5.6. Personal responsable del área.

La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de proyectos de auditoría en informática que serán ejecutados en un plazo determinado con el fin de apoyar las estrategias del negocio, considerando los diversos factores internos y externos que se relacionan con la organización.

Cada uno de estos proyectos deberá estar enmarcado en los límites definidos para la función, esto es, debe enfocarse al control, seguridad y auditoría de los diferentes elementos que mantengan contacto directo o indirecto con la tecnología informática. Los auditores en informática dirigirán la participación directa y entusiasta del personal de informática y de los usuarios involucrados durante la auditoría.

El responsable de la función de auditoría en informática (externo o interno) que revise las diferentes áreas de informática se debe coordinar con el responsable de la auditoría tradicional, la alta dirección y con el responsable de informática mediante reuniones formales y periódicas con objeto de lograr objetivos comunes para el bien del negocio.

Estructura organizacional y funciones de la auditoría en informática y Ubicación jerárquica de la función

La alta dirección de cualquier organización tiene que estar consciente de que la función de auditoría se debe ejercer con el criterio básico de independencia personal jerárquica, es decir, el desempeño de las actividades profesionales en el proceso de evaluación y control no debe verse afectado por aspectos emocionales ni de autoridad emanados de los responsables e involucrados en el momento de la auditoría.

En la medida en que la dirección establezca políticas claras que especifiquen que la función del auditor es asegurar el control y la seguridad de los elementos relacionados con la informática y que responde a una necesidad de la alta dirección, el apoyo y participación de las áreas del negocio fluirá de manera natural; asimismo, se evitará que esta situación se convierta en un proceso tenso y complicado, o en una actividad burocrática e improductiva. Se recomienda ubicar la función de auditoría en informática en un nivel organizacional que le asegure la independencia y soporte requerido en la alta dirección, con la finalidad de contar con una entidad confiable y eficiente.

El control y la seguridad no pueden establecerse ni supervisarse desde los niveles inferiores de una empresa; su posición debe ser estratégica o por perfiles especiales del negocio, táctica. Nunca se ejercerán desde un nivel operativo. La alternativa es que los realice personal profesional externo. Si la auditoría en informática es ejercida por personal externo a la empresa, se recomienda que el seguimiento, coordinación, apoyo y aprobación del trabajo efectuado por los asesores externos sea ejecutado a cabo por la alta dirección.