Mucho han cambiado las cosas desde aquel 1969 en que un pequeño grupo de auditores encargados de revisar los controles en sistemas informáticos fundaron la EDPAA (Electronic Data Processing Auditors Association). En 1993 el nombre de la asociación cambió a ISACA (Information Systems Audit and Control Association). Este cambio de nombre no fue gratuito, ya que supone el reconocimiento de que los aspectos de control en sistemas de información son comunes a otras disciplinas fuera de la auditoría.

En la actualidad, ISACA cuenta con más de 30.000 asociados repartidos a lo largo de todo el mundo. El capítulo de ISACA-Barcelona (Cataluña y Baleares) es desde el año 2001 la primera asociación española de auditoría de sistemas con estatutos plenamente democráticos y abierto a todos los profesionales que trabajan en el campo de la auditoría, la seguridad y el control de los SI.

Prueba de la fortaleza del capítulo son sus asociados, profesionales de reconocido prestigio. Si bien la mayoría son auditores de sistemas de información, contamos también con consultores informáticos, profesionales de la seguridad informática, gerentes, directores ejecutivos, etc. Entre ellos están representados tanto profesionales independientes como directivos de las grandes firmas de auditoría (Deloitte, Ernst & Young, KPMG, PWC ...) y representantes de las grandes cajas y bancos, así como de las principales empresas con sede o delegaciones en Cataluña y Baleares.
Los objetivos que persigue ISACA-Barcelona están recogidos en su acta de constitución:

- Promover la educación, el perfeccionamiento y el desarrollo de los conocimientos de las personas en el ámbito de la auditoría, la consultoría, la seguridad, la garantía de calidad y el control de los sistemas de información y campos relacionados.

- Promover un intercambio abierto entre los miembros sobre técnicas y enfoques relacionados con la auditoría, la consultoría, la seguridad, la garantía de calidad y econtrol de los sistemas de información, y la resolución de problemas relacionados con estos temas.

- Impulsar una comunicación adecuada que permita a los miembros estar al día de las innovaciones en las especialidades de la auditoría, la consultoría, la seguridad, la garantía de calidad y el control de los sistemas de información, y que beneficie tanto a estos miembros como a aquellos que los contraten.

- Apoyar a los empresarios, auditores, universidades, administración pública y profesionales de los sistemas de información en la identificación y evaluación de los riesgos de los sistemas de información y en el diseño de los controles necesarios para asegurar su organización y utilización eficaz, eficiente, legal y segura.

- Dar apoyo a la Administración Pública en el desarrollo de legislación y organismos de supervisión y control sobre la seguridad, auditoría y control de los sistemas de información.

- Dar apoyo a los órganos judiciales y del derecho en materia de tecnolo-gías de la información con una calificación y ética garantizada y en un formato claro y exento de argot técnico.

- Apoyar la certificación profesional de los asociados.

Contamos con una certificación internacional reconocida en todo el mundo, el CISA (Certified Information Systems Auditor), con las ventajas que esto conlleva, ya que acredita que su poseedor tiene una formación y experiencia mínima de 5 años. Formación, porque es necesario superar un examen, el mismo para todo el mundo, que se realiza anualmente en el mes de Junio (Barcelona es una de las sedes de este examen desde el año 1991); y experiencia, porque una vez superado el examen, con una puntuación mínima del 75%, hay que acreditar 5 años de ejercicio profesional para obtener el certificado. Una vez conseguida la certificación, el auditor certificado CISA está obligado a realizar cada año un mínimo de horas de formación, a fin de mantenerse al día en un entorno tan cambiante. El no reportar dicha formación a ISACA-Internacional es causa de revocación inmediata de la certificación.

La Ley Orgánica de Protección de Datos ha abierto un nuevo campo de trabajo, ya que aquellas empresas que requieren niveles de protección medios y altos están obligadas a pasar una auditoría cada 2 años. Dado que la profesión de auditoría de sistemas aún no está regulada, es muy importante que la auditoría sea realizada por un auditor certificado CISA.

Por otra parte, se necesitan profesionales que sean capaces de salvar el abismo que a menudo existe entre el departamento de Sistemas de Información y la Dirección General. Hay un campo ilimitado para la asesoría informática independiente realizada por los auditores de sistemas, ya que al no tener que implantar, pueden elegir la solución que mejor se adapte a las necesidades de la empresa, res-petando la adecuada segregación de funciones, y es que a menudo se olvida que la informática es un medio para hacer más competitiva la empresa, y no un fin en sí misma. Todos recordamos el efecto 2000 y los abusos que se cometieron en su nombre.

Conceptos como Gobierno de Tecnologías de la Información, Objetivos de Control, COBIT, son algunos en que los auditores de sistemas son expertos. Atrás han quedado los tiempos en que el auditor de SI sólo servía para fiscalizar y hacer de policía: la auditoría pasa cada vez más a ser proactiva. Este hecho conlleva proveer a la alta dirección de un conjunto de herramientas y metodologías que le permitan comprender y supervisar al departamento de sistemas.

El auditor de sistemas tiene que estar formado en múltiples disciplinas: informática, contabilidad, derecho, seguridad, administración, marketing, finanzas, pudiendo ser fácilmente promocionado a otras posiciones en la empresa. De hecho, gracias a su trabajo tiene una incomparable oportunidad de networking, tanto interna como externamente.

UN BUEN AUDITOR DE SISTEMAS DEBE SER: Creativo, identificando nuevos y mejores controles minimizando el coste.

Conceptual, siendo capaz de hacerse la imagen general de la empresa, no sólo de la aplicación o parte de la aplicación que está revisando.

Excelente comunicador a todos los niveles de la empresa, para poder obtener la información correcta y con el mínimo esfuerzo.

Persuasivo, con el objetivo de hacer comprender a la alta dirección la importancia de los controles a implantar.

Otra de las cualidades importantes es la curiosidad; el saber quién, qué, por qué, cuándo y cómo la información es procesada. Un buen auditor es el que sabe llegar al fondo de las cuestiones y no se conforma con res-puestas superficiales.

Necesitamos formar profesionales para que puedan incorporarse rápidamente al mundo laboral o promocionarse, y debemos crear el itinerario adecuado.