Normas, tcnicas y procedimientos de auditora en

informtica.
El desarrollo de una auditora se basa en la aplicacin de normas, tcnicas y procedimientos
de auditora. Para nuestro caso, estudiaremos aquellas enfocadas a la auditora en
informtica.
Es fundamental mencionar que para el auditor en informtica conocer los productos de
software que han sido creados para apoyar su funcin aparte de los componentes de la
propia computadora resulta esencial, esto por razones econmicas y para facilitar el manejo
de la informacin.
El auditor desempea sus labores mediante la aplicacin de una serie de conocimientos
especializados que vienen a formar el cuerpo tcnico de su actividad. El auditor adquiere
responsabilidades, no solamente con la persona que directamente contratan sus servicios,
sino con un nmero de personas desconocidas para l que van a utilizar el resultado de su
trabajo como base para tomar decisiones.
La auditora no es una actividad meramente mecnica, que implique la aplicacin de ciertos
procedimientos cuyos resultados, una vez llevados a cabo son de de carcter indudable. La
auditora requiere el ejercicio de un juicio profesional, slido maduro, para juzgar los
procedimientos que deben seguirse y estimar los resultados obtenidos
[37]
.
Normas.
Segn se describe en [bib-imcp], las normas de auditora son los requisitos mnimos de
calidad relativos a la personalidad del auditor, al trabajo que desempea ya la informacin
que rinde como resultado de este trabajo.
Las normas de auditora se clasifican en:
a. Normas personales.
b. Normas de ejecucin del trabajo.
c. Normas de informacin.
Normas personales
son cualidades que el auditor debe tener para ejercer sin dolo una auditora, basados
en un sus conocimientos profesionales as como en un entrenamiento tcnico, que le
permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecucin del trabajo
son la planificacin de los mtodos y procedimientos, tanto como papeles de trabajo
a aplicar dentro de la auditora.
Normas de informacin
son el resultado que el auditor debe entregar a los interesados para que se den
cuenta de su trabajo, tambin es conocido como informe o dictamen.
Tcnicas.
Se define a las tcnicas de auditora como los mtodos prcticos de investigacin y prueba
que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y
conclusiones, su empleo se basa en su criterio o juicio, segn las circunstancias.
Al aplicar su conocimiento y experiencia el auditor, podr conocer los datos de la empresa
u organizacin a ser auditada, que pudieran nesecitar una mayor atencin.
Las tcnicas procedimientos estn estrechamente relacionados, si las tcnicas no son
elegidas adecuadamente, la auditora no alcanzar las normas aceptadas de ejecucin, por lo
cual las tcnicas as como los procedimientos de auditora tienen una gran importancia para
el auditor.
Segn el IMCP en su libro Normas y procedimientos de auditora las tcnicas se clasifican
generalmente con base en la accin que se va a efectuar, estas acciones pueden ser oculares,
verbales, por escrito, por revisin del contenido de documentos y por examen fsico.
Siguiendo esta clasificacin las tcnicas de auditora se agrupan especficamente de la
siguiente manera:
Estudio General
Anlisis
Inspeccin
Confirmacin
Investigacin
Declaracin
Certificacin
Observacin
Clculo
Procedimientos.
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias
que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el
nombre de procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al
conjunto de programas de auditora se le denomina plan de auditora, el cual servir al
auditor para llevar una estrategia y organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una
sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin
simultnea.
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar loas caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o
procedimiento de auditora sern los mas indicados par obtener su opinin.
Anlisis de datos.
Dentro de este trabajo, desarrollaremos diversos tipos de tcnicas y procedimientos de
auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el
conjunto de datos o informacin son de tal importancia que es necesario verificarlos y
comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de
utilizar diversas tcnicas para el anlisis de datos, basados en [bib-solis-2002], las cuales se
describen a continuacin.
Comparacin de programas
esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o
comandos de proceso) entre la versin de un programa en ejecucin y la versin de
un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que permite analizar los programas
en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y
las de las variables de memoria que estuvieron presentes.
Anlisis de cdigo de programas
Se emplea para analizar los programas de una aplicacin. El anlisis puede
efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo
ejecutable).
Datos de prueba
Se emplea para verificar que los procedimientos de control incluidos los programas
de una aplicacin funcionen correctamente. Los datos de prueba consisten en la
preparacin de una serie de transacciones que contienen tanto datos correctos como
datos errneos predeterminados.
Datos de prueba integrados
Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una
entidad, falsa dentro de los sistemas de informacin.
Anlisis de bitcoras
Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en
forma manual o por medio de programas especializados, tales como bitcoras de
fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos,
bitcoras de procesos ejecutados.
Simulacin paralela
Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen
a los programas de un sistema en produccin. El objetivo es procesar los dos
programas o mdulos de forma paralela e identificar diferencias entre los resultados
de ambos.
Monitoreo.
Dentro de las organizaciones todos los procesos necesitan ser evaluados a travs del tiempo
para verificar su calidad en cuanto a las necesidades de control, integridad y
confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran
los procesos de monitoreo:
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control Interno.
M3 Obtencin de aseguramiento independiente.
M4 Proveer auditora independiente.
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los procesos de TI, lo cual se logra definiendo por
parte de la gerencia reportes e indicadores de desempeo y la implementacin de sistemas
de soporte as como la atencin regular a los reportes emitidos.
Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de
xito y compararlos con los niveles propuestos para evaluar el desempeo de los procesos
de la organizacin.
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control interno establecidos para los procesos de TI,
para ello se debe monitorear la efectividad de los controles internos a travs de actividades
administrativas, de supervisin, comparaciones, acciones rutinarias, evaluar su efectividad
y emitir reportes en forma regular
[38]
.
M3 Obtencin de aseguramiento independiente
Incrementa los niveles de confianza entre la organizacin, clientes y proveedores, este
proceso se lleva a cabo a intervalos regulares de tiempo.
Para ello la gerencia deber obtener una certificacin o acreditacin independiente de
seguridad y control interno antes de implementar nuevos servicios de tecnologa de
informacin que resulten crticos, as como para trabajar con nuevos proveedores de
servicios de tecnologa de informacin, luego la gerencia deber adoptar como trabajo
rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de
tecnologa de informacin, de los proveedores de estos servicios as como tambin
asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa
de informacin y de los proveedores de dichos servicios.
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de recomendaciones basadas en mejores prcticas de su
implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a
intervalos regulares de tiempo.
Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando
en este documento la responsabilidad, autoridad y obligaciones de la auditora.
El auditor deber ser independiente del auditado, esto significa que los auditores no debern
estar relacionados con la seccin o departamento que est siendo auditado y en lo posible
deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los
estndares profesionales, seleccionando para ello auditores que sean tcnicamente
competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas
efectivas y eficientes de auditora informtica.
La funcin de la auditora informtica deber proporcionar un reporte que muestre los
objetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como
tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de
auditora informtica llevado a cabo.
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se encuentran expuestos a distintas amenazas, las
vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos,
el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer
la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de
computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de
anlisis de las mismas.
El crecimiento de Internet enfatiza esta problemtica, los sistemas de cmputo generan una
gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de
gran ayuda ante un incidente de seguridad, as como para el auditor.
Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el
sistema que la genera los cuales pueden ser:
Fecha y hora.
Direcciones IP origen y destino.
Direccin IP que genera la bitcora.
Usuarios.
Errores.
La importancia de las bitcoras es la de recuperar informacin ante incidentes de seguridad,
deteccin de comportamiento inusual, informacin para resolver problemas, evidencia
legal, es de gran ayuda en las tareas de cmputo forense.
Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes:
Para UNIX, Logcheck, SWATCH.
Para Windows, LogAgent
Las bitcoras contienen informacin crtica es por ello que deben ser analizadas, ya que
estn teniendo mucha relevancia, como evidencia en aspectos legales.
El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es
importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para
mantener un control de las mismas.
Tcnicas de auditora asistida por computadora
La utilizacin de equipos de computacin en las organizaciones, ha tenido una repercusin
importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de
informacin, sino tambin al uso de las computadoras en la auditora.
Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a
muchos problemas de muy diversa condicin, uno de ellos, es la revisin de los
procedimientos administrativos de control interno establecidos en la empresa que es
auditada.
La utilizacin de paquetes de programas generalizados de auditora ayuda en gran medida a
la realizacin de pruebas de auditora, a la elaboracin de evidencias plasmadas en los
papeles de trabajo.
Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT)
son la utilizacin de determinados paquetes de programas que actan sobre los datos,
llevando a cabo con ms frecuencia los trabajos siguientes:
Seleccin e impresin de muestras de auditoras sobre bases estadsticas o no
estadsticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por
los auditores.
Verificacin matemtica de sumas, multiplicaciones y otros clculos en los archivos
del sistema auditado.
Realizacin de funciones de revisin analtica, al establecer comparaciones, calcular
razones, identificar fluctuaciones y llevar a cabo clculos de regresin mltiple.
Manipulacin de la informacin al calcular subtotales, sumar y clasificar la
informacin, volver a ordenar en serie la informacin, etc.
Examen de registros de acuerdo con los criterios especificados.
Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que
se encuentra dentro de las bases de datos del sistema que se audita.
Consecuentemente, se hace indispensable el empleo de las CAAT que permiten al auditor,
evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el
examinar un diverso nmero de operaciones especficas del sistema, facilitar la bsqueda
de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen
la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar
notablemente la eficiencia en el trabajo.
Teniendo en cuenta que se haca imprescindible auditar sistemas informticos; as como
disear programas auditores, se deben incorporar especialistas informticos, formando
equipos multidisciplinarios capaces de incursionar en las auditoras informticas y
comerciales, independientemente de las contables, donde los auditores que cumplen la
funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas
auditados.
De esta forma los auditores adquieren ms conocimientos de los diferentes temas, pudiendo
incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en
ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros
industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo
para obtener evidencia que le permita reunir elementos de juicio suficientes.
Evaluacin del control interno.
En un ambiente de evolucin permanente, determinado por las actuales tendencias
mundiales, las cuales se centran en el plano econmico soportadas por la evolucin
tecnolgica, surge la necesidad de que la funcin de auditora pretenda el mejoramiento de
su gestin.
La prctica de nuevas tcnicas para evaluar el control interno a travs de las cuales, la
funcin de auditora informtica pretende mejorar la efectividad de su funcin y con ello
ofrecer servicios ms eficientes y con un valor agregado.
La evolucin de la teora del control interno se defini en base a los principios de los
controles como mecanismos o prcticas para prevenir, identificar actividades no
autorizadas, ms tarde se incluy el concepto de lograr que las cosas se hagan; la corriente
actual define al control como cualquier esfuerzo que se realice para aumentar las
posibilidades de que se logren los objetivos de la organizacin.
En este proceso evolutivo se considera actualmente, y en muchas organizaciones que el
director de finanzas, contralor o al director de auditora como los responsables principales
del correcto diseo y adecuado funcionamiento de los controles internos.
Benchmarking
Las empresas u organizaciones deben buscar formas o frmulas que las dirijan hacia una
mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el
Benchmarking.
Existen varios autores que han estudiado el tema, y de igual manera existen una gran
cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas
definiciones.
Benchmarking es el proceso continuo de medir productos, servicios y prcticas contra los
competidores o aquellas compaas reconocidas como lderes en la industria.
[39]

Esta definicin presenta aspectos importantes tales como el concepto de continuidad, ya
que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un
proceso continuo y constante.
Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas
las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se
debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las
organizaciones que son reconocidas como las mejores.
Entre otras definiciones tenemos la extrada del libro Benchmarking de Bengt, la cual es:
benchmarking es un proceso sistemtico y contino para comparar nuestra propia
eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y
organizaciones que representan la excelencia.
Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un
proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la
importancia de la medicin dentro del benchmark.
Estos autores se centran, a parte de la operaciones del negocio, en la calidad y en la
productividad de las mismas, considerando el valor que tienen dichas acciones en contra de
los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes
producidos y los recursos utilizados para su produccin, lo cual se refiere a la
productividad.
Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque
difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie
de elementos comunes.
Para empezar en la mayora de ellas se resalta el hecho de que benchmarking es un proceso
continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que
es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda
constante de las mejores prcticas de la industria, y como sabemos la industria est en un
cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que
no se puede asegurar que las mejores prcticas de hoy lo sern tambin de maana.
Tambin se vio en las diferentes definiciones que este proceso no slo es aplicable a las
operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones,
por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y
operaciones del negocio, hasta el punto de ser los mejores en la industria, observando
aspectos tales como la calidad y la productividad en el negocio.
De igual manera podemos concluir que es de suma importancia como una nueva forma de
administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras
operaciones en base a estndares impuestos externamente por las organizaciones conocidas
como las de excelencia dentro de la industria.
Dentro del benchmarking existen los siguientes tipos:
[40]

Benchmarking interno
en la mayor parte de las grandes organizaciones con mltiples divisiones o
internacionales hay funciones similares en diferentes unidades de operacin, una de
las investigaciones de benchmarking ms fcil es comparar estas operaciones
internas, tambin debe contarse con facilidad con datos e informacin y no existir
problemas de confidencialidad y los datos ser tan amplios y completos como se
desee.
Este primer paso en las investigaciones de benchmarking es una base excelente no
slo para descubrir diferencias de inters sino tambin centrar la atencin en los
temas crticos a que se enfrentara o que sean de inters para comprender las
practicas provenientes de investigaciones externas, tambin pueden ayudar a definir
el alcance de un estudio externo.
Benchmarking competitivo
los competidores directos de productos son contra quienes resulta ms obvio llevar a
cabo el benchmarking, ellos cumpliran, o deberan hacerlo, con todas las pruebas
de comparabilidad, en definitiva cualquier investigacin de benchmarking debe
mostrar cuales son las ventajas y desventajas comparativas entre los competidores
directos.
Uno de los aspectos ms importantes dentro de este tipo de investigacin a
considerar es el hecho que puede ser realmente difcil obtener informacin sobre las
operaciones de los competidores, quiz sea imposible obtener informacin debido a
que est patentada y es la base de la ventaja competitiva de la empresa.
Benchmarking genrico
algunas funciones o procesos en las organizaciones son las mismas, el beneficio de
esta forma de benchmarking, es que se pueden descubrir prcticas y mtodos que no
se implementan en la organizacin propia del investigador. Este tipo de
investigacin tiene la posibilidad de revelar lo mejor de las mejores prcticas, la
necesidad de objetividad y receptividad por parte del investigador.
Que mejor prueba que la posibilidad de ponerlo en prctica si se pudiera obtener
que el hecho de que la tecnologa ya se ha probado y se encuentra en uso en todas
partes, el benchmarking genrico requiere de una amplia conceptualizacin, pero
con una comprensin cuidadosa del proceso genrico.