Estándares y metodologías de auditoría

Estándares de auditoría de información

Mediante los estándares se definen tanto los requerimientos obligatorios para el desarrollo de la  auditoría de sistemas como los requerimientos para  la generación de informes ya que la mismas se deben realizar en base a ciertas directrices, políticas y lineamientos.

El sistema COBIT contiene ciertas bases para la realización de una auditoría de información, su objetivo principal está enfocado en el control de la tecnología de información la cual garantiza la Seguridad de los Sistemas.

La norma  ISO 27002,  está conformado por un código de internacional con buenas prácticas de seguridad de la información constituyéndose así como una directriz de auditoría. Esta norma se relaciona con  la norma ISO 27001; ya que en ella se define  tanto los requisitos de auditoría como los sistemas.

Objetivos de los estándares de auditoría

Los estándares se definen con los siguientes objetivos:

1. Informar a los auditores de sistemas que nivel puede ser aceptado como mínimo para resolver las responsabilidades profesionales vinculadas con el código de ética profesional de ISACA para auditores de sistemas de información.
2. Informar a las gerencias y otras partes interesadas sobre las expectativas de la profesión concernientes a quienes la practican.
3. Proveer información sobre cómo cumplir con los estándares de la Auditoría de Sistemas.

Metodologías de auditoría de información

Se conoce como metodología a la secuencia de etapas en forma lógica, mediante la cual garantiza el éxito en una auditoría. A nivel general existen tres metodologías de auditoría, entre las que se mencionan:

• R.O.A. Su enfoque principal es el riesgo y fue diseñado por Arthur Andersen
• Check List. Son conocidos como cuestionarios.
• Auditoría de productos. Se conocen como productos a las auditoría orientadas a  la red local,  windows NT,  sistemas de gestión de base de datos DB2, paquetes de seguridad RACF, etc.

Las metodologías mencionadas con anterioridad  se enfocan principalmente en la reducción de riesgos, mediante la funcionalidad de cada uno de los controles.

Para ello cada una de las metodologías  se desarrollan tanto cualitativa como subjetivamente.

Se encuentran basadas en profesionales de un alto nivel, una gran experiencia, y formación, con capacidad suficiente para brindar recomendaciones, técnicas, operativas, y jurídicas, que exigen en gran profesionalidad y formación constante.

Etapas de la metodología

1. Alcance y objetivos de la auditoría informática
2. Estudio inicial del entorno auditable
3. Determinación de los recursos necesarios para la realización de la auditoría
4. Elaboración del plan y los programas de trabajo
5. Actividades de auditoría
6. Confección y redacción del informe final
7. Redacción de la carta de introducción o carta de presentación del informe final

Tipos de metodologías.

Para el desarrollo de  la auditoría de sistemas de información existen dos tipos.

Controles  generales

Se realizan mediante controles estándares realizados por los auditores profesionales.

Su objetivo principal es emitir una opinión sobre la fiabilidad de los datos contenida en los sistemas de información para una auditoría financiera, dependen de  la experiencia que posea el profesional que lo aplique.

Metodología  de los auditores internos

Se desarrollan en base al plan de trabajo y en base a los procesos a seguir. El auditor interno establece la metodología a desarrollar para auditar la información.

Organismos Internacionales enfocados en el control de la auditoría de sistemas de información

Existen organismos internacionales enfocados en el control de la auditoría de información como lo son.

ISACA (Asociación de Auditoría y Control de Sistemas de Información)

Sus inicios fueron en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association -Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.

CISM (Gerente Certificado de Seguridad de la Información)

También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización.

CISA ( Auditor Certificado de Seguridad de la Información)

Provee una Certificación de Auditores en Sistemas de Información (CISA); por medio de un examen anual que realiza el Instituto a los candidatos, el Cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los Candidatos.

NIST

Definido como Instituto  Nacional de Estándares y Tecnología de los Estados Unidos.

Normas generales de auditoría de sistemas

Es necesario e imperativo el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

   Estándares o normas internacionales

El auditor de sistemas debe tener conocimiento de las normas aplicables en la auditoría de información como lo son:

Normas Internacionales de Auditoría

Emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoría o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales

Norma ISA 401

Sobre Sistemas de Información por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor’s Consideration of Internal Control in a Financial Statement audit) establece que toda empresa que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reportan las transacciones.

  La norma SAP 1009 (Statement of Auditing Practice)

Denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computadora.

ISO 9000

La norma ISO 9000 especifica la manera en que una organización opera sus estándares de calidad, tiempos de entrega y niveles de servicio.