UNIVERSIDAD NACIONAL AUTONOMA DE HONDURAS

DEPARTAMENTO DE CONTADURIA PÚBLICA

AUDITORIA DE SISTEMAS DE INFORMACION I

LA FUNCION DE LA AUDITORIA DE SISTEMAS

2013

1La funcion de la Auditoria en Sistemas

LA FUNCION DE LA AUDITORIA DE SISTEMAS

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

¿Qué es Auditoría?La Auditoría es un proceso sistemático de obtención y evaluación objetiva de evidencias respecto a afirmaciones o aseveraciones acerca de hechos y eventos económicos, para determinar el grado de correspondencia entre tales aseveraciones y los criterios establecidos, y comunicar los resultados a los usuarios interesados. Definición de American Accounting Association (AAA) para varios tipos de auditoría incluyendo la auditoría interna, auditoría externa y auditoría de computación.

¿QUÉ ES AUDITORIA EN INFORMATICA?

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

2La funcion de la Auditoria en Sistemas

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de Información,  hardware y software).

¿Qué es la Auditoría de un Sistemas de Información?

Toda la auditoría que comprenda la revisión y evaluación de todos los aspectos ( ó cualquier porción ) de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos. Definición de Information Systems Audit and control Association ( ISACA)

¿Qué hace la ASI ?

Es una función de la auditoría que:

- Evalúa y verifica los controles establecidos en las actividades y recursos de cómputo de las empresas.

- Asesora a la Administración en asuntos de cómputo.

- Promueve la automatización en las diferentes modalidades de la auditoría

Objetivos de la Auditoría de SistemasEvaluar y verificar el control interno en todos los aspectos de los sistemas automatizados de procesamiento de datos de la empresa:

- Administrativos

- Técnicos y

- Operativos

Verificar que los sistemas de información automatizados satisfaga los siete criterios de la información de negocios requeridos por COBIT.

- Efectividad - Eficiencia

- Confidencialidad - Integridad

- Disponibilidad - Cumplimiento con leyes y Regulaciones

- Confiabilidad

3La funcion de la Auditoria en Sistemas

Verificar que los controles utilizados en los sistemas de información protejan a las organizaciones contra los riesgos que podrían afectarlas a través de sus recursos de cómputo.

- Datos

- Aplicaciones del Computadora- Tecnología- Instalaciones de Cómputo- Las personas

La Auditoría de Sistemas y los Riesgos en las Empresas

La Auditoría de Sistemas evalúa y verifica que existan controles apropiados para proteger a las organizaciones contra eventos indeseados (RIESGOS) que podrían afectarlas a través de sus recursos de cómputo

- Errores humanos - Actos mal intencionados

- Decisiones erróneas - Pérdidas de activo

- Encubrimientos de pasivos - Desventajas ante la competencia

- sanciones legales - Desastres naturales

- Pérdida de credibilidad e imagen

Cuales controles evalúa y verifica?

- LOS EXISTENTES.

Enfoque estático de la auditoría “detrás de lo conocido” . Tiempo de auditoría posterior al tiempo de los eventos auditados.

- LOS QUE DEBERÍAN EXISTIR.

Enfoque dinámico de la auditoría : “prevención y asesoría”

Tiempo de auditoría menor o igual que el tiempo de los eventos.

Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e irregularidades

4La funcion de la Auditoria en Sistemas

Funciones de la Auditoría de Sistemas:

- Auditoría de Controles Generales de la Informática - Auditoría de Aplicaciones en funcionamiento- Auditoría en el Desarrollo de Sistemas- Soporte a Grupos de Auditoría

Alcance del trabajo de la Auditoría de Sistemas:

- las actividades de TI de la empresa (administración de los recursos de cómputo de la organización)

- Las aplicaciones en el computador en estado de producción o funcionamiento

- El desarrollo de nuevas aplicaciones para el computador- El soporte técnico a otras actividades de la auditoría (financiera,

operativa, etc.)

RESULTADOS DEL TRABAJO DE ASI

Tangibles:

Informes escritos con opiniones, observaciones y recomendaciones dirigidos a:

- Dirección de la Empresa- La Gerencia de Sistemas (Organización y Métodos)- Las Áreas de negocio y de soporte administrativo que manejan

operaciones críticas de las empresas que se soportan en Tecnología de Información

Intangibles: (Valor Agregado)

- El mejoramiento de la Seguridad en Informática- El mejoramiento de la Cultura de Control en las Organizaciones

BENEFICIOS DE LA AUDITORÍA DE SISTEMAS

Previene la ocurrencia de situaciones perjudiciales para la organización (es un control preventivo)

- Actúa como médico de los sistemas de información.- Revisa suficiencia de los controles existentes- Señala las áreas de riesgos críticas que requieren ser controladas - Promueve le mejoramiento de la cultura de control en las

organizaciones

5La funcion de la Auditoria en Sistemas

- Fomenta la conciencia de seguridad institucional- Fomenta la definición de un lenguaje común de seguridad

Genera actitud positiva hacia los controles en los responsables del manejo de las operaciones de la empresa para que asuman la responsabilidad de:

- Identificar a priori posibles riesgos innecesarios en las operaciones del negocio

- Efectuar ajustes al sistema de control interno existente- Establecer que los controles sean intrínsecos a los procedimientos

manuales y automatizados. (Autocontrol)

Promueve la calidad, seguridad y eficiencia en los sistemas de información automatizados

- Efecto Psicológico de tener auditores de sistemas : el hecho de tener auditoría de sistemas estimula mayor diligencia del personal de sistemas y de las áreas de operación

- Formula recomendaciones constructivas : el auditor no se queda en el ámbito de la crítica, también propone alternativas de solución a los problemas que detecte. - Complementa el control que ejerce la Gerencia de Sistemas- Observa y detecta lo que el Gerente de Sistemas no puede

ver- Ojos y oídos de la Gerencia- Actúa con independencia orgánica, mental y de criterio

- Asesora a la Organización en asuntos de seguridad corporativa - Complementa el efecto de los controles ejercidos por los usuarios

internos y externos de los sistemas:- Actúa como un control sobre los controles establecidos en la

empresa- Tiene el poder de influir (es el poder detrás del trono)- Es parte integral del sistema de control interno de la empresa

Gestión de la función de Auditoria de SI

La función de auditoría debe ser gestionada y conducida en una forma que asegure que las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los objetivos de la función de auditoría, mientras se preserva la independencia y competencia de la auditoría. Además, gestionar la función de auditoría debería asegurar a la alta dirección las contribuciones al valor agregado respecto a la eficiente gestión de TI y al logro de los objetivos del negocio.

6La funcion de la Auditoria en Sistemas

ORGANIZACIÓN DE LA FUNCIÓN DE AUDITORÍA DE SI

Los servicios de auditoría de SI pueden ser provistos externamente o internamente.

El rol de la función interna de auditoría de SI debería establecerse en un estatuto de auditoría aprobado por la alta dirección. La auditoría de SI puede ser parte de la auditoría interna, funcionar como un grupo independiente, o estar integrada dentro de una auditoría financiera y operacional (ver la figura 1.7) para proveer garantía de control relacionado con TI a los auditores financieros o de la gerencia; por lo tanto, el estatuto de auditoría puede incluir la auditoría de SI como una función de apoyo de auditoría.

Este estatuto debería establecer claramente la responsabilidad y los objetivos de la gerencia para la función de auditoría de SI y la delegación de autoridad para la misma. Este documento debería describir la autoridad, el alcance y las responsabilidades generales de la función de auditoría. El nivel más alto de gestión y el comité de auditoría, si existe alguno, deberían aprobar este estatuto.

Una vez establecido, este estatuto debería modificarse sólo si dicho cambio puede realizarse y está completamente justificado.

Los estándares de auditoría de SI de ISACA requieren que la responsabilidad, autoridad y obligación de rendir cuentas de la función de auditoría de SI estén debidamente documentadas en un estatuto de auditoría o en una carta de compromiso (SI Estatuto de Auditoría). Se debe notar que un estatuto de auditoría es un documento de alcance general que cubre toda la gama de actividades de auditoría en una entidad mientras que una carta de compromiso está más centrada en un ejercicio particular de auditoría que se busca que sea iniciado en una organización con un objetivo específico en mente.

Si los servicios de auditoría de SI son provistos por una firma externa, el alcance y los objetivos de estos servicios deben ser documentados en un contrato formal o declaración de trabajo entre la organización contratante y el proveedor del servicio.

En cualquier caso, la función de auditoría interna debe ser independiente, y reportar a un comité de auditoría, si existe alguno, o al nivel más alto de la gerencia, como por ejemploel consejo de dirección.

GESTIÓN DE LOS RECURSOS DE AUDITORÍA DE SI

La tecnología de SI está cambiando constantemente. Por lo tanto, es importante que los auditores de SI mantengan su competencia por medio de la actualización de sus habilidades actuales y que obtengan capacitación sobre nuevas técnicas de auditoría y áreas de tecnología. Los estándares de auditoría de SI de ISACA requieren que el auditor de SI sea técnicamente competente (S4 Competencia técnica) y que posea las habilidades y el conocimiento necesarios para realizar el trabajo de un auditor. Además, el auditor de SI debe mantener su competencia técnica a través de una educación profesional continua. Se deben tomar en consideración las habilidades y los conocimientos cuando se planifiquen las auditorías y se asigne personal para tareas específicas de auditoría.

7La funcion de la Auditoria en Sistemas

Preferentemente, se debería diseñar un plan anual detallado de capacitación del personal basado en la dirección de la organización, en términos de tecnología, y aspectos relacionados con riesgos que necesiten considerarse. Éste debería revisarse periódicamente para asegurar que las necesidades de capacitación estén alineadas con la dirección que esté tomando la organización de auditoría. Adicionalmente, la gerencia de auditoría de SI también debe proporcionar los recursos de TI necesarios para realizar auditorías de SI apropiadamente de naturaleza altamente especializada (por ejemplo, herramientas, metodología, programas de trabajo).

PLANEACION DE LA AUDITORÍA DE SI

La planeación debe ser a corto plazo y a largo plazoo Planeación Anual

o Asignaciones de Auditoria individual

El análisis a problemas a corto largo plazo debe hacerse por lo menos una vez al año

Cada tarea individual de la auditoria debe ser planeada adecuadamente. Considerar: Evaluación de riesgos, privacidad y requerimientos regulatorios para el

enfoque general de la auditoria. Considerar fechas límites establecidas para la implementación/actualización de los

sistemas, las tecnologías actuales y futuras, requerimientos de los dueños del proceso de negocios y de las limitaciones de recursos de SI.

Al planear una auditoria, el auditor de SI debe tener un entendimiento general del ambiente a revisar.

o Practicas de negocio

o Funciones relativas al sujeto de la auditoria

o Tipos de sistemas de información y la tecnología que soportan la

actividad.o

PASOS PARA LA PLANEACION DE LA AUDITORÍA DE SI

1. Lograr un entendimiento de la misión, los objeticos, el propósito y los procesos del negocio, requerimientos de información y procesamiento.

2. Identificar contenidos específicos tales como políticas, estándares y directrices requeridos, procedimientos y estructura de la organización.

3. Evaluar el análisis de riesgo y todo análisis de impacto sobre la privacidad llevado a cabo por la organización.

4. Realizar un análisis de riesgos.5. Llevar a cabo una revisión de control interno. 6. Establecer el alcance y los objetivos de la auditoria.7. Desarrollar el enfoque o la estrategia de auditoría.8. Asignar recursos humanos a la auditoria9. Considerar la logística del trabajo de la auditoria.

8La funcion de la Auditoria en Sistemas

PASOS PARA LA COMPRENSION DEL NEGOCIO

1. Recorrido de las instalaciones clave de la organización2. Lectura de antecedentes incluyendo publicaciones de la industria, informes

anuales e información de análisis financieros independientes. 3. Revisión de planes estratégicos a largo plazo4. Entrevistas a los agentes clave para entender pormenores del negocio5. Revisión de informes anteriores6. Identificar las regulaciones especificables a TI7. Identificar funciones de TI o actividades relacionadas que han sido contratadas de

forma externa.

EFECTO DE LEYES Y REGULACIONES SOBRE LA PLANIFICACION DE TI

Toda organización debe cumplir con un numero de requerimientos externos relacionados con las practicas y los controles de SI

Las regulaciones de negocio pueden impactar la forma en que los datos se procesan, se transmiten y se almacenan.

Hay industrias que históricamente han tenido un marco regulatorio muy estricto (industria bancaria, por ejemplo).

Existen dos áreas principales de interéso Los requerimientos legales de la Auditoria de SI

o Los requerimientos legales aplicables al auditado y sus sistemas.

Un ejemplo de prácticas solidas de control, es la Ley Sarbanes-Oxley (SOX) de 2002.

Se espera que la organización tenga una función de cumplimiento legal en la que el personal de Control de SI pueda confiar

La calidad de la información suministrada a los inversionistas se ha convertido en un asunto de interés primordial en todo el mundo.

PASOS QUE SEGUIRIÁ UN AUDITOR DE CONTROLES DE SI PARA DETERMINAR UN NIVEL DE CUMPLIMIENTO DE UNA ORGANIZACIÓN CON LOS REQUERIMIENTOS EXTERNOS:

1. Identificar los requerimientos gubernamentales u otros externos relevantes que se refieren a:

o Datos electrónicos, derechos de autor, comercio electrónico, firmas

digitales, etc.o Practicas y controles de sistemas computarizados

9La funcion de la Auditoria en Sistemas

o La manera en que se almacenan las computadoras, los programas y los

datoso La organización o las actividades de los servicios de información.

2. Documentar las leyes y regulaciones pertinentes3. Determinar si la dirección de la organización y la función de SI han tomado en

consideración los requerimientos relevantes.4. Revisar los documentos internos de la función del SI que se ocupan del

cumplimiento de las leyes aplicables a la industria.5. Determinar el cumplimiento con los procedimientos establecidos que se ocupan de

estos requerimientos.

CLASIFICACIÓN DE LAS AUDITORÍAS

El auditor de SI debería entender los diversos tipos de auditorías que pueden efectuarse interna o externamente, y los procedimientos de auditoría asociados con cada uno de ellos:

• Auditorías financieras—El propósito de una auditoría financiera es determinar la exactitud de los estados financieros de una organización. Una auditoría financiera a menudo implicará pruebas sustantivas detalladas, aunque cada vez más, los auditores están poniendo más énfasis en un enfoque de auditoría basado en riesgo y control. Este tipo de auditoría se relaciona con la integridad y confiabilidad de la información financiera.

• Auditorías Operativas—Una auditoría operativa está diseñada para evaluar la estructura del control interno en un proceso o área determinada. Las auditorías de SI sobre controles de las aplicaciones o de sistemas de seguridad lógica son algunos ejemplos de auditorías operativas.

• Auditorías integradas—Una auditoría integrada combina pasos de auditoría financiera y operativa. También se realiza para evaluar los objetivos generales dentro de una organización, relacionados con la información financiera y la salvaguarda de activos, la eficiencia y el cumplimiento. Una auditoría integrada puede ser ejecutada por auditores externos o internos e incluiría pruebas de cumplimiento a los controles internos y los pasos de auditoría sustantiva.

• Auditorías administrativas—Estas están orientadas a evaluar aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización.

Auditorías de SI—Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen información relevante y confiable, logran de forma efectiva las metas organizacionales, usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable de que los objetivos de negocio, operacionales y de control serán alcanzados y que los eventos no deseados serán evitados o detectados y corregidos de forma oportuna.

Auditorías especializadas—Dentro de la categoría de las auditorías de SI, existe un número de revisiones especializadas que examinan áreas tales como los servicios realizados por terceros. En vista de que los negocios dependen cada vez más de

10La funcion de la Auditoria en Sistemas

servicios prestados por terceros, es importante que se evalúen los controles internos en estos ambientes. La declaración sobre Estándares de Auditoría (SAS) 70, titulada "Informes sobre el Procesamiento de las Transacciones por Organizaciones de Servicio" es un estándar de auditoría ampliamente conocido desarrollado por el Instituto Americano de Contadores Públicos Certificados (AICPA). SAS 70, define los estándares profesionales usados por un auditor de servicios para evaluar los controles internos de una organización de servicios. Este tipo de auditoría se ha vuelto cada vez más relevante debido a la actual tendencia a la externalización (outsourcing) de procesos financieros y de negocios a terceros proveedores de servicios que, en algunos casos, pueden operar en diferentes jurisdicciones o incluso en diferentes países.

Se debe señalar que una revisión del tipo 2 SAS 70 es una variación más exhaustiva de una revisión regular SAS 70, que a menudo se requiere en relación con revisiones regulatorias.

Muchos otros países tienen su propio equivalente de este estándar. Una auditoría tipo SAS 70 es importante porque significa que una organización de servicios ha pasado por una auditoría profunda de sus actividades de control, que incluyen generalmente controles de tecnología de información y procesos relacionados. Las revisiones de tipo SAS 70 proveen directrices que permiten a un auditor independiente (auditor de servicios) emitir una opinión sobre la descripción de los controles de una organización de servicios a través del informe de un auditor de servicios, en el que luego el auditor de SI de la entidad que utiliza los servicios de la organización de servicios puede basarse.

Auditorías forenses—La auditoría forense ha sido definida como una auditoría especializada en descubrir, revelar y hacer seguimiento a fraudes y crímenes. El propósito principal de dicha revisión era el desarrollo de evidencia para ser revisada por autoridades policiales y judiciales. En años recientes, el profesional forense ha sido llamado a participar en investigaciones relacionadas con fraude corporativo y crimen cibernético. En los casos en que los recursos de computadora puedan haber sido mal empleados, una investigación adicional es necesaria para recopilar evidencia de posible actividad criminal que puede luego ser reportada a las autoridades competentes.

Una investigación de cómputo forense incluye el análisis de dispositivos electrónicos, tales como computadoras, teléfonos, PDAs, discos, switches, enrutadores (routers), concentradores (hubs) y otros equipos electrónicos. El auditor de SI que posea las habilidades necesarias puede asistir al gerente de seguridad de información en la realización de las investigaciones forenses y llevar a cabo la auditoría de los sistemas para asegurar que se cumplan los procedimientos de recolección de evidencia para la investigación forense. La evidencia electrónica es vulnerable a alteraciones, por lo que es necesario manejarla con extremo cuidado y se deben asegurar controles para garantizar que no pueda ocurrir ninguna manipulación. Se debe establecer una cadena de custodia de evidencia electrónica para cumplir con los requerimientos legales.

11La funcion de la Auditoria en Sistemas

La evidencia de computadora manejada de manera inadecuada puede ser considerada inadmisible por las autoridades judiciales. La consideración más importante para un auditor forense es la de obtener una imagen completa (bit-stream)del dispositivo objetivo y examinar esa imagen sin alterar los sellos de fecha u otra información atribuible a los archivos examinados. Además, las herramientas y técnicas de auditoría forense, tales como el mapeo (mapping) de datos para la evaluación de riesgos de privacidad y seguridad y la búsqueda de propiedad intelectual para la protección de datos, también se están usando para prevención, cumplimiento y aseguramiento.

USO DE LOS SERVICIOS DE OTROS AUDITORES Y EXPERTOS

Debido a la poca disponibilidad de auditores de SI y a la necesidad de especialistas en seguridad de TI y de otros expertos en el asunto objeto para llevar a cabo auditorías de áreas altamente especializadas, el departamento de auditoría o los auditores a los que se confió el proveer aseguramiento pueden requerir los servicios de otros auditores o expertos. La externalización (outsourcing) de servicios de aseguramiento y seguridad de SI se está convirtiendo en una práctica cada vez más común. Los expertos externos podrían incluir expertos en tecnologías específicas, tales como redes, cajeros automáticos (ATM), inalámbricos, integración de sistemas y conocimientos digitales forenses, o expertos en la materia tales como especialistas en una industria o área de especialización en particular, tales como banca, comercio de títulos-valores, seguros, expertos legales, etc.

Cuando se propone que una parte o la totalidad de los servicios de auditoría de SI se externalice a otro proveedor externo de servicios o de auditoría, se debería considerar lo siguiente respecto al uso de servicios de otros auditores y expertos:

• Restricciones sobre la externalización (outsourcing) de servicios de auditoría/seguridad dispuestas por las leyes y regulaciones

• Estatuto de auditoría o estipulaciones contractuales

• Impacto sobre los objetivos generales y específicos de auditoría de SI

• Impacto sobre riesgo de auditoría de SI y responsabilidad profesional

• Independencia y objetividad de otros auditores y expertos

• Competencia profesional, calificaciones y experiencia

• Alcance del trabajo que se propone que se externalice y método

• Controles de supervisión y de gestión de auditoría

• Método y modalidades de comunicación de los resultados del trabajo de auditoría

• Cumplimiento de las estipulaciones legales y regulatorias

12La funcion de la Auditoria en Sistemas

• Cumplimiento de los estándares profesionales aplicables

Basado en la naturaleza de la asignación, lo siguiente también puede requerir consideración especial:

• Verificaciones de testimonios/referencias y antecedentes• Acceso a sistemas, premisas y registros• Restricciones de confidencialidad para proteger la información relacionada con el cliente• El uso de CAATs y otras herramientas que deban ser usadas por el proveedor de servicios de auditoría externos• Estándares y metodologías para el desempeño de trabajo y documentación• Acuerdos de no divulgación

El auditor de SI o la entidad que externaliza los servicios debería monitorear la relación para asegurar la objetividad e independencia durante toda la vigencia del acuerdo.

Es importante entender que a menudo, a pesar que una parte o la totalidad del trabajo de auditoría pudiera delegarse a un proveedor externo de servicios, la responsabilidad profesional relacionada no es necesariamente delegada. Por consiguiente, es responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores externos de servicios:

• Comunicar claramente los objetivos, el alcance y la metodología de la auditoría a través de una carta de compromiso

• Establecer un proceso de monitoreo para revisión regular del trabajo del proveedor externo de servicios con respecto a planificación, supervisión, revisión y documentación.

Por ejemplo, la revisión de los papeles de trabajo de otros auditores o expertos de SI para confirmar que el trabajo se planificó, supervisó, documentó y revisó apropiadamente y para considerar la conveniencia y suficiencia de la evidencia de auditoría proporcionada; o la revisión del informe de otros auditores o expertos de SI para confirmar que se hayan cumplido el alcance especificado en el estatuto de auditoría, los términos de referencia o la carta de compromiso, que se hayan identificado los supuestos significativos utilizados por otros auditores o expertos de SI y que la gestión haya aceptado las conclusiones y los hallazgos reportados.

• Determinar la utilidad y lo apropiado de los informes de dichos proveedores externos y evaluar el impacto de los hallazgos significativos sobre los objetivos generales de auditoría.

Nota: El Alumno debe estar familiarizado con el Estándar de Auditoría de ISACA sobre "Realización del Trabajo de Auditoría" (S6) y la Directriz de Auditoría de SI "Usando el Trabajo de Otros Auditores" (G1) que se concentra en los Derechos de Acceso al Trabajo de Otros Auditores o Expertos.

13La funcion de la Auditoria en Sistemas

AUDITORIA A LOS SISTEMAS DE INFORMACION COMPUTARIZADOS Y A LOS RECURSOS INFORMATICOS DE LA ORGANIZACION

La auditoría no es una especialidad exclusiva de los contadores. Resulta obvio que si debemos auditar el cálculo de un edificio, necesitamos un ingeniero auditor y no un contador. Con igual concepto existen médicos auditores, auditores militares, etc. Dependiendo de la naturaleza de la actividad a auditar, resultará el tipo de especialista que puede evaluarla.

En el desarrollo de este material hemos identificado básicamente dos tipos de trabajos de auditoría en un entorno informático: al sistema de información computarizado y a los recursos informáticos de la organización. En el primer caso, prima el objetivo de evaluar la calidad de la información; en el segundo, la evaluación de los recursos informáticos. Ambos requieren, entonces, de equipos de auditores con distinta preparación y habilidades.

En el caso de trabajos de auditoría a sistemas de información económicos financieros, deben ser dirigidos y ejecutados por profesionales en ciencias económicas. En este tipo de trabajos se requiere más de conocimientos sobre el sistema de información que sobre el medio en donde se procesan y/o residen los datos. En caso de ser necesarios los conocimientos técnicos especialessobre el equipamiento, los programas y el funcionamiento del sistema computacional, el equipo de auditores puede solicitar la colaboración de especialistas en tecnologías de información.

Por el contrario, creemos que los trabajos de auditoría informática (a los recursos informáticos de una empresa) son competencia de los profesionales en sistemas. En estos casos, los contadores-auditores deben abstenerse de efectuar recomendaciones en un campo que no es su especialidad e incumbencia. Recordemos que el objetivo de una auditoría informática consiste en medir la eficiencia con que se utilizan los recursos informáticos disponibles en una entidad: equipos, redes de comunicación de datos, aplicaciones y desempeño del personal de sistemas.

Sin embargo, en la práctica no es fácil determinar qué actividades pertenecen a una clase de trabajos de auditoría y cuáles a otra. Las zonas grises aparecen cuando se trata de precisar el alcance de las tareas a realizar. Estas zonas grises pueden explicarse cuando analizamos los métodos que se siguen para efectuar una auditoría al sistema de información contable; en ellas, se privilegia la etapa de revisión del sistema de control interno, base para las afirmaciones posteriores respecto a la exactitud, integridad y correspondencia de los registros recuperados del sistema informático. Para efectuar la etapa de revisión del sistema de control interno es necesario contar con conocimientos en tecnologías de información ya que, entre otras cosas, se valida la efectividad de controles propios del ambiente computacional: control de acceso al sistema, métodos de respaldos, procedimientos para modificar los sistemas, funcionamiento de los controles programados, etc. Para evaluar estos aspectos es necesario contar con la ayuda de expertos informáticos.

En los últimos años ha comenzado a ofrecerse en nuestro país capacitación específica en Auditoría de Sistemas de Información:

14La funcion de la Auditoria en Sistemas

• Isaca (www.isaca.org) propone certificar Auditores en Sistemas de Información (“certificación CISA”), para ello se debe rendir un examen que habilita al profesional para efectuar este tipo de trabajos.

ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares -controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizacionesrespectivas- se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores deProcesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI.....En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una organización global que establece las pautas para los profesionales de gobernación, control, seguridad y auditoría de información. Sus normas de auditoríay control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones resaltan temas profesionales que desafían a sus constituyentes. Su certificación Certified Information Systems Auditor (Auditor Certificado de Sistemasde Información, o CISA) es reconocida en forma global y ha sido obtenida por más de 44.000 profesionales. Su nueva certificación Certified Information Security Manager (Gerente Certificado de Seguridad de Información, o CISM) se concentra exclusivamente en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder en el campo de control de la información, el Information Systems Control Journal (Periódico de Control de Sistemas de Información).

Organiza una serie de conferencias internacionales que se concentran en tópicos técnicos y administrativos pertinentes a las profesiones de gobernación de TI y aseguración, control, seguridad de SI. Juntos, ISACA y su Instituto de Gobernaciónde TI (IT Governance Institute) asociado lideran la comunidad de control de tecnología de la información y sirven a sus practicantes brindando los elementos que necesitan los profesionales de TI en un entorno mundial en cambio permanente.

Honduras posee un Capítulo Local.

15La funcion de la Auditoria en Sistemas