de las Tecnologías de la Información. Por lo cual, el desarrollar una buena práctica de auditoría de sistemas, implica realizar el trabajo de acuerdo con metodologías de auditoría interna que van desde la creación de un Plan Anual de Auditoría, la creación de revisiones específicas de procesos de gestión de TI o de la correcta configuración de Tecnologías específicas, hasta la revisión y discusión de hallazgos con los responsables de la función de TI y la elaboración de informes para la alta gerencia que permitan revelar efectivamente los principales problemas detectados y las soluciones recomendadas para mejorar el funcionamiento de las Tecnologías de la Información en la organización.

Es importante recalcar que el proceso de auditoría de sistemas es altamente técnico. Un análisis sin fundamento técnico carecería de valor para el auditado, porque no se le estarían identificando problemas clave ni generando recomendaciones que mejoren la forma en la que se brinda soporte al negocio. Esto incluye las mismas herramientas que se utilizan, como los escaneadores de infraestructura, que requieren ser configurados efectivamente para lograr los mejores resultados, a través de parámetros específicos del equipo que se está auditando. Es tan importante esto, que los mismos fabricantes del software para realizar auditorías, otorgan a través de examenes detallados, certificaciones del conocimiento que una persona tiene para auditar utilizando estas herramientas (a manera de ejemplo se puede consultar http://elearn.tenable.com/course/info.php?id=55). Adicionalmente, ISACA, la entidad que ha normado a nivel mundial el conocimiento requerido para certificarse como Auditor de Sistemas, CISA, (Certified Information System Auditor, http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx) otorga una certificación relativa al conocimiento que el auditor de sistemas tiene en cinco áreas de conocimiento. El auditor de sistemas de información certificado debe demostrar conocimiento en el proceso de auditoría, el gobierno y la gestión de TI, la adquisición, desarrollo e implementación de Sistemas de Información, la operación, mantenimiento y soporte de los sistemas de información  y la protección a los activos de información. En estas áreas, un auditor de sistemas es probado a través de un examen su conocimiento sobre las normas existentes, las prácticas más recomendadas por los fabricantes y el funcionamiento de las tecnologías auditables. Esto tiene el objetivo de proveer aseguramiento de que quién posee una certificación en auditoría de sistemas, tiene el conocimiento técnico y conoce la metodología de trabajo de la auditoría interna para lograr cumplir con su trabajo de aseguramiento y consultoría para ayudar a la alta dirección a retroalimentarse sobre el funcionamiento de la función de TI en la organización.