Fundamentos generales de la auditoría informática

Marianela Huerta Gamboa

Auditoría de sistemas

Instituto IACC

07 de octubre de 2019
 Desarrollo

1.- De acuerdo a lo estudiado esta semana, y con respecto a la pregunta, considero que la norma

ISO 19011 nos guía a la hora de realizar auditorías a cualquier sistema de gestión, incluyendo

principios de auditoría, gestión del programa de auditoría y la realización de auditorías. Al mismo

tiempo, también examina la capacidad de las personas relacionadas con el proceso de auditoría.

Su aplicación variara de acuerdo al tamaño, la naturaleza y la complejidad de cada empresa a

auditar. Esta Norma Internacional proporciona únicamente orientación, sin embargo, los usuarios

la pueden aplicar para el desarrollo de sus propias necesidades de auditoría.

Su objetivo de creación es brindar una ayuda sobre la aplicación de los principios, gestión de

programas, la realización de auditorías de sistemas de gestión de la calidad y auditorías de sistemas

de gestión, pero no es tan precisa a la hora de plantear los objetivos estratégicos para definir

objetivos de control en los procesos, de tal forma de mejorar la gestión y el gobierno TI de la

empresa. Esta norma aplica la metodología de Planificar-Hacer-Verificar-Actuar. Los objetivos y

amplitud de un programa de auditoría pueden basarse considerando: prioridades de la dirección,

propósitos comerciales, requisitos del sistema de gestión, requisitos legales, reglamentarios y

contractuales, necesidad de evaluar a los proveedores, requisitos del cliente, necesidades de otras

partes interesadas, y riesgos para la organización.

Otra norma estudiada es COSO, se dedica a estudiar aquellos factores que arrojan información

financiera sospechosa o fraudulenta. También elabora recomendaciones y textos para las

organizaciones y otras entidades reguladoras, está diseñado especialmente para identificar aquellos

elementos o eventos que puedan afectar la entidad empresarial. También se encarga de administrar

los factores de riesgo y de proveer cierto nivel de seguridad dentro de la administración y de la

junta directiva que está enfocada en cumplir con los objetivos de la empresa por lo tanto tampoco

está muy enfocada a la mejora de la gestión y el gobierno TI de la empresa.

La norma COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de

información y tecnología, orientado a todos los sectores de una organización, es decir,

administradores IT, usuarios y por supuesto, los auditores involucrados en el proceso. El COBIT

es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT

y que abarca controles específicos de IT desde una perspectiva de negocios. Se aplica a los sistemas

de información de toda la empresa, incluyendo los computadores personales y las redes. Está

basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de

procesos naturalmente agrupados para proveer la información pertinente y confiable que requiere

una organización para lograr sus objetivos.

Los beneficios de usar la norma COBIT son:

- Mejor alineación basado en una focalización sobre el negocio.

- Visión comprensible de TI para su administración.

- Clara definición de propiedad y responsabilidades.

- Aceptabilidad general con terceros y entes reguladores.

- Entendimiento compartido entre todos los interesados basados en un lenguaje común.

Es por esta razón que considero que la norma más apropiada para ejecutar en la empresa es COBIT

puesto que está enfocada en auditar y mejorar la gestión y el gobierno TI de la empresa.

2.- De acuerdo a lo estudiado puedo decir que la norma más apropiada para implementar, es ITIL,

ya que está enfocada en el estudio de mercado y nuevas posibilidades mediante la búsqueda de

servicios innovadores que satisfagan al cliente tomando en cuenta la real factibilidad de su puesta

en marcha, se centra en la alineación de los servicios de TI con las necesidades de las empresas.

La norma ISO 27001 tiene una definición directa en cuanto a la protección de la información, su

objetivo es proporcionar una comunicación fiable y segura y el intercambio de datos en las

organizaciones. Asimismo, hace hincapié en un enfoque de riesgo para el cumplimiento de sus

objetivos. Esta norma se sumerge profundamente en formas de implementar sus sub-objetivos.

Esto pone a los gerentes que buscan aclaraciones sobre la implementación, en una ventaja. Sin

embargo, no logra el objetivo de integrarse en un sistema más grande. Es independiente en su

naturaleza, y no funciona como una solución completa, mientras que ITIL es más indirecto. Esto

se debe a que el término ITIL se refiere a la multitud de prácticas que existen para administrar y

proporcionar una calidad de servicios de TI, con la gestión financiera y la solicitud de

cumplimiento. Sin embargo, desde la seguridad de la información existe un aspecto crítico en

cuanto a la gestión de servicios y la calidad de estos servicios de TI. ITIL cubre la seguridad de la

información como uno de los procesos de apoyo y se integra la seguridad de la información en la

mayoría de procesos.

Una de las limitaciones de la norma ISO 27001 es que no proporciona detalles sobre lo que tiene

que hacer para cumplir con los requisitos o implementar los controles, sólo de los que necesita

para alcanzar.

Como la ISO 27001, ITIL carece de detalles sobre cómo se deben implementar los procesos, a

pesar de que ofrece descripciones detalladas sobre los objetivos, las actividades, las entradas y

salidas, además de los listados de control, pero permite que las empresas se adapten según sus

necesidades.
ITIL es un conjunto de prácticas recomendadas que una organización puede implementar para

alinear los recursos de TI y las ofertas con las metas de negocio. Se ofrece en una serie de cinco

publicaciones principales cada una correspondiente a una etapa en el ciclo de vida de TI. Este

proceso produce documentación de procesos, tareas y listas de control no específicas de la

organización con el objetivo de poder crear una línea de base a partir de la cual implementar

controles y medir el éxito.

ISO27001 producido por la ISO, formula un sistema de gestión que, para controlar la seguridad de

la información, no proporciona controles específicos o relacionados con la industria.

3.- El caso seleccionado es el numero dos, en el cual el rol del Auditor informático sería:

- El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios

informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del

reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas

detectados en el sistema informático de esta última.

- En ningún caso está justificado que realice su trabajo el prisma del propio beneficio.

- Cualquier actitud que se anteponga a intereses personales del auditor a los del auditado deberá

considerarse como no ética.

- Para garantizar el beneficio del auditado como la necesaria independencia del auditor, este último

deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o

equipos compatibles con los de su cliente.

- La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo,

a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas.

- Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera

acomodarse a las exigencias propias de su cometido, este podrá proponer un cambio

cualitativamente significativo de determinados elementos o del propio sistema informático

globalmente contemplado.

- Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos

mínimos, aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado.

- El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas,

dañinas o que generen riesgos injustificados para el auditado.

- Una de las cuestiones más controvertidas, respecto de la aplicación de este principio, es la

referente a facilitar el derecho de las organizaciones auditadas a la libre elección del auditor.

- Si el auditado decidiera encomendar posteriores auditorías a otros profesionales, éstos deberías

poder tener acceso a los informes de los trabajos profesionales, éstos deberían poder tener acceso

a los informes de los trabajos anteriormente realizados sobre el sistema del auditado.

3.- Un aspecto primordial del que depende en gran medida el éxito de una auditoría de calidad son

las competencias y habilidades esenciales de un auditor de calidad. Las auditorías internas

permiten tener un seguimiento de nuestro Sistema de Gestión de la Calidad implantado en nuestra

organización, de manera tal que, nos permita realizar el adecuado mantenimiento del mismo, ya

que, el éxito de la misma en cumplir con sus objetivos, dependerá de las competencias concretas

que reúna el auditor encargado de realizarla.

Para lograr un buen resultado de las auditorías internas realizadas y por ende del mantenimiento

del propio Sistema de Gestión de Calidad, se analizarán las competencias y habilidades esenciales

de un auditor de calidad.

Cuando se habla de competencias y habilidades esenciales de un auditor de calidad, no sólo se

refiere al conjunto de conocimientos que el auditor posee, sino también a la propia experiencia con
la que el mismo ya cuenta, así como, a aquellas características personales que le hacen proclive

para el trabajo que desempeña al fomentar con las mismas los principios básicos de toda auditoría.

Las competencias y habilidades esenciales que debe tener un auditor de calidad para asegurar el

éxito de la auditoría interna de calidad que realicen:

- Debe mostrar imparcialidad, sinceridad y honestidad en todo momento del proceso de la

auditoría de calidad.

- Tener discreción total en los asuntos y materias revisadas durante dicho proceso,

respetando en todo momento la máxima de confidencialidad de la organización.

- Ha de ser una persona comprensible y abierta a aceptar diferentes visiones alternativas

considerando, para ello, la aportación de nuevas ideas propuestas.

- Mantener cierta distancia y diplomacia en el trato con las diferentes personas con las que

ha de tratar durante la realización de la auditoría interna.

- Tener firmeza en las decisiones tomadas en todo momento. Esto quiere decir que a la hora

de redactar su informe final con la valoración de la auditoría no debe negociar con la

organización la consideración de ciertas inconformidades, sino que, debe incluir todo

aquello que considera necesario en el informe, a pesar de que ello le lleve a desacuerdos

con la organización auditada en cuestión por no querer esta última aceptar tal informe.

- Debe ser una persona muy observadora, con capacidad de que los pequeños detalles no se

le pasen por alto.

- Ha de tener la capacidad de entender diferentes situaciones y ser consciente de las mismas.

- Ser una personal versátil, en el sentido de que sepa amoldarse a diferentes entornos y

contextos con facilidad.

- Debe ser altamente exigente en cuanto al logro de las metas establecidas en el proceso de

auditoría que realice.

 - La formulación de las conclusiones finales a las que le lleve la auditoría interna de calidad

realizada al SGC debe estar fundamentada en el oportuno análisis realizado a las evidencias

halladas, y la explicación de tales conclusiones han de formularse con razonamientos

lógicos.

- Mostrar en todo momento seguridad de lo que hace y de sí mismo.

- La objetividad que se le exige no debe verse desvirtuada por prejuicios que pudiera tener.

Pero además de todas estas competencias y habilidades esenciales de un auditor de calidad, se debe

considerar la continua necesidad de actualizar la formación con la que el mismo cuenta, en función

de las revisiones que se vayan generando en el sector, en este caso de la calidad. Esta actualización

de su formación como auditor interno de calidad, pueden adquirirla mediante:

- La asistencia a cursos y talleres que ofrezcan una formación especializada en aquellas

materias concretas sobre la que nos queramos actualizar.

- Acudiendo a conferencias que se celebren relacionadas con Calidad.

- Adquiriendo experiencia de las propias auditorías en las que vaya participando con el

tiempo.
 Bibliografía

- IACC (2018). Fundamentos generales de la auditoría informática. Auditoría de Sistemas.

Semana 2.