Normas, tcnicas y procedimientos de auditora en informtica.
El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos de
auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en informtica. Es fundamental mencionar que para el auditor en informtica conocer los productos de software que han sido creados para apoyar su funcin aparte de los componentes de la propia computadora resulta esencial, esto por razones econmicas y para facilitar el manejo de la informacin. El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos especializados que !ienen a formar el cuerpo tcnico de su acti!idad. El auditor adquiere responsabilidades, no solamente con la persona que directamente contratan sus ser!icios, sino con un n"mero de personas desconocidas para l que !an a utilizar el resultado de su trabajo como base para tomar decisiones. #a auditora no es una acti!idad meramente mecnica, que implique la aplicacin de ciertos procedimientos cuyos resultados, una !ez lle!ados a cabo son de de carcter indudable. #a auditora requiere el ejercicio de un juicio profesional, slido maduro, para juz$ar los procedimientos que deben se$uirse y estimar los resultados obtenidos %&'( . Normas. )e$"n se describe en %bib*imcp(, las normas de auditora son los requisitos mnimos de calidad relati!os a la personalidad del auditor, al trabajo que desempea ya la informacin que rinde como resultado de este trabajo. #as normas de auditora se clasifican en+ a. ,ormas personales. b. ,ormas de ejecucin del trabajo. c. ,ormas de informacin. ,ormas personales son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le permita ser imparcial a la hora de dar sus su$erencias. ,ormas de ejecucin del trabajo son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditora. ,ormas de informacin son el resultado que el auditor debe entre$ar a los interesados para que se den cuenta de su trabajo, tambin es conocido como informe o dictamen. Tcnicas. )e define a las tcnicas de auditora como -los mtodos prcticos de in!esti$acin y prueba que utiliza el auditor para obtener la e!idencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, se$"n las circunstancias.. /l aplicar su conocimiento y e0periencia el auditor, podr conocer los datos de la empresa u or$anizacin a ser auditada, que pudieran nesecitar una mayor atencin. #as tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son ele$idas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo cual las tcnicas as como los procedimientos de auditora tienen una $ran importancia para el auditor. )e$"n el 123P en su libro Normas y procedimientos de auditora las tcnicas se clasifican $eneralmente con base en la accin que se !a a efectuar, estas acciones pueden ser oculares, !erbales, por escrito, por re!isin del contenido de documentos y por e0amen fsico. )i$uiendo esta clasificacin las tcnicas de auditora se a$rupan especficamente de la si$uiente manera+ Estudio 4eneral /nlisis 1nspeccin 3onfirmacin 1n!esti$acin 5eclaracin 3ertificacin 6bser!acin 3lculo Procedimientos. /l conjunto de tcnicas de in!esti$acin aplicables a un $rupo de hechos o circunstancias que nos sir!en para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. #a combinacin de dos o ms procedimientos, deri!an en pro$ramas de auditora, y al conjunto de pro$ramas de auditora se le denomina plan de auditora, el cual ser!ir al auditor para lle!ar una estrate$ia y or$anizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario e0aminar los hechos, mediante !arias tcnicas de aplicacin simultnea. En 4eneral los procedimientos de auditora permiten+ 6btener conocimientos del control interno. /nalizar loas caractersticas del control interno. 7erificar los resultados de control interno. 8undamentar conclusiones de la auditora. Por esta razn el auditor deber aplicar su e0periencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin. Anlisis de datos. 5entro de este trabajo, desarrollaremos di!ersos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las or$anizaciones el conjunto de datos o informacin son de tal importancia que es necesario !erificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar di!ersas tcnicas para el anlisis de datos, basados en %bib*solis*9::9(, las cuales se describen a continuacin. 3omparacin de pro$ramas esta tcnica se emplea para efectuar una comparacin de cdi$o ;fuente, objeto o comandos de proceso< entre la !ersin de un pro$rama en ejecucin y la !ersin de un pro$rama piloto que ha sido modificado en forma indebida, para encontrar diferencias. 2apeo y rastreo de pro$ramas esta tcnica emplea un software especializado que permite analizar los pro$ramas en ejecucin, indicando el n"mero de !eces que cada lnea de cdi$o es procesada y las de las !ariables de memoria que estu!ieron presentes. /nlisis de cdi$o de pro$ramas )e emplea para analizar los pro$ramas de una aplicacin. El anlisis puede efectuarse en forma manual ;en cuyo caso slo se podra analizar el cdi$o ejecutable<. 5atos de prueba )e emplea para !erificar que los procedimientos de control incluidos los pro$ramas de una aplicacin funcionen correctamente. #os datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados. 5atos de prueba inte$rados =cnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin. /nlisis de bitcoras E0isten !arios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de pro$ramas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados. )imulacin paralela =cnica muy utilizada que consiste en desarrollar pro$ramas o mdulos que simulen a los pro$ramas de un sistema en produccin. El objeti!o es procesar los dos pro$ramas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos. Monitoreo. 5entro de las or$anizaciones todos los procesos necesitan ser e!aluados a tra!s del tiempo para !erificar su calidad en cuanto a las necesidades de control, inte$ridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo+ 2> 2onitoreo del proceso. 29 E!aluar lo adecuado del control 1nterno. 2& 6btencin de ase$uramiento independiente. 2? Pro!eer auditora independiente. M1 Monitoreo del proceso /se$ura el lo$ro de los objeti!os para los procesos de =1, lo cual se lo$ra definiendo por parte de la $erencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin re$ular a los reportes emitidos. Para ello la $erencia podr definir indicadores cla!es de desempeo y factores crticos de 0ito y compararlos con los ni!eles propuestos para e!aluar el desempeo de los procesos de la or$anizacin. M2 Evaluar lo adecuado del control nterno /se$ura el lo$ro de los objeti!os de control interno establecidos para los procesos de =1, para ello se debe monitorear la efecti!idad de los controles internos a tra!s de acti!idades administrati!as, de super!isin, comparaciones, acciones rutinarias, e!aluar su efecti!idad y emitir reportes en forma re$ular %&@( . M! "#tenci$n de ase%uramiento independiente 1ncrementa los ni!eles de confianza entre la or$anizacin, clientes y pro!eedores, este proceso se lle!a a cabo a inter!alos re$ulares de tiempo. Para ello la $erencia deber obtener una certificacin o acreditacin independiente de se$uridad y control interno antes de implementar nue!os ser!icios de tecnolo$a de informacin que resulten crticos, as como para trabajar con nue!os pro!eedores de ser!icios de tecnolo$a de informacin, lue$o la $erencia deber adoptar como trabajo rutinario tanto hacer e!aluaciones peridicas sobre la efecti!idad de los ser!icios de tecnolo$a de informacin, de los pro!eedores de estos ser!icios as como tambin ase$urarse el cumplimiento de los compromisos contractuales de los ser!icios de tecnolo$a de informacin y de los pro!eedores de dichos ser!icios. M& Proveer auditora independiente. 1ncrementa los ni!eles de confianza de recomendaciones basadas en mejores prcticas de su implementacin, lo que se lo$ra con el uso de auditoras independientes desarrolladas a inter!alos re$ulares de tiempo. Para ello la $erencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la responsabilidad, autoridad y obli$aciones de la auditora. El auditor deber ser independiente del auditado, esto si$nifica que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que ase$uren tareas efecti!as y eficientes de auditora informtica. #a funcin de la auditora informtica deber proporcionar un reporte que muestre los objeti!os, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la or$anizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica lle!ado a cabo. Anlisis de #itcoras. Aoy en da los sistemas de cmputo se encuentran e0puestos a distintas amenazas, las !ulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el n"mero de ataques tambin aumenta, por lo anterior las or$anizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de computo as como mostrar al$unas herramientas que ayuden a automatizar el proceso de anlisis de las mismas. El crecimiento de 1nternet enfatiza esta problemtica, los sistemas de cmputo $eneran una $ran cantidad de informacin, conocidas como bitcoras o archi!os lo$s, que pueden ser de $ran ayuda ante un incidente de se$uridad, as como para el auditor. Bna bitcora puede re$istrar mucha informacin acerca de e!entos relacionados con el sistema que la $enera los cuales pueden ser+ 8echa y hora. 5irecciones 1P ori$en y destino. 5ireccin 1P que $enera la bitcora. Bsuarios. Errores. #a importancia de las bitcoras es la de recuperar informacin ante incidentes de se$uridad, deteccin de comportamiento inusual, informacin para resol!er problemas, e!idencia le$al, es de $ran ayuda en las tareas de cmputo forense. #as Aerramientas de anlisis de bitcoras mas conocidas son las si$uientes+ Para B,1C, #o$checD, )E/=3A. Para Eindows, #o$/$ent #as bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que estn teniendo mucha rele!ancia, como e!idencia en aspectos le$ales. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante re$istrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas. Tcnicas de auditora asistida por computadora #a utilizacin de equipos de computacin en las or$anizaciones, ha tenido una repercusin importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin, sino tambin al uso de las computadoras en la auditora. /l lle!ar a cabo auditoras donde e0isten sistemas computarizados, el auditor se enfrenta a muchos problemas de muy di!ersa condicin, uno de ellos, es la re!isin de los procedimientos administrati!os de control interno establecidos en la empresa que es auditada. #a utilizacin de paquetes de pro$ramas $eneralizados de auditora ayuda en $ran medida a la realizacin de pruebas de auditora, a la elaboracin de e!idencias plasmadas en los papeles de trabajo. )e$"n %bib*za!aro*martinez( las tcnicas de auditora /sistidas por 3omputadora ;3//=< son la utilizacin de determinados paquetes de pro$ramas que act"an sobre los datos, lle!ando a cabo con ms frecuencia los trabajos si$uientes+ )eleccin e impresin de muestras de auditoras sobre bases estadsticas o no estadsticas, a lo que a$re$amos, sobre la base de los conocimientos adquiridos por los auditores. 7erificacin matemtica de sumas, multiplicaciones y otros clculos en los archi!os del sistema auditado. Fealizacin de funciones de re!isin analtica, al establecer comparaciones, calcular razones, identificar fluctuaciones y lle!ar a cabo clculos de re$resin m"ltiple. 2anipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, !ol!er a ordenar en serie la informacin, etc. E0amen de re$istros de acuerdo con los criterios especificados. G"squeda de al$una informacin en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita. 3onsecuentemente, se hace indispensable el empleo de las 3//= que permiten al auditor, e!aluar las m"ltiples aplicaciones especficas del sistema que emplea la unidad auditada, el e0aminar un di!erso n"mero de operaciones especficas del sistema, facilitar la b"squeda de e!idencias, reducir al mnimo el ries$o de la auditora para que los resultados e0presen la realidad objeti!a de las deficiencias, as como de las !iolaciones detectadas y ele!ar notablemente la eficiencia en el trabajo. =eniendo en cuenta que se haca imprescindible auditar sistemas informticosH as como disear pro$ramas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obli$acin de documentarse sobre todos los temas auditados. 5e esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con e0pertos, tales como, in$enieros industriales, abo$ados, especialistas de recursos humanos o de normalizacin del trabajo para obtener e!idencia que le permita reunir elementos de juicio suficientes. Evaluaci$n del control interno. En un ambiente de e!olucin permanente, determinado por las actuales tendencias mundiales, las cuales se centran en el plano econmico soportadas por la e!olucin tecnol$ica, sur$e la necesidad de que la funcin de auditora pretenda el mejoramiento de su $estin. #a prctica de nue!as tcnicas para e!aluar el control interno a tra!s de las cuales, la funcin de auditora informtica pretende mejorar la efecti!idad de su funcin y con ello ofrecer ser!icios ms eficientes y con un !alor a$re$ado. #a e!olucin de la teora del control interno se defini en base a los principios de los controles como mecanismos o prcticas para pre!enir, identificar acti!idades no autorizadas, ms tarde se incluy el concepto de lo$rar que las cosas se ha$anH la corriente actual define al control como cualquier esfuerzo que se realice para aumentar las posibilidades de que se lo$ren los objeti!os de la or$anizacin. En este proceso e!oluti!o se considera actualmente, y en muchas or$anizaciones que el director de finanzas, contralor o al director de auditora como los responsables principales del correcto diseo y adecuado funcionamiento de los controles internos. 'enc(mar)in% #as empresas u or$anizaciones deben buscar formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competiti!os, una de estas herramientas o frmulas es el GenchmarDin$. E0isten !arios autores que han estudiado el tema, y de i$ual manera e0isten una $ran cantidad de definiciones de lo que es benchmarDin$, a continuacin se presentan al$unas definiciones. GenchmarDin$ es el proceso continuo de medir productos, ser!icios y prcticas contra los competidores o aquellas compaas reconocidas como lderes en la industria. %&I( Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya que benchmarDin$ no slo es un proceso que se hace una !ez y se ol!ida, sino que es un proceso continuo y constante. )e$"n la definicin anterior podemos deducir que se puede aplicar benchmarDin$ a todas las facetas de las or$anizaciones, y finalmente la definicin implica que el benchmarDin$ se debe diri$ir hacia aquellas or$anizaciones y funciones de ne$ocios dentro de las or$anizaciones que son reconocidas como las mejores. Entre otras definiciones tenemos la e0trada del libro Benchmarking de Gen$t, la cual es+ -benchmarDin$ es un proceso sistemtico y contin"o para comparar nuestra propia eficiencia en trminos de producti!idad, calidad y prcticas con aquellas compaas y or$anizaciones que representan la e0celencia.. 3omo !emos en esta definicin se !uel!e a mencionar el hecho de que benchmarDin$ es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmarD. Estos autores se centran, a parte de la operaciones del ne$ocio, en la calidad y en la producti!idad de las mismas, considerando el !alor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la producti!idad. Por lo que podemos !er e0isten !arias definiciones sobre lo que es benchmarDin$, y aunque difieren en al$unos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes. Para empezar en la mayora de ellas se resalta el hecho de que benchmarDin$ es un proceso continuo que al aplicarla en nuestra empresa resuel!a los problemas de la misma, sino que es un proceso que se aplicar una y otra !ez ya que dicho proceso est en b"squeda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nue!as practicas, por lo que no se puede ase$urar que las mejores prcticas de hoy lo sern tambin de maana. =ambin se !io en las diferentes definiciones que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las or$anizaciones, por lo que benchmarDin$ es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del ne$ocio, hasta el punto de ser los mejores en la industria, obser!ando aspectos tales como la calidad y la producti!idad en el ne$ocio. 5e i$ual manera podemos concluir que es de suma importancia como una nue!a forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos e0ternamente por las or$anizaciones conocidas como las de e0celencia dentro de la industria. 5entro del benchmarDin$ e0isten los si$uientes tipos+ %?:( GenchmarDin$ interno en la mayor parte de las $randes or$anizaciones con m"ltiples di!isiones o internacionales hay funciones similares en diferentes unidades de operacin, una de las in!esti$aciones de benchmarDin$ ms fcil es comparar estas operaciones internas, tambin debe contarse con facilidad con datos e informacin y no e0istir problemas de confidencialidad y los datos ser tan amplios y completos como se desee. Este primer paso en las in!esti$aciones de benchmarDin$ es una base e0celente no slo para descubrir diferencias de inters sino tambin centrar la atencin en los temas crticos a que se enfrentara o que sean de inters para comprender las practicas pro!enientes de in!esti$aciones e0ternas, tambin pueden ayudar a definir el alcance de un estudio e0terno. GenchmarDin$ competiti!o los competidores directos de productos son contra quienes resulta ms ob!io lle!ar a cabo el benchmarDin$, ellos cumpliran, o deberan hacerlo, con todas las pruebas de comparabilidad, en definiti!a cualquier in!esti$acin de benchmarDin$ debe mostrar cuales son las !entajas y des!entajas comparati!as entre los competidores directos. Bno de los aspectos ms importantes dentro de este tipo de in!esti$acin a considerar es el hecho que puede ser realmente difcil obtener informacin sobre las operaciones de los competidores, quiz sea imposible obtener informacin debido a que est patentada y es la base de la !entaja competiti!a de la empresa. GenchmarDin$ $enrico al$unas funciones o procesos en las or$anizaciones son las mismas, el beneficio de esta forma de benchmarDin$, es que se pueden descubrir prcticas y mtodos que no se implementan en la or$anizacin propia del in!esti$ador. Este tipo de in!esti$acin tiene la posibilidad de re!elar lo mejor de las mejores prcticas, la necesidad de objeti!idad y recepti!idad por parte del in!esti$ador. Jue mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener que el hecho de que la tecnolo$a ya se ha probado y se encuentra en uso en todas partes, el benchmarDin$ $enrico requiere de una amplia conceptualizacin, pero con una comprensin cuidadosa del proceso $enrico.