Perfil de un Auditor Informático

Formación técnica, universitaria o equivalente. Experiencia en estudios de auditoría. Conocimientos profundos de computación, sólida

experiencia en análisis, diseño y programación de sistemas computacionales, y conocimientos de sistemas operativos.

Análisis y codificación de programas de auditorías. Responsabilidad, autoridad y rendimiento de cuentas. En la medida de lo posible, independencia. Ética, idoneidad y normas profesionales. Realizar trabajos planificados. Ejecución profesional Saber confeccionar informes de acuerdo al trabajo

realizado. Constancia, flexibilidad y características personales de

perfeccionamiento.

Problemas de la AI

No siempre es fácil de implementar la función de auditoría computacional. Existen dos grandes problemas que dificultan su implementación:

a)Relacionados con el personal

b) Relacionados con la empresa

Relacionados con el Personal

Los reportes del auditor son negativos. El auditor es la policía. Los requerimientos de control no son realistas. El auditor carece de experiencia. El auditor es demasiado simplista, todo es fácil

para él. Cuesta entablar una comunicación adecuada. Los controles propuestos son costosos

Relacionados con la Empresa Documentación inadecuada de los sistemas y

programas. Falta de procedimientos. Ausencia de conceptos de seguridad y/o control de

información. Asignación de recursos y presupuesto restringido. Problemas técnicos en el CPD. Planificación inadecuada. Apoyo poco comprometido de los niveles

gerenciales. Técnicas y herramientas inadecuadas para

efectuar auditoría. Problemas internos entre auditoría tradicional y

auditoría computacional.

El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionarios o Check List.

Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal redactadas y aplicadas se puede llegar a obtener resultados distintos a los esperados por la empresa auditora.

El cuestionario debe estar subordinado a la regla, a la norma, al método.

Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio general o parcial basado en hechos y situaciones encontradas, no estando dentro de sus atribuciones modificar la situación analizada.

Control

Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización.

Definición : Controles son todos aquellos mecanismos existentes dentro del sistema y de la organización, que tienen como objetivo asegurar la veracidad e integridad de la información que maneja el sistema tanto aquella que entra y sale de él como la que se almacena y se manipula internamente dentro de la configuración computacional.

Control Interno Informático vs. Auditoría Informática

Análisis de los controlesdía a día.

Informa a la dirección informática

Solo personal interno

Alcance de funciones solo sobre el departamento informático

Análisis de un momento informáticodeterminado

Informa a la dirección general de la organización

Personal interno o externo

Cobertura sobre todos los componentesde los sistemas informáticos de la

organización

- El personal debe estar altamente capacitado en lo que concierne a las tecnologías de la información, verificación del cumplimiento de controles internos, normativas y procedimientos establecidos por la gerencia para los sistemas informáticos.

SIMILITUDES ENTRE CONTROL

INTERNO Y AUDITORIA

INFORMATICA

Un buen control debe contar con las siguientes características:

Completos. Simples. Revisables. Adecuados. Rentables . Fiables. Actualizados.

Tipos de Controles Internos En general, existen tres tipos de controles

que es posible implementar en un sistema:

– Preventivos– Detectores o detectivos– Correctivos

Aunque ésta es una clasificación general, es necesario definir en qué etapas o procesos del sistema es aplicable cada tipo de control, y qué etapas es necesario controlar.

Tipos de Controles Internos

Preventivos : Evitar el hecho, por ejemplo, los software de seguridad de acceso al sistema.

Detectores : Poder detectar lo antes posible fallas en el sistema, por ejemplo, registro de actividad diaria.

Correctivos : Volver a un estado normal después de una falla, por ejemplo, la mantención de un BDC con la réplica de la base de datos de los usuarios SAM.

TIPOS DE CONTROLES

– Controles Generales– Controles de Aplicación– Controles Especiales

Controles Generales Definición : Son los que se realizan para

asegurar que la organización y sistemas operen en forma normal.

Ejemplos :

– Separación de funciones.– Acceso y Seguridad.– Procedimientos escritos.– Controles sobre software de sistemas.– Control sobre la continuidad del procesamiento.– Control sobre el desarrollo y modificación de sistemas.

Controles de Aplicación Definición : Son los que se realizan para

asegurar la exactitud, integridad y validez de la información procesada.

Ejemplos :

- Control sobre los datos de entrada.- Control sobre los datos constantes o fijos.- Control sobre el procesamiento.- Control sobre los datos rechazados.- Control sobre los datos de salida.

Controles Especiales

Definición : Son los que se realizan para asegurar la integridad, seguridad y aspectos operacionales.

Ejemplos :

- Control sobre la entrada de datos en línea.- Procedimientos de recuperación y reenganche en

sistemas en línea.- Control sobre la modificación de programas.- Control sobre el procesamiento distribuido.- Control sobre sistemas integrados.- Control sobre bases de datos.