Normas, tcnicas y procedimientos de auditora en informtica.

El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de

auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos de
software que han sido creados para apoyar su funcin aparte de los componentes de la propia
computadora resulta esencial, esto por razones econmicas y para facilitar el manejo de la
informacin.
El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos
especializados que !ienen a formar el cuerpo tcnico de su acti!idad. El auditor adquiere
responsabilidades, no solamente con la persona que directamente contratan sus ser!icios, sino
con un n"mero de personas desconocidas para l que !an a utilizar el resultado de su trabajo
como base para tomar decisiones.
#a auditora no es una acti!idad meramente mecnica, que implique la aplicacin
de ciertos procedimientos cuyos resultados, una !ez lle!ados a cabo son de de
carcter indudable. #a auditora requiere el ejercicio de un juicio profesional, slido
maduro, para juz$ar los procedimientos que deben se$uirse y estimar los
resultados obtenidos
%&'(
.
Normas.
)e$"n se describe en %bib*imcp(, las normas de auditora son los requisitos mnimos de calidad
relati!os a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde
como resultado de este trabajo.
#as normas de auditora se clasifican en+
a. ,ormas personales.
b. ,ormas de ejecucin del trabajo.
c. ,ormas de informacin.
,ormas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en
un sus conocimientos profesionales as como en un entrenamiento tcnico, que le
permita ser imparcial a la hora de dar sus su$erencias.
,ormas de ejecucin del trabajo
son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a
aplicar dentro de la auditora.
,ormas de informacin
son el resultado que el auditor debe entre$ar a los interesados para que se den cuenta
de su trabajo, tambin es conocido como informe o dictamen.
Tcnicas.
)e define a las tcnicas de auditora como -los mtodos prcticos de in!esti$acin y prueba
que utiliza el auditor para obtener la e!idencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, se$"n las circunstancias..
/l aplicar su conocimiento y e0periencia el auditor, podr conocer los datos de la empresa u
or$anizacin a ser auditada, que pudieran nesecitar una mayor atencin.
#as tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son ele$idas
adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las
tcnicas as como los procedimientos de auditora tienen una $ran importancia para el auditor.
)e$"n el 123P en su libro Normas y procedimientos de auditora las tcnicas se clasifican
$eneralmente con base en la accin que se !a a efectuar, estas acciones pueden ser oculares,
!erbales, por escrito, por re!isin del contenido de documentos y por e0amen fsico.
)i$uiendo esta clasificacin las tcnicas de auditora se a$rupan especficamente de la
si$uiente manera+
Estudio 4eneral
/nlisis
1nspeccin
3onfirmacin
1n!esti$acin
5eclaracin
3ertificacin
6bser!acin
3lculo
Procedimientos.
/l conjunto de tcnicas de in!esti$acin aplicables a un $rupo de hechos o circunstancias que
nos sir!en para fundamentar la opinin del auditor dentro de una auditora, se les dan el
nombre de procedimientos de auditora en informtica.
#a combinacin de dos o ms procedimientos, deri!an en pro$ramas de auditora, y al
conjunto de pro$ramas de auditora se le denomina plan de auditora, el cual ser!ir al auditor
para lle!ar una estrate$ia y or$anizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una
sola prueba, es necesario e0aminar los hechos, mediante !arias tcnicas de aplicacin
simultnea.
En 4eneral los procedimientos de auditora permiten+
6btener conocimientos del control interno.
/nalizar loas caractersticas del control interno.
7erificar los resultados de control interno.
8undamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su e0periencia y decidir cul tcnica o procedimiento
de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
5entro de este trabajo, desarrollaremos di!ersos tipos de tcnicas y procedimientos de
auditora, de los cuales destacan el anlisis de datos, ya que para las or$anizaciones el
conjunto de datos o informacin son de tal importancia que es necesario !erificarlos y
comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar
di!ersas tcnicas para el anlisis de datos, basados en %bib*solis*9::9(, las cuales se describen
a continuacin.
3omparacin de pro$ramas
esta tcnica se emplea para efectuar una comparacin de cdi$o ;fuente, objeto o
comandos de proceso< entre la !ersin de un pro$rama en ejecucin y la !ersin de un
pro$rama piloto que ha sido modificado en forma indebida, para encontrar diferencias.
2apeo y rastreo de pro$ramas
esta tcnica emplea un software especializado que permite analizar los pro$ramas en
ejecucin, indicando el n"mero de !eces que cada lnea de cdi$o es procesada y las de
las !ariables de memoria que estu!ieron presentes.
/nlisis de cdi$o de pro$ramas
)e emplea para analizar los pro$ramas de una aplicacin. El anlisis puede efectuarse en
forma manual ;en cuyo caso slo se podra analizar el cdi$o ejecutable<.
5atos de prueba
)e emplea para !erificar que los procedimientos de control incluidos los pro$ramas de
una aplicacin funcionen correctamente. #os datos de prueba consisten en la preparacin
de una serie de transacciones que contienen tanto datos correctos como datos errneos
predeterminados.
5atos de prueba inte$rados
=cnica muy similar a la anterior, con la diferencia de que en sta se debe crear una
entidad, falsa dentro de los sistemas de informacin.
/nlisis de bitcoras
E0isten !arios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en
forma manual o por medio de pro$ramas especializados, tales como bitcoras de fallas
del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras
de procesos ejecutados.
)imulacin paralela
=cnica muy utilizada que consiste en desarrollar pro$ramas o mdulos que simulen a los
pro$ramas de un sistema en produccin. El objeti!o es procesar los dos pro$ramas o
mdulos de forma paralela e identificar diferencias entre los resultados de ambos.
Monitoreo.
5entro de las or$anizaciones todos los procesos necesitan ser e!aluados a tra!s del tiempo
para !erificar su calidad en cuanto a las necesidades de control, inte$ridad y confidencialidad,
este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de
monitoreo+
2> 2onitoreo del proceso.
29 E!aluar lo adecuado del control 1nterno.
2& 6btencin de ase$uramiento independiente.
2? Pro!eer auditora independiente.
M1 Monitoreo del proceso
/se$ura el lo$ro de los objeti!os para los procesos de =1, lo cual se lo$ra definiendo por parte
de la $erencia reportes e indicadores de desempeo y la implementacin de sistemas de
soporte as como la atencin re$ular a los reportes emitidos.
Para ello la $erencia podr definir indicadores cla!es de desempeo y factores crticos de 0ito
y compararlos con los ni!eles propuestos para e!aluar el desempeo de los procesos de la
or$anizacin.
M2 Evaluar lo adecuado del control nterno
/se$ura el lo$ro de los objeti!os de control interno establecidos para los procesos de =1, para
ello se debe monitorear la efecti!idad de los controles internos a tra!s de acti!idades
administrati!as, de super!isin, comparaciones, acciones rutinarias, e!aluar su efecti!idad y
emitir reportes en forma re$ular
%&@(
.
M! "#tenci$n de ase%uramiento independiente
1ncrementa los ni!eles de confianza entre la or$anizacin, clientes y pro!eedores, este proceso
se lle!a a cabo a inter!alos re$ulares de tiempo.
Para ello la $erencia deber obtener una certificacin o acreditacin independiente de
se$uridad y control interno antes de implementar nue!os ser!icios de tecnolo$a de
informacin que resulten crticos, as como para trabajar con nue!os pro!eedores de ser!icios
de tecnolo$a de informacin, lue$o la $erencia deber adoptar como trabajo rutinario tanto
hacer e!aluaciones peridicas sobre la efecti!idad de los ser!icios de tecnolo$a de
informacin, de los pro!eedores de estos ser!icios as como tambin ase$urarse el
cumplimiento de los compromisos contractuales de los ser!icios de tecnolo$a de informacin y
de los pro!eedores de dichos ser!icios.
M& Proveer auditora independiente.
1ncrementa los ni!eles de confianza de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se lo$ra con el uso de auditoras independientes desarrolladas a
inter!alos re$ulares de tiempo.
Para ello la $erencia deber establecer los estatutos para la funcin de auditora, destacando
en este documento la responsabilidad, autoridad y obli$aciones de la auditora.
El auditor deber ser independiente del auditado, esto si$nifica que los auditores no debern
estar relacionados con la seccin o departamento que est siendo auditado y en lo posible
deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello auditores que sean tcnicamente
competentes, es decir que cuenten con habilidades y conocimientos que ase$uren tareas
efecti!as y eficientes de auditora informtica.
#a funcin de la auditora informtica deber proporcionar un reporte que muestre los
objeti!os, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin
la or$anizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora
informtica lle!ado a cabo.
Anlisis de #itcoras.
Aoy en da los sistemas de cmputo se encuentran e0puestos a distintas amenazas, las
!ulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el
n"mero de ataques tambin aumenta, por lo anterior las or$anizaciones deben reconocer la
importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de computo
as como mostrar al$unas herramientas que ayuden a automatizar el proceso de anlisis de las
mismas.
El crecimiento de 1nternet enfatiza esta problemtica, los sistemas de cmputo $eneran una
$ran cantidad de informacin, conocidas como bitcoras o archi!os lo$s, que pueden ser de
$ran ayuda ante un incidente de se$uridad, as como para el auditor.
Bna bitcora puede re$istrar mucha informacin acerca de e!entos relacionados con el sistema
que la $enera los cuales pueden ser+
8echa y hora.
5irecciones 1P ori$en y destino.
5ireccin 1P que $enera la bitcora.
Bsuarios.
Errores.
#a importancia de las bitcoras es la de recuperar informacin ante incidentes de se$uridad,
deteccin de comportamiento inusual, informacin para resol!er problemas, e!idencia le$al, es
de $ran ayuda en las tareas de cmputo forense.
#as Aerramientas de anlisis de bitcoras mas conocidas son las si$uientes+
Para B,1C, #o$checD, )E/=3A.
Para Eindows, #o$/$ent
#as bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn
teniendo mucha rele!ancia, como e!idencia en aspectos le$ales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es
importante re$istrar todas las bitcoras necesarias de todos los sistemas de cmputo para
mantener un control de las mismas.
Tcnicas de auditora asistida por computadora
#a utilizacin de equipos de computacin en las or$anizaciones, ha tenido una repercusin
importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin,
sino tambin al uso de las computadoras en la auditora.
/l lle!ar a cabo auditoras donde e0isten sistemas computarizados, el auditor se enfrenta a
muchos problemas de muy di!ersa condicin, uno de ellos, es la re!isin de los procedimientos
administrati!os de control interno establecidos en la empresa que es auditada.
#a utilizacin de paquetes de pro$ramas $eneralizados de auditora ayuda en $ran medida a la
realizacin de pruebas de auditora, a la elaboracin de e!idencias plasmadas en los papeles
de trabajo.
)e$"n %bib*za!aro*martinez( las tcnicas de auditora /sistidas por 3omputadora ;3//=< son
la utilizacin de determinados paquetes de pro$ramas que act"an sobre los datos, lle!ando a
cabo con ms frecuencia los trabajos si$uientes+
)eleccin e impresin de muestras de auditoras sobre bases estadsticas o no
estadsticas, a lo que a$re$amos, sobre la base de los conocimientos adquiridos por los
auditores.
7erificacin matemtica de sumas, multiplicaciones y otros clculos en los archi!os del
sistema auditado.
Fealizacin de funciones de re!isin analtica, al establecer comparaciones, calcular
razones, identificar fluctuaciones y lle!ar a cabo clculos de re$resin m"ltiple.
2anipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin,
!ol!er a ordenar en serie la informacin, etc.
E0amen de re$istros de acuerdo con los criterios especificados.
G"squeda de al$una informacin en particular, la cual cumpla ciertos criterios, que se
encuentra dentro de las bases de datos del sistema que se audita.
3onsecuentemente, se hace indispensable el empleo de las 3//= que permiten al auditor,
e!aluar las m"ltiples aplicaciones especficas del sistema que emplea la unidad auditada, el
e0aminar un di!erso n"mero de operaciones especficas del sistema, facilitar la b"squeda de
e!idencias, reducir al mnimo el ries$o de la auditora para que los resultados e0presen la
realidad objeti!a de las deficiencias, as como de las !iolaciones detectadas y ele!ar
notablemente la eficiencia en el trabajo.
=eniendo en cuenta que se haca imprescindible auditar sistemas informticosH as como
disear pro$ramas auditores, se deben incorporar especialistas informticos, formando equipos
multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales,
independientemente de las contables, donde los auditores que cumplen la funcin de jefes de
equipo, estn en la obli$acin de documentarse sobre todos los temas auditados.
5e esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo
incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en
ocasiones es necesario que el auditor se asesore con e0pertos, tales como, in$enieros
industriales, abo$ados, especialistas de recursos humanos o de normalizacin del trabajo para
obtener e!idencia que le permita reunir elementos de juicio suficientes.
Evaluaci$n del control interno.
En un ambiente de e!olucin permanente, determinado por las actuales tendencias mundiales,
las cuales se centran en el plano econmico soportadas por la e!olucin tecnol$ica, sur$e la
necesidad de que la funcin de auditora pretenda el mejoramiento de su $estin.
#a prctica de nue!as tcnicas para e!aluar el control interno a tra!s de las cuales, la funcin
de auditora informtica pretende mejorar la efecti!idad de su funcin y con ello ofrecer
ser!icios ms eficientes y con un !alor a$re$ado.
#a e!olucin de la teora del control interno se defini en base a los principios de los controles
como mecanismos o prcticas para pre!enir, identificar acti!idades no autorizadas, ms tarde
se incluy el concepto de lo$rar que las cosas se ha$anH la corriente actual define al control
como cualquier esfuerzo que se realice para aumentar las posibilidades de que se lo$ren los
objeti!os de la or$anizacin.
En este proceso e!oluti!o se considera actualmente, y en muchas or$anizaciones que el
director de finanzas, contralor o al director de auditora como los responsables principales del
correcto diseo y adecuado funcionamiento de los controles internos.
'enc(mar)in%
#as empresas u or$anizaciones deben buscar formas o frmulas que las dirijan hacia una
mayor calidad, para poder ser competiti!os, una de estas herramientas o frmulas es el
GenchmarDin$.
E0isten !arios autores que han estudiado el tema, y de i$ual manera e0isten una $ran cantidad
de definiciones de lo que es benchmarDin$, a continuacin se presentan al$unas definiciones.
GenchmarDin$ es el proceso continuo de medir productos, ser!icios y prcticas
contra los competidores o aquellas compaas reconocidas como lderes en la
industria.
%&I(
Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que
benchmarDin$ no slo es un proceso que se hace una !ez y se ol!ida, sino que es un proceso
continuo y constante.
)e$"n la definicin anterior podemos deducir que se puede aplicar benchmarDin$ a todas las
facetas de las or$anizaciones, y finalmente la definicin implica que el benchmarDin$ se debe
diri$ir hacia aquellas or$anizaciones y funciones de ne$ocios dentro de las or$anizaciones que
son reconocidas como las mejores.
Entre otras definiciones tenemos la e0trada del libro Benchmarking de Gen$t, la cual es+
-benchmarDin$ es un proceso sistemtico y contin"o para comparar nuestra propia eficiencia
en trminos de producti!idad, calidad y prcticas con aquellas compaas y or$anizaciones que
representan la e0celencia..
3omo !emos en esta definicin se !uel!e a mencionar el hecho de que benchmarDin$ es un
proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la
importancia de la medicin dentro del benchmarD.
Estos autores se centran, a parte de la operaciones del ne$ocio, en la calidad y en la
producti!idad de las mismas, considerando el !alor que tienen dichas acciones en contra de los
costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos
y los recursos utilizados para su produccin, lo cual se refiere a la producti!idad.
Por lo que podemos !er e0isten !arias definiciones sobre lo que es benchmarDin$, y aunque
difieren en al$unos aspectos tambin se puede notar que concuerdan o presentan una serie de
elementos comunes.
Para empezar en la mayora de ellas se resalta el hecho de que benchmarDin$ es un proceso
continuo que al aplicarla en nuestra empresa resuel!a los problemas de la misma, sino que es
un proceso que se aplicar una y otra !ez ya que dicho proceso est en b"squeda constante de
las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante
y para adaptarse a dicho cambio desarrolla nue!as practicas, por lo que no se puede ase$urar
que las mejores prcticas de hoy lo sern tambin de maana.
=ambin se !io en las diferentes definiciones que este proceso no slo es aplicable a las
operaciones de produccin, sino que puede aplicarse a todas la fases de las or$anizaciones,
por lo que benchmarDin$ es una herramienta que nos ayuda a mejorar todos los aspectos y
operaciones del ne$ocio, hasta el punto de ser los mejores en la industria, obser!ando
aspectos tales como la calidad y la producti!idad en el ne$ocio.
5e i$ual manera podemos concluir que es de suma importancia como una nue!a forma de
administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras
operaciones en base a estndares impuestos e0ternamente por las or$anizaciones conocidas
como las de e0celencia dentro de la industria.
5entro del benchmarDin$ e0isten los si$uientes tipos+
%?:(
GenchmarDin$ interno
en la mayor parte de las $randes or$anizaciones con m"ltiples di!isiones o
internacionales hay funciones similares en diferentes unidades de operacin, una de las
in!esti$aciones de benchmarDin$ ms fcil es comparar estas operaciones internas,
tambin debe contarse con facilidad con datos e informacin y no e0istir problemas de
confidencialidad y los datos ser tan amplios y completos como se desee.
Este primer paso en las in!esti$aciones de benchmarDin$ es una base e0celente no slo
para descubrir diferencias de inters sino tambin centrar la atencin en los temas
crticos a que se enfrentara o que sean de inters para comprender las practicas
pro!enientes de in!esti$aciones e0ternas, tambin pueden ayudar a definir el alcance de
un estudio e0terno.
GenchmarDin$ competiti!o
los competidores directos de productos son contra quienes resulta ms ob!io lle!ar a
cabo el benchmarDin$, ellos cumpliran, o deberan hacerlo, con todas las pruebas de
comparabilidad, en definiti!a cualquier in!esti$acin de benchmarDin$ debe mostrar
cuales son las !entajas y des!entajas comparati!as entre los competidores directos.
Bno de los aspectos ms importantes dentro de este tipo de in!esti$acin a considerar es
el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los
competidores, quiz sea imposible obtener informacin debido a que est patentada y es
la base de la !entaja competiti!a de la empresa.
GenchmarDin$ $enrico
al$unas funciones o procesos en las or$anizaciones son las mismas, el beneficio de esta
forma de benchmarDin$, es que se pueden descubrir prcticas y mtodos que no se
implementan en la or$anizacin propia del in!esti$ador. Este tipo de in!esti$acin tiene
la posibilidad de re!elar lo mejor de las mejores prcticas, la necesidad de objeti!idad y
recepti!idad por parte del in!esti$ador.
Jue mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el
hecho de que la tecnolo$a ya se ha probado y se encuentra en uso en todas partes, el
benchmarDin$ $enrico requiere de una amplia conceptualizacin, pero con una
comprensin cuidadosa del proceso $enrico.