Funciones y perfil del auditor de sistemas

FUNCIONES Y PERFIL DEL AUDITOR DE SISTEMAS

En varias oportunidades ( semininarios, foros, reuniones, de profesionales) se ha manifestado la inquietud por definir el perfil y las funciones del auditor de sistemas. Siempre que se desea dar una definición se corre el riesgo de señalar un perímetro tan grande que, contrariando el objetivo, se queda en el terreno de la indefinición o resulta tan pequeño, tan subjetivo y tan pobre que son necesarias definiciones adicionales para obtener el propósito buscado.

Por lo dicho, este artículo solo pretende el equivalente de coloca un mueble en un salón vacio: busca presentar una solución a un problema. Después recibirá la avalancha de cometarios para mejorar la solución: nos dirán que el mueble es muy viejo: otros que es muy nuevo. Alguien opinara que el color verde es muy chillón, y su visión que el chillón es adecuado pero no en verde, y un tercero mostrara un argumento muy sólido según el cual el color que mejor complementa la ambientación es el amarillo pollito. No importa. Bastante satisfactorio será si lo que se afirme se cambia de tal modo que algún día se llegue a un consenso útil para todos. Para ganar no se necesitan perdedores.

Partir de los objetivos de la auditoria de sistemas, nos ayudara a lograr una mejor aproximación: necesariamente, el objetivo o propósito general mas importante es el de dar recomendaciones orientadas al fortalecimiento de los controles identificados como débiles y que por esa razón, constituyen factores de riesgo para la organización.

Esta definición, que en principio debe reconocerse muy vaga y casi imprecisa con seguridad va a dar pie a la primera polémica. Existen opiniones según la cuales el auditor de sistemas palabras mas palabras menos debes ser el responsable del establecimiento de los controles relacionados con el PED (Procesamiento Electrónico de Datos).Así opinan muchos entre ellos uno que otro conferencista de reconocida trayectoria con mas afán de buscar objetividad que de tomar una posición sobre el asunto me permitiría dejar algunas preguntas sobre la mesa.

• ¿puede responsabilizarse sobre la eficacia de los controles a alguien que o tiene autoridad sobre los responsables de su ejecución?¨

• ¿Seria otra alternativa que un director gerente o jefe de sistemas permitiera que sus subordinados reciban instrucciones del auditor?

• ¿Seria sano, administrativa y organizacional mente, delegar el desarrollo y procesamiento de datos en un individuo que a su vez delegaría la responsabilidad del control en un auditor? En otras palabras, ¿garantizamos los aplausos para uno y las rechiflas para otro?

Ello entraría en franca oposición con el principio administrativo de delegar autoridad y responsabilidad, básico para la unidad de criterio y el desempeño ordenado y funcional.

Indudablemente, no se trata de evadirla que si es responsabilidad del auditor de efectuar un trabajo profesional con la calidad que exigen los principios y orientaciones de su oficio.

De aquí, ya podemos asimilar algunas características del perfil que buscamos:

• El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su participación como componente de la organización.

• Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no este influenciado por características de respetabilidad o intereses particulares provocados por su nivel de educación y de experiencia o por un esquema organizativo defectuoso.

• Debe tener el soporte humano necesario (en calidad y cantidad) de modo que su trabajo no se vea ilimitado por la carencia de recursos suficientes.

Este ultimo punto y la ubicación en la organización no podrían calificarse como componentes del perfil del individuo, pero se destacan como complementos necesarios del mismo.

El propósito general del que nos ocupamos al principio (dar recomendaciones para fortalecer los controles) debe descomponerse según las circunstancias propias que rodean el area de sistematización de datos así:

• El auditor debe evaluar los planes y proyecciones de la sistematización de datos, de acuerdo con los proyectos de la entidad.

Esta obligación supone que el auditor conoce la organización y sus planes a mediano y largo plazo. Le obliga a tener claridad sobre los objetivos de la empresa., la conformación de su estructura y las funciones de cada una de las áreas que la componen. En consecuencia, debe tener un conocimiento detallado de la organización y recursos de la sistematización ya que en su evaluación no debe considerar solo lo que se debe hacer sino que debe incluir análisis de los recursos necesarios para lograrlo.

• El auditor debe evaluar la organización del area de sistemas, la distribución de funciones y los procedimientos e trabajo y supervisión.

Uno de los pilares mas importantes del control es la adecuada distribución de tareas con el fin de que cada funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede definir una estructura de organización que proporcione esta condición .pero si puede, de acuerdo con las circunstancias plantear esquemas de organización apropiada; sin embargo, frente a estructuras más pequeñas que impiden cumplir con este requisito, debe evaluar métodos alternativos de control que disminuyan los riesgos inherentes a las incompatibilidades identificadas.

Esta tarea requiere de un estudio detallado sobre la práctica de trabajo del departamento de sistemas y sus diferentes secciones. Con énfasis en los procedimientos utilizados y la supervisión de niveles de autorización incorporados a ellos

• El auditor debe evaluar los métodos de trabajo y documentación utilizados por el grupo de desarrollo de sistemas y los controles implantados para supervisar sus labores.

Naturalmente no existe una formula acerca de cómo se debe desarrollar e implantar una aplicación. En la práctica cada centro de procesamiento tiene su propio estilo, y en su mayoría, aplican dosis excesivas de confianza en los grupos de desarrollo. No le corresponde al auditor dar la formula- que no existe- ni sentar cátedra sobre los procedimientos de control.

Su papel con relación a este punto, consiste en analizar los métodos y procedimientos utilizados junto con la distribución de

...