Normas, técnicas y procedimientos de auditoria en informática.
El desarrollo de una auditoria se basa en la
aplicación de normas, técnicas y procedimientos de auditoria. Para
nuestro caso, estudiaremos aquellas enfocadas a la auditoria en
informática.
Es fundamental mencionar que para el auditor en
informática conocer los productos de software que han sido creados
para apoyar su función aparte de los componentes de la propia
computadora resulta esencial, esto por razones económicas y para
facilitar el manejo de la información.
El auditor desempeña sus labores mediante la
aplicación de una serie de conocimientos especializados que vienen a
formar el cuerpo técnico de su actividad. El auditor adquiere
responsabilidades, no solamente con la persona que directamente
contratan sus servicios, sino con un número de personas desconocidas
para él que van a utilizar el resultado de su trabajo como base para
tomar decisiones.
La auditoria no es una actividad meramente mecánica, que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carácter indudable. La auditoria requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos[37].
Normas.
Según se describe en [bib-imcp], las normas de auditoria son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.
Las normas de auditoria se clasifican en:
- Normas personales.
- Normas de ejecución del trabajo.
- Normas de información.
- Normas personales
- son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.
- Normas de ejecución del trabajo
- son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoria.
- Normas de información
- son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.
Técnicas.
Se define a las técnicas de auditoría como “los
métodos prácticos de investigación y prueba que utiliza el auditor
para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, según las
circunstancias”.
Al aplicar su conocimiento y experiencia el auditor,
podrá conocer los datos de la empresa u organización a ser
auditada, que pudieran necesitar una mayor atención.
Las técnicas procedimientos están estrechamente
relacionados, si las técnicas no son elegidas adecuadamente, la
auditoria no alcanzará las normas aceptadas de ejecución, por lo
cual las técnicas así como los procedimientos de auditoria tienen
una gran importancia para el auditor.
Según el IMCP en su libro Normas
y procedimientos de auditoria las
técnicas se clasifican generalmente con base en la acción que se va
a efectuar, estas acciones pueden ser oculares, verbales, por
escrito, por revisión del contenido de documentos y por examen
físico.
Siguiendo esta clasificación las técnicas de
auditoria se agrupan específicamente de la siguiente manera:
- Estudio General
- Análisis
- Inspección
- Confirmación
- Investigación
- Declaración
- Certificación
- Observación
- Cálculo
Procedimientos.
Al conjunto de técnicas de investigación aplicables
a un grupo de hechos o circunstancias que nos sirven para fundamentar
la opinión del auditor dentro de una auditoria, se les dan el nombre
de procedimientos de auditoria en informática.
La combinación de dos o más procedimientos, derivan
en programas de auditoria, y al conjunto de programas de auditoria se
le denomina plan de auditoria, el cual servirá al auditor para
llevar una estrategia y organización de la propia auditoria.
El auditor no puede obtener el conocimiento que
necesita para sustentar su opinión en una sola prueba, es necesario
examinar los hechos, mediante varias técnicas de aplicación
simultánea.
En General los procedimientos de auditoria permiten:
- Obtener conocimientos del control interno.
- Analizar loas características del control interno.
- Verificar los resultados de control interno.
- Fundamentar conclusiones de la auditoria.
Por esta razón el auditor deberá aplicar su
experiencia y decidir cuál técnica o procedimiento de auditoria
serán los mas indicados par obtener su opinión.
Análisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de auditoria, de los cuales destacan el análisis de datos, ya que para las organizaciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos, basados en [bib-solis-2002], las cuales se describen a continuación.- Comparación de programas
- esta técnica se emplea para efectuar una comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.
- Mapeo y rastreo de programas
- esta técnica emplea un software especializado que permite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes.
- Análisis de código de programas
- Se emplea para analizar los programas de una aplicación. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable).
- Datos de prueba
- Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto datos correctos como datos erróneos predeterminados.
- Datos de prueba integrados
- Técnica muy similar a la anterior, con la diferencia de que en ésta se debe crear una entidad, falsa dentro de los sistemas de información.
- Análisis de bitácoras
- Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitácoras de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos, bitácoras de procesos ejecutados.
- Simulación paralela
- Técnica muy utilizada que consiste en desarrollar programas o módulos que simulen a los programas de un sistema en producción. El objetivo es procesar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos
necesitan ser evaluados a través del tiempo para verificar su
calidad en cuanto a las necesidades de control, integridad y
confidencialidad, este es precisamente el ámbito de esta técnica, a
continuación se muestran los procesos de monitoreo:
- M1 Monitoreo del proceso.
- M2 Evaluar lo adecuado del control Interno.
- M3 Obtención de aseguramiento independiente.
- M4 Proveer auditoría independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos
de TI, lo cual se logra definiendo por parte de la gerencia reportes
e indicadores de desempeño y la implementación de sistemas de
soporte así como la atención regular a los reportes emitidos.
Para ello la gerencia podrá definir indicadores
claves de desempeño y factores críticos de éxito y compararlos con
los niveles propuestos para evaluar el desempeño de los procesos de
la organización.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a través de actividades administrativas, de supervisión, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regularM3 Obtención de aseguramiento independiente
Incrementa los niveles de confianza entre la
organización, clientes y proveedores, este proceso se lleva a cabo a
intervalos regulares de tiempo.
Para ello la gerencia deberá obtener una
certificación o acreditación independiente de seguridad y control
interno antes de implementar nuevos servicios de tecnología de
información que resulten críticos, así como para trabajar con
nuevos proveedores de servicios de tecnología de información, luego
la gerencia deberá adoptar como trabajo rutinario tanto hacer
evaluaciones periódicas sobre la efectividad de los servicios de
tecnología de información, de los proveedores de estos servicios
así como también asegurarse el cumplimiento de los compromisos
contractuales de los servicios de tecnología de información y de
los proveedores de dichos servicios.
M4 Proveer auditoría independiente.
Incrementa los niveles de confianza de
recomendaciones basadas en mejores prácticas de su implementación,
lo que se logra con el uso de auditorías independientes
desarrolladas a intervalos regulares de tiempo.
Para ello la gerencia deberá establecer los
estatutos para la función de auditoría, destacando en este
documento la responsabilidad, autoridad y obligaciones de la
auditoría.
El auditor deberá ser independiente del auditado,
esto significa que los auditores no deberán estar relacionados con
la sección o departamento que esté siendo auditado y en lo posible
deberá ser independiente de la propia empresa, esta auditoría
deberá respetar la ética y los estándares profesionales,
seleccionando para ello auditores que sean técnicamente competentes,
es decir que cuenten con habilidades y conocimientos que aseguren
tareas efectivas y eficientes de auditoría informática.
La función de la auditoría informática deberá
proporcionar un reporte que muestre los objetivos, período de
cobertura, naturaleza y trabajo de auditoría realizado, así como
también la organización, conclusión y recomendaciones relacionadas
con el trabajo de auditoría informática llevado a cabo.
Análisis de bitácoras.
Hoy en día los sistemas de cómputo se encuentran
expuestos a distintas amenazas, las vulnerabilidades de los sistemas
aumentan, al mismo tiempo que se hacen más complejos, el número de
ataques también aumenta, por lo anterior las organizaciones deben
reconocer la importancia y utilidad de la información contenida en
las bitácoras de los sistemas de computo así como mostrar algunas
herramientas que ayuden a automatizar el proceso de análisis de las
mismas.
El crecimiento de Internet enfatiza esta
problemática, los sistemas de cómputo generan una gran cantidad de
información, conocidas como bitácoras o archivos logs, que pueden
ser de gran ayuda ante un incidente de seguridad, así como para el
auditor.
Una bitácora puede registrar mucha información
acerca de eventos relacionados con el sistema que la genera los
cuales pueden ser:
- Fecha y hora.
- Direcciones IP origen y destino.
- Dirección IP que genera la bitácora.
- Usuarios.
- Errores.
La importancia de las bitácoras es la de recuperar
información ante incidentes de seguridad, detección de
comportamiento inusual, información para resolver problemas,
evidencia legal, es de gran ayuda en las tareas de cómputo forense.
Las Herramientas de análisis de bitácoras mas
conocidas son las siguientes:
- Para UNIX, Logcheck, SWATCH.
- Para Windows, LogAgent
Las bitácoras contienen información crítica es por
ello que deben ser analizadas, ya que están teniendo mucha
relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha
utilidad para el análisis de bitácoras, es importante registrar
todas las bitácoras necesarias de todos los sistemas de cómputo
para mantener un control de las mismas.
Técnicas de auditoría asistida por computadora
La utilización de equipos de computación en las
organizaciones, ha tenido una repercusión importante en el trabajo
del auditor, no sólo en lo que se refiere a los sistemas de
información, sino también al uso de las computadoras en la
auditoría.
Al llevar a cabo auditorías donde existen sistemas
computarizados, el auditor se enfrenta a muchos problemas de muy
diversa condición, uno de ellos, es la revisión de los
procedimientos administrativos de control interno establecidos en la
empresa que es auditada.
La utilización de paquetes de programas
generalizados de auditoría ayuda en gran medida a la realización de
pruebas de auditoría, a la elaboración de evidencias plasmadas en
los papeles de trabajo.
Según [bib-zavaro-martinez] las técnicas de
auditoría Asistidas por Computadora (CAAT) son la utilización de
determinados paquetes de programas que actúan sobre los datos,
llevando a cabo con más frecuencia los trabajos siguientes:
- Selección e impresión de muestras de auditorías sobre bases estadísticas o no estadísticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores.
- Verificación matemática de sumas, multiplicaciones y otros cálculos en los archivos del sistema auditado.
- Realización de funciones de revisión analítica, al establecer comparaciones, calcular razones, identificar fluctuaciones y llevar a cabo cálculos de regresión múltiple.
- Manipulación de la información al calcular subtotales, sumar y clasificar la información, volver a ordenar en serie la información, etc.
- Examen de registros de acuerdo con los criterios especificados.
- Búsqueda de alguna información en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de
las CAAT que permiten al auditor, evaluar las múltiples aplicaciones
específicas del sistema que emplea la unidad auditada, el examinar
un diverso número de operaciones específicas del sistema, facilitar
la búsqueda de evidencias, reducir al mínimo el riesgo de la
auditoría para que los resultados expresen la realidad objetiva de
las deficiencias, así como de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.
Teniendo en cuenta que se hacía imprescindible
auditar sistemas informáticos; así como diseñar programas
auditores, se deben incorporar especialistas informáticos, formando
equipos multidisciplinarios capaces de incursionar en las auditorías
informáticas y comerciales, independientemente de las contables,
donde los auditores que cumplen la función de jefes de equipo, están
en la obligación de documentarse sobre todos los temas auditados.
De esta forma los auditores adquieren más
conocimientos de los diferentes temas, pudiendo incluso, sin
especialistas de las restantes materias realizar análisis de esos
temas, aunque en ocasiones es necesario que el auditor se asesore con
expertos, tales como, ingenieros industriales, abogados,
especialistas de recursos humanos o de normalización del trabajo
para obtener evidencia que le permita reunir elementos de juicio
suficientes.
Evaluación del control interno.
En un ambiente de evolución permanente, determinado
por las actuales tendencias mundiales, las cuales se centran en el
plano económico soportadas por la evolución tecnológica, surge la
necesidad de que la función de auditoría pretenda el mejoramiento
de su gestión.
La práctica de nuevas técnicas para evaluar el
control interno a través de las cuales, la función de auditoría
informática pretende mejorar la efectividad de su función y con
ello ofrecer servicios más eficientes y con un valor agregado.
La evolución de la teoría del control interno se
definió en base a los principios de los controles como mecanismos o
prácticas para prevenir, identificar actividades no autorizadas, más
tarde se incluyó el concepto de lograr que las cosas se hagan; la
corriente actual define al control como cualquier esfuerzo que se
realice para aumentar las posibilidades de que se logren los
objetivos de la organización.
En este proceso evolutivo se considera actualmente, y
en muchas organizaciones que el director de finanzas, contralor o al
director de auditoría como los responsables principales del correcto
diseño y adecuado funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o
fórmulas que las dirijan hacia una mayor calidad, para poder ser
competitivos, una de estas herramientas o fórmulas es el
Benchmarking.
Existen varios autores que han estudiado el tema, y
de igual manera existen una gran cantidad de definiciones de lo que
es benchmarking, a continuación se presentan algunas definiciones.
Benchmarking es el proceso continuo de medir productos, servicios y prácticas contra los competidores o aquellas compañías reconocidas como líderes en la industria.[39]
Esta definición presenta aspectos importantes tales
como el concepto de continuidad, ya que benchmarking no sólo es un
proceso que se hace una vez y se olvida, sino que es un proceso
continuo y constante.
Según la definición anterior podemos deducir que se
puede aplicar benchmarking a todas las facetas de las organizaciones,
y finalmente la definición implica que el benchmarking se debe
dirigir hacia aquellas organizaciones y funciones de negocios dentro
de las organizaciones que son reconocidas como las mejores.
Entre otras definiciones tenemos la extraída
del libro Benchmarking
de Bengt, la cual es: “benchmarking es un proceso sistemático y
continúo para comparar nuestra propia eficiencia en términos de
productividad, calidad y prácticas con aquellas compañías y
organizaciones que representan la excelencia”.
Como vemos en esta definición se vuelve a mencionar
el hecho de que benchmarking es un proceso continuo, también se
presenta el término de comparación y por ende remarca la
importancia de la medición dentro del benchmark.
Estos autores se centran, a parte de la operaciones
del negocio, en la calidad y en la productividad de las mismas,
considerando el valor que tienen dichas acciones en contra de los
costos de su realización lo cual representa la calidad, y la
relación entre los bienes producidos y los recursos utilizados para
su producción, lo cual se refiere a la productividad.
Por lo que podemos ver existen varias definiciones
sobre lo que es benchmarking, y aunque difieren en algunos aspectos
también se puede notar que concuerdan o presentan una serie de
elementos comunes.
Para empezar en la mayoría de ellas se resalta el
hecho de que benchmarking es un proceso continuo que al aplicarla en
nuestra empresa resuelva los problemas de la misma, sino que es un
proceso que se aplicará una y otra vez ya que dicho proceso está en
búsqueda constante de las mejores prácticas de la industria, y como
sabemos la industria está en un cambio constante y para adaptarse a
dicho cambio desarrolla nuevas practicas, por lo que no se puede
asegurar que las mejores prácticas de hoy lo serán también de
mañana.
También se vio en las diferentes definiciones que
este proceso no sólo es aplicable a las operaciones de producción,
sino que puede aplicarse a todas la fases de las organizaciones, por
lo que benchmarking es una herramienta que nos ayuda a mejorar todos
los aspectos y operaciones del negocio, hasta el punto de ser los
mejores en la industria, observando aspectos tales como la calidad y
la productividad en el negocio.
De igual manera podemos concluir que es de suma
importancia como una nueva forma de administrar ya que cambia la
práctica de compararse sólo internamente a comparar nuestras
operaciones en base a estándares impuestos externamente por las
organizaciones conocidas como las de excelencia dentro de la
industria.
Dentro del benchmarking existen los siguientes tipos:
- Benchmarking interno
- en la mayor parte de las grandes organizaciones con múltiples divisiones o internacionales hay funciones similares en diferentes unidades de operación, una de las investigaciones de benchmarking más fácil es comparar estas operaciones internas, también debe contarse con facilidad con datos e información y no existir problemas de confidencialidad y los datos ser tan amplios y completos como se desee.
- Este primer paso en las investigaciones de benchmarking es una base excelente no sólo para descubrir diferencias de interés sino también centrar la atención en los temas críticos a que se enfrentara o que sean de interés para comprender las practicas provenientes de investigaciones externas, también pueden ayudar a definir el alcance de un estudio externo.
- Benchmarking competitivo
- los competidores directos de productos son contra quienes resulta más obvio llevar a cabo el benchmarking, ellos cumplirían, o deberían hacerlo, con todas las pruebas de comparabilidad, en definitiva cualquier investigación de benchmarking debe mostrar cuales son las ventajas y desventajas comparativas entre los competidores directos.
- Uno de los aspectos más importantes dentro de este tipo de investigación a considerar es el hecho que puede ser realmente difícil obtener información sobre las operaciones de los competidores, quizá sea imposible obtener información debido a que está patentada y es la base de la ventaja competitiva de la empresa.
- Benchmarking genérico
- algunas funciones o procesos en las organizaciones son las mismas, el beneficio de esta forma de benchmarking, es que se pueden descubrir prácticas y métodos que no se implementan en la organización propia del investigador. Este tipo de investigación tiene la posibilidad de revelar lo mejor de las mejores prácticas, la necesidad de objetividad y receptividad por parte del investigador.
- Que mejor prueba que la posibilidad de ponerlo en práctica si se pudiera obtener que el hecho de que la tecnología ya se ha probado y se encuentra en uso en todas partes, el benchmarking genérico requiere de una amplia conceptualización, pero con una comprensión cuidadosa del proceso genérico.
ISACA
es el acrónimo de Information
Systems Audit and Control Association (Asociación
de Auditoría y Control de Sistemas de Información), una asociación
internacional que apoya y patrocina el desarrollo de metodologías
y
certificaciones
para
la realización de actividades auditoría
y
control en sistemas
de información.
ISACA
fue fundada en el año 1967
cuando
un grupo de auditores en sistemas informáticos percibieron la
necesidad de centralizar la fuente de información y metodología
para el área de operación. Fue en 1969 que el grupo se formalizó a
asociación, originalmente incorporada como EDP
Auditors Association.
En
1976 el nombre pasó a ser ISACA, por el que es actualmente conocida,
y se estableció la primera certificación
profesional de auditoría
de sistemas de
información, o CISA.
No hay comentarios.:
Publicar un comentario