Muchos Gerentes de TI, Gerentes Generales, Gerentes Financieros y los miembros de la Alta Dirección de las organizaciones se preguntan sobre como hacer que sus operaciones dejen las suficientes pistas de auditoría para proveer suficiente evidencia de que sus operaciones son eficientes, transparentes y que en los sistemas de información no se registra más que la información correspondiente a transacciones válidas, que pueden ser modificadas por personal debidamente autorizado y que no existen accesos no autorizados a la información. Este escenario de incertidumbre que se realiza en cada organización en mayor o menor medida, puede ser perfectamente administrado si se asignan las funciones y las responsabilidades de la creación de estos mecanismos de registro o controles, además de definir y realizar  revisiones de auditoría que puedan establecer el nivel de confiabilidad de las pistas diseñadas a través de la realización de pruebas y verificaciones de los registros.

Con las prestaciones que ofrecen las Tecnologías de la Información en este momento, es bastante fácil implementar excelentes mecanismos de registro y controles que permitan dejar las pistas de auditoría necesarias para dar al negocio la confiabilidad de sus operaciones. Si pensamos en ERPs modernos, estos incluyen en su diseño, los registros necesarios para dejar las pistas de auditoría necesarias, junto con módulos de consulta destinados para realizar el trabajo del auditor de una manera sistemática. En otra área de software, las bases de datos como ORACLE y Microsoft SQL Server y similares, incorporan los registros de auditoría a nivel del repositorio de datos, permitiendo crear pistas de auditoría adicionales a las que puede dejar una aplicación.

La industria salvadoreña, sin embargo, esta llena de aplicaciones hechas a la medida, que utilizan plataformas tecnológicas que no tienen estas opciones de auditoría y muchas veces ni siquiera la seguridad mínima necesaria para garantizar que en caso se realice algún tipo de registro de auditoría, este no sea objeto de manipulación. Para los auditores de sistemas es un escenario difícil. Pero hay que reflexionar más y pensar quienes tienen el verdadero problema de control. Esto es, la Alta Dirección debe evaluar la cantidad de dinero que se realiza en una operación en base a información procesada y almacenada en una plataforma tecnológica deficiente y evaluar si tiene alta dependencia de la misma, si existen riesgos de casos de fraude, de pérdida de información y casos similares que impacten en pérdidas financieras o de imagen de la organización. Después de evaluar estos riesgos, la Alta Dirección necesita recibir un dictamen del Auditor de Sistemas sobre la confiabilidad de los controles del sistema actual, para poder realizar una evaluación de la conveniencia de invertir en la actualización de la plataforma tecnológica, con el simple objetivo de mejorar el control de las operaciones a través de la incorporación de pistas de auditoría acordes a estándares actuales, que permitirán actualizar el funcionamiento de la empresa salvadoreña a un nivel de modernidad adecuado. Cuando menos, la comparación entre riesgos y nivel de control de las plataformas actuales de una organización, pueden llevar a decisiones de la implementación de controles alternativos, de la segregación de responsabilidades y del establecimiento de puntos de control, así como su frecuencia de revisión para lograr minimizar la posibilidad de que se materialicen los riesgos. Siempre hay algo que se puede mejorar y hay que intentarlo, medir el efecto de las decisiones tomadas y volver a evaluar.