La Auditoría de Sistemas como actividad profesional está insertada dentro de la práctica de Auditoría, ya sea interna o externa. Por lo tanto, los Auditores de Sistemas deben tener fundamentos de Auditoría que le permitirán coordinar, desarrollar y presentar resultados en sintonía con las prácticas de Auditoría que se siguen en las empresas.

La Auditoría de Sistemas guiada por los estándares de ISACA y especialmente por COBIT 5, tiene una alineación natural con la Auditoría Interna, debido a que esta busca el fortalecimiento de los sistemas de control, gestión de riesgos y gobierno de las empresas. Debido a esta alineación, resulta lógico que los Auditores de Sistemas sean contratados en las empresas a través de los Auditores Internos, creándose una dependencia laboral entre estas dos profesiones. Un auditor de sistemas certificado (CISA) debe de conocer que en el ámbito de la Auditoría Interna existen normas y marcos de referencia que resulta necesario conocer para poder comunicarse eficientemente con los Auditores Internos y lograr sinergia en el trabajo. ISACA nos ha señalado por largo tiempo algunos marcos de referencia, normalmente orientados a las tecnologías de la información, tales como ISO 2000, ISO 27000, ITIL y similares, pero de igual manera se debe de considerar las Normas Internacionales para el ejercicio Profesional de la Auditoría Interna, emitidas por el Instituto de Auditores Internos (IIA, de sus siglas en inglés), cuya última versión entró en vigencia en enero de 2017. Este marco considera principios básicos para la práctica de la Auditoría Interna que son usados de referencia para la implementación y la operación de las Unidades de Auditoría Interna en las empresas.

Entre otras cosas, las normas del IIA establecen la relación existente entre las Unidades de Auditoría y la dirección de la organización. Un punto importante que establece es que debe existir un Director Ejecutivo de Auditoría (DEA), quién es el responsable de la planificación, organización, ejecución e informe de los resultados de la actividad de Auditoría Interna. Normalmente, un Auditor de Sistemas soportará al DEA en la parte del aseguramiento que corresponde a las Tecnologías de la Información, por lo que debe establecer un protocolo de trabajo cooperativo que permita apoyar eficientemente en cada fase del ciclo de ejecución de un Plan de Auditoría Interna, que normalmente tendrá un ciclo anual. Con el auge del uso de las Tecnologías de la Información en todos los ámbitos de las empresas, el rol del Auditor de Sistemas es vital para definir un alcance adecuado de un Plan de Auditoría Interna. En este sentido, el Auditor de Sistemas deberá de preocuparse por el conocimiento de la empresa y sus operaciones informáticas para apoyar al DEA en la definición de un Plan de Auditoría razonable para mitigar los principales riesgos.

Es importante recalcar que el éxito de la comunicación entre el Auditor de Sistemas y el Director Ejecutivo de Auditoría es crucial para garantizar la efectividad de la ejecución del Plan Anual de Auditoría. La comunicación es en ambas vías. El Director Ejecutivo de Auditoría debe alertar al Auditor de Sistemas sobre el análisis de situaciones que involucren las Tecnologías de la Información. El Auditor de Sistemas debe alertar al Director Ejecutivo de Auditoría sobre aspectos deficientes en la información de la organización y en el uso de Tecnologías de la Información que impactan negativamente en los resultados de la empresa. Es importante recalcar que riesgos como la interrupción de operaciones por fallas en Tecnología, o la materialización de fraudes por una gestión de accesos deficiente, si bien son temas que revisará el Auditor de Sistemas, muchas veces requieren de soluciones que van más allá de la Gestión de las Tecnologías e impactan en los procesos, políticas y la definición de responsabilidades de cada puesto.

Otros aspectos de la vinculación de la Auditoría de Sistemas con la Auditoría Interna serán tocados en publicaciones posteriores.