El auditor en sistemas

También es conocido como auditor informático al profesional que aplica procedimientos y técnicas, tiene como responsabilidad principal es la optimización de recursos y obtener la máxima eficacia y rentabilidad de los medios informáticos de una entidad.

Funciones: Un auditor informático tendrá las funciones según los objetivos de revisión que demande la organización, De forma general entre sus actividades están:

Realizar un adecuado análisis sobre la administración de los riesgos de la información y seguridad implícita

Realizar un análisis oportuno sobre la administración de los sistemas de información, haciendo énfasis en los riesgos         de seguridad y efectividad de la administración.

Realizar un correcto análisis sobre la fiabilidad e integridad de la información en base a un análisis de aplicaciones.

También deberá realizar la planificación de auditoria

 

Principios del auditor informático

Principio de calidad: Previo a prestar sus servicios deberá evaluar los medios para cumplir con su alcance.

Principio de capacidad: El auditor debe estar debidamente capacitado para realizar el encargo de auditoría.

Principio de comportamiento profesional: El comportamiento requiere una seguridad sobre los conocimientos técnicos que posee el auditor.

Principio de concentración en el trabajo: Deberá estimar el tiempo para realizar cada una de las fases de auditoría, no excediéndose de trabajo

Principio de criterio propio: Deberá prevalecer su criterio en base a su capacidad y experiencia

Principio de discreción: Esta relacionado con la confidencialidad de la información.

Principio de economía: Tiene relación con la recomendación sobre erogaciones de dinero que sean necesarios para evitar los excedentes.

Principio de formación continuada: El auditor deberá capacitarse de forma constante y efectiva.

Principio de fortalecimiento y respeto a la profesión: Deberá evitar la competencia profesional

Principio de independencia: Deberá de actuar de forma imparcial y autónoma.

Principio de información suficiente: Deberá proporcionar al cliente información clara y transparente en lo que respecta a la auditoria.

Principio de integridad moral: La conducta del auditor en el desarrollo de una auditoria debe ser leal y honesta.

Principio de legalidad: Deberá cumplir con las normas, leyes y reglamentos vigentes.

Principio de libre competencia: Deberá prestar sus servicios profesionales sobre la primicia de libre competencia.

Principio de no injerencia: El auditor tiene la obligación de no influir en el trabajo de terceros,

Principio de la precisión: Requiere que el auditor obtenga la evidencia suficiente para validar sus conclusiones.

Principio de secreto profesional: El cumplimiento a este principio  implica la responsabilidad de resguardar la información obtenida derivado de la relación con el cliente auditado.

Principio de servicio público: Debe evitar actuar a favor de intereses específicos

Principio de veracidad: Las manifestaciones verbales o escritas por el auditor debe llevar implícita la verdad de los hechos.

Perfil

 El auditor informático deberá tener conocimientos tecnológicos combinados con conocimientos de auditoría financiera. El perfil de un auditor informático varía dependiendo de los requisitos, criterios y condiciones de la organización. Como mínimo debe tener conocimientos generales en lo siguiente:

Tener conocimiento general de auditoría financiera e informática

Especializarse según la importancia económica de los componentes financieros en el entorno empresarial

Conocer técnicas tanto de administración de empresas como de cambio; y así establecer métodos para encontrar posibles soluciones.

Mantener un enfoque de calidad total.

Tener conocimientos sobre las normativas, estándares y legislación vigente, entre las normativas se pueden mencionar las normativas estándares de seguridad, normas ISO y COBIT, regulación legal, análisis de riesgo, análisis, análisis forense y evidencias electrónicas, y un conocimiento del territorio local. 

Características y habilidades del auditor informático

Competencias sociales.    El auditor deberá tener la capacidad para trabajar en equipo y a establecer medios de comunicación precisos y efectivos; mismos que podrán ser verbales, escrita o por medios electrónico, con el objetivo de dar instrucciones, resolver problemas, coordinar eventos, etc.

Competencias de apoyo al crecimiento: Deberá ser una persona analítica para visualizar desde varios enfoques cierta información y en base a ese análisis poder llegar a una conclusión  de los datos.

Ventajas y desventajas

Entre las principales ventajas se encuentran la comunicación formal y de forma continua con alta dirección, apoyo y soporte constante, objetividad en el desempeño de la función y entre las principales desventajas están el seguimiento de la alta dirección al desempeño de la función, puede ser un proceso complejo,   su veracidad, alcance y confidencialidad se pueden ver limitados debido a la influencia de parte de las máximas autoridades.

Educación continuada: La educación continuada permitirá al auditor adquirir nuevos conocimientos y actualizar los que ha adquirido anteriormente  y al aplicar esos conocimientos contribuir al desarrollo y crecimiento de la organización.

 

Certificaciones mundiales: Las certificaciones mundiales permiten al auditor informático actualizarse constantemente en el ámbito profesional: entre estas certificaciones se pueden mencionar.

Ø  Certificación ISO

Ø  Certificación SISA y su implicación en la formación continua del auditor informático

Ø  Certificación de sistemas de información de seguridad

Ø  Profesional de certificación inalámbrica certificado

Proceso de auditoria en sistemas

Analizaremos las cuatro fases básicas de un proceso de revisión:

 

 

El informe debe contener lo siguiente:           Procedimientos y Técnicas de Auditoria: El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.

 

Planificación de la auditoría: El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado.

 

Comprensión del negocio y de su ambiente: Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio.

 

Riesgo y materialidad de auditoría: Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera:

 

v  Riesgo inherente

v  Riesgo de Control

v  Riesgo de detección.

Técnicas de evaluación de Riesgos: El auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada

Objetivos de controles y objetivos de auditoría: El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa.

 

 

 

Procedimientos de auditoría: Entre estos se pueden mencionar:

v  Revisión de la documentación de sistemas e identificación de los controles existentes.

v  Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.

Desarrollo del programa de auditoría: Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados.

 

Tema de auditoría: Identifica el área a ser auditada.

Objetivos de Auditoría: Indica el propósito del trabajo de auditoría a realizar

Alcances de auditoría: Aquí se identifica los sistemas específicos de organización  a incluir en la revisión en un período de tiempo determinado.

Planificación previa: Identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.

 

Procedimientos de seguimiento: Generalmente tiene la siguiente estructura:

Procedimientos de Auditoria

Lugar

Papeles de Trabajo   Referencia:

Hecho Por:   Fecha:

 

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, las de cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces.

 

Asignación de Recursos de auditoría: La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar un plan detallado, ajustar el plan y tomar las acciones debe existir algún mecanismo que permita comparar el progreso real con lo planificado.

Técnicas de recopilación de evidencias: La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilar la evidencia examinada.

 

Evaluación de fortalezas y debilidades de auditoría: El siguiente paso es evaluar la información recopilada con la finalidad de desarrollar una opinión.  En esta parte de evaluación de debilidades y fortalezas también se debe elegir o determinar la materialidad de las observaciones o hallazgos de auditoría.

Informe de auditoría: Los informes de auditoría son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoría, generalmente tiene la siguiente estructura:

 

Seguimiento de las observaciones de auditoría: El nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores, en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá que hacer una revisión más técnica del sistema.

 

Planeación de la Auditoría en Informática: La planeación es fundamental y deberá realizarse desde el punto de vista de los dos objetivos:

v  Evaluación de los sistemas y procedimientos.

v  Evaluación de los equipos de cómputo.

 

Investigación Preliminar: Se deberá observar el estado general del área, su situación dentro de la organización.

 

Administración: Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

 

Sistemas: Descripción general de los sistemas instalados y de los que estén por instalarse que contengan volúmenes de información.

 

Personal Participante: Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo..

 

Controles: Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

 

Clasificación general de los controles:

1.    Controles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

2.    Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor.

3.    Controles Correctivos: Ayudan a la investigación y corrección de las causas del riesgo.

Principales Controles físicos y lógicos: Controles particulares tanto en la parte física como en la lógica se detallan a continuación

a)    Autenticidad

b) Exactitud

c)    Totalidad

d)    Redundancia

e)    Privacidad

f)     Existencia

g)    Protección de Activos

h)   Efectividad

i)     Eficiencia

Controles automáticos o lógicos

Periodicidad de cambio de claves de acceso: Los cambios de las claves de acceso a los programas se deben realizar periódicamente.

 

Combinación de alfanuméricos en claves de acceso: No es conveniente que la clave esta compuesta por códigos de empleados, ya que una persona no autorizada a través de pruebas simples o de deducciones puede dar con dicha clave.

v  Individuales: Pertenecen a un solo usuario, por tanto es individual y personal. Esta clave permite al momento de efectuar las transacciones registrar a los responsables de cualquier cambio.

v  Confidenciales: De forma confidencial los usuarios deberán ser instruidos formalmente respecto al uso de las claves.

Verificación de datos de entrada: Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

 

Conteo de registros: Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

 

Totales de Control: Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, etc., y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

 

Verificación de límites: Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente.

 

Verificación de secuencias: En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en sí.

 

Verificación de datos de entrada: Incluir rutinas que verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal es el caso de la validación del tipo de datos que contienen los campos o verificar si se encuentran dentro de un rango.

 

Conteo de registros: Consiste en crear campos de memoria para ir acumulando cada registro que se ingresa y verificar con los totales ya registrados.

 

Totales de Control: Se realiza mediante la creación de totales de línea, columnas, cantidad de formularios, cifras de control, etc., y automáticamente verificar con un campo en el cual se van acumulando los registros, separando solo aquellos formularios o registros con diferencias.

Verificación de límites: Consiste en la verificación automática de tablas, códigos, límites mínimos y máximos o bajo determinadas condiciones dadas previamente.

 

Verificación de secuencias: En ciertos procesos los registros deben observar cierta secuencia numérica o alfabética, ascendente o descendente, esta verificación debe hacerse mediante rutinas independientes del programa en sí.

 

Dígito auto verificador: Consiste en incluir un dígito adicional a una codificación, el mismo que es resultado de la aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la corrección o no del código.

 

Utilizar software de seguridad en los microcomputadores: El software de seguridad permite restringir el acceso al microcomputador, de tal modo que solo el personal autorizado pueda utilizarlo.

 

Controles administrativos en un ambiente de Procesamiento de Datos: La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

v  Controles de Preinstalación

v  Controles de Organización y Planificación

v  Controles de Sistemas en Desarrollo y Producción

v  Controles de Procesamiento

v       Controles de Operación

v  Controles de uso de Microcomputadores

 

Controles de Preinstalación: Hacen referencia a procesos y actividades previas a la adquisición e instalación de un equipo de computación y obviamente a la automatización de los sistemas existentes.

Objetivos:

v  Garantizar que el hardware y software se adquieran siempre y cuando tengan la seguridad de que los sistemas computarizados proporcionaran mayores beneficios que cualquier otra alternativa.

v  Garantizar la selección adecuada de equipos y sistemas de computación