La Auditoría Continua.

La creciente complejidad de las operaciones, especialmente de las de tipo  financiero, el cumplimiento regulatorio y la necesidad de identificar oportunamente comportamiento anormal dentro de las transacciones financieras, ha  llevado a muchas empresas a la decisión de implementar mecanismos de auditoría  que funcionen en línea, que alerten sobre las actividades sospechosas y que  permitan tomar medidas de protección o corrección más efectivas. Esta  situación, aunque suena ideal requiere de una total transparencia, cumplimiento  de estándares de documentación, asignación y segregación de responsabilidades,  así como la flexibilidad para integrar a la infraestructura de TI los  mecanismos para realizar el seguimiento de auditoría de forma automática. Creo  que el término transparencia habla por si solo. No pueden existir secretos entre la Dirección de TI y el Auditor de Sistemas. El trabajo que la Dirección  de TI realiza no puede seguir lineamientos antojadizos, que cambien a medida  que se desarrollan las operaciones. Aunque seguir planes y estándares de documentación parece lo normal en TI, a veces no  es así, porque los responsables de TI y especialmente los niveles técnicos no siguen los planes de trabajo, realizan  cambios que no son documentados y no documentan sus intenciones a través de  documentos de arquitectura que permitan visualizar tanto a ellos como a su  auditor, la ruta que están siguiendo. Cuando se conoce la arquitectura  objetivo, los cambios resultan transparentes para todos los actores, porque se  entiende que son necesarios para lograr este fin último. La documentación es  otro factor importante. Por ejemplo, al momento de decidir que tablas son claves para dejar pistas de auditoría, si se realiza un cambio a las reglas de  registro en las tablas y esto no es documentado y divulgado, se podrían estar  dejando fuera del seguimiento aspectos importantes del negocio. Desgraciadamente, si  esto se descubre después de un caso de fraude, las omisiones o cambios realizados técnicamente y que no fueron correctamente documentados y divulgados pasan a ser acciones sospechosas para la organización. Por esa razón, la  documentación es importante al momento de establecer un escenario de auditoría continua y para mantenerlo actualizado con los cambios. Esto implica que el proceso de Cambios debe de considerar la notificación al departamento de auditoría, para lograr mantener la transparencia de las operaciones de TI. El éxito de la Auditoría Continua no está en el secreto que mantenga el departamento de auditoría al respecto, sino en la verdadera integración de los mecanismos de auditoría dentro de las operaciones normales del negocio, las aplicaciones y la infraestructura tecnológica. Esto debe de ser conocido por todos, por lo que tienen la responsabilidad de brindar soporte al negocio con las TI y por los que analizan la información de auditoría, que tienen que tener el contexto real de las operaciones de TI, con el objetivo de no crear falsos positivos en sus hallazgos ni dejar pasar verdaderos hallazgos. De esta manera, los responsables de TI tienen la oportunidad de mostrar su proactividad en la buena gestión de TI y el negocio logra detectar problemas y tomar decisiones correctivas o preventivas oportunamente.

Acerca de Luis Cruz

Luis Cruz es un consultor en Gestión y Auditoría de TI, basado en El Salvador. Se dedica a realizar proyectos de implementación, mejora, revisión, asesoría y auditoría de la gestión de TI. Es Ingeniero Industrial y master en Ciencias de la Computación, Auditor de Sistemas Certificado, CISA, ITIL V3 Foundation e ISO 27001 implementer, con amplios conocimientos sobre riesgos y seguridad informática. Tiene una experiencia de más de 20 años en el uso de las Tecnologías de la Información en organizaciones grandes, realizando desde la planificación, hasta la ejecución, evaluación y revisión de los resultados obtenidos. Luis ha ocupado cargos de Dirección de TI y ha sido gerente de servicios de asesoría de TI para una de las 4 firmas de auditoría más grandes en el mundo.

Publicado el 24 de septiembre de 2012 en Auditoría de TI y etiquetado en , , , , , . Guarda el enlace permanente. Deja un comentario.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: