En esencia, lo que subyace en esta norma que, repetimos, hay que leer
es la idea de riesgo tecnológico, que unida a la de auditoría,
tiene mucho yuyu (Seco/1999 dixit).
La verdad es que como consecuencia de lo que viene pasando desde el año
2001, se está propiciando un cambio de paradigma en el sentido en
que Tamames matiza la definición de Kuhn, como respuesta a la crisis
de esta sociedad globalizada y con un alto nivel de tecnologización
pero asimétricamente distribuido, que claramente potencia
la consideración de la práctica de la seguridad de la información
según la definición que de ella hace Arturo Ribagorda: Disciplina
cuyo objetivo es el estudio de los métodos y medios de protección
frente a revelaciones, modificaciones o destrucciones de la información
o ante fallos en el proceso, almacenamiento o transmisión de dicha
información.
La norma que se comenta profundiza en la evaluación del riesgo
de auditoría en entornos informatizados, a la postre el riesgo
tecnológico; en este sentido, cobran protagonismo los riesgos
inherente y de control para minimizar el riesgo final de auditoría.
Según reza la norma, Estos riesgos pueden resultar de deficiencias
en las actividades generales del sistema informático, tales como
desarrollo y mantenimiento de programas, soporte de los sistemas, operaciones
del sistema, seguridad física del centro informático y control
de acceso a programas de utilización restringida,.... La
cosa, pues, es seria, y como consecuencia no la única, desde
luego puede extraerse que las funciones de seguridad de la información
y de la seguridad TIC que opera en el sistema informático, deben
estar correctamente implantadas y funcionando en el auditado. El auditor,
obviamente, tendrá que estar a la altura de las circunstancias.
Antes de proseguir, y para neutralizar los efectos de la polisemia, conviene
precisar el significado que aquí damos al vocablo riesgo, que es
el de la RAE/2001, a saber, contingencia o proximidad de un daño.
Según Kendall & Buckland, riesgo En general es un término
que implica la existencia del azar (del árabe al zhar, que significa
dado).
Precisemos ahora algunas clases de riesgos que se utilizan en auditoría,
según IFAC-IACJCE/1999:
Riesgo de auditoría, que es la posibilidad de que el
auditor formule una opinión no adecuada cuando existan... irregularidades
significativas.
Riesgo de control: posibilidad de que..., o una clase de transacciones
contengan irregularidades significativas, individualmente consideradas o
cuando se agreguen con otras similares, que no han sido prevenidas, detectadas
o corregidas oportunamente por los sistemas... y de control interno.
Riesgo inherente, posibilidad de que..., o un tipo de transacciones
contengan irregularidades significativas, individualmente consideradas o
agregadas a otras similares, asumiendo que no están relacionadas
con el control interno. |
Dicho esto, considero importante reseñar textualmente el apartado
13.C de la Norma en estudio, que dice así: "La aparición
de nuevas tecnologías informáticas, aumenta la sofisticación
global del sistema informático y la complejidad de sus aplicaciones
específicas. Como resultado, pueden verse incrementados los riesgos
inherentes y de control".
Auditoría
de la consultoría
Recobrando
el hilo de los comentarios, no es vesanía pensar que, en primera
aproximación (y dentro de un orden), aparece la separación
de las entidades de auditoría de las de consultoría; en
consecuencia, los cambios provocados en los entornos informáticos
por la acción consultora serán revisados por la acción
auditora (y quizás viceversa). Podría decirse que entra
en escena la auditoría de la consultoría (y viceversa, claro).
Este no es asunto baladí; antes bien, puede ser fuente de potencial
ineficiencia, ya que la praxis anterior ha sido bastante opaca a posibles
conflictos de interés, eso sin contar con las creadas Comisiones
de Auditoría. Vamos, un ménage à trois posiblemente.
Parece pues que se está configurando por la vía gradualista
o de "gota a gota" normativo lo que podría denominarse
auditoría integral, cuyo origen o motivación está
en la prioridad de la defensa del inversor (tan ninguneado), especialmente
de los pequeños pero más numerosos, estableciendo o tratando
de establecer un sistema garantista más eficiente.
Lo de responsabilizar del informe al auditor, bien individual, bien socio
de una sociedad de auditoría, recuerda el sistema napoleónico
del buen gobierno: para resolver un problema se nombra un responsable,
en caso contrario se nombra una comisión.
En última instancia, detrás de todo esto se atisba la famosa
Sarbanes-Oxley Act, seguida principalmente por la Sec y la PCAOB (Public
Company Accounting Oversight Board), y su consiguiente incidencia
en la seguridad, que ampliamente entendida es un elemento necesario y
garante de una correcta gestión de riesgos en el desarrollo, operación
y explotación de los sistemas de información tecnológicos.
En lo que se refiere a la utilización de expertos independientes
por el auditor en entornos informatizados, la Norma Técnica que
regula su disponibilidad no contempla el trabajo de los expertos que pudieran
formar parte de la organización del auditor.
Es fundamental reseñar que cuando el auditor necesite obtener el
asesoramiento de un experto independiente (en materia de seguridad esto
es critico), deberá poner cuidado profesional en su selección
y consulta, previa autorización de la entidad auditada; si la entidad
no otorgase autorización, el auditor hará constar la salvedad
y, en su caso, denegar la opinión, ya que es una limitación
de alcance.
No obstante lo dicho, las Normas Técnicas sobre el Contrato de
Auditoria y la Carta de Manifestaciones de la Dirección, permiten
obviar de forma apreciable las posibles tensiones, facilitando el modus
operandi.
Además, para completar la auditoría en entornos informatizados,
ha sido sometida a información pública la Norma Técnica
sobre "Consideraciones relativas a la auditoría de entidades
que exteriorizan procesos de administración" (ICAC/R: 20-6-2003),
lo que en informatiqués se conoce como outsourcing
o externalización.
La publicación de normas duras o de obligado cumplimiento tiene
arranques de caballo y paradas de jumento: no parece lo ideal, pero quizás
sea lo más prudente y eficaz. Y no conviene olvidar que todo este
constructo sólo se podrá cumplir eficientemente con personal
que tenga niveles adecuados de competencia, juicio y conocimientos para
realizar razonablemente su función en TIC y en seguridad TIC.
Me pregunto si con la actual mixtura de normativa dura y blanda se conseguirán
reducir las persistentes diferencias en expectativas de la auditoría
(audit expectations gap) en esta llamada Sociedad de la Información
y en los albores de la era nanotecnológica, en la que, como en
todas, los malos son malos pero no necesariamente tontos.
Como broche final y al hilo de la repercusión ética en el
llamado buen gobierno de las entidades -que en definitiva es lo que se
ventila en estas guerras-, bien podemos decir que España figura
entre los 25 países menos corruptos, según la organización
Transparencia Internacional, y han sido analizados 133; buena posición,
aunque no obstante se debería aspirar al número 1, que es
Finlandia.
|