SOFTWARE ESPECIAL DE AUDITORIA

La tecnología está abarcando todas las áreas del saber humano, y el campo de la auditoría no es la excepción, a la vez que la información objeto de auditoria se torna mucho más compleja, también se han desarrollado herramientas informáticas que faciliten el trabajo del auditor. Y en esta ocasión, analizaremos dos ejemplos de actualidad:

      -  IDEA

      - ACL

IDEA: En síntesis se trata de una robusta “herramienta para análisis, extracción y auditoria de datos, fácil de utilizar y provista de numerosas de funcionalidades para verificar la calidad e integridad de la información de bases de datos y archivos de computador, analizar y clasificar los datos aplicando criterios de acuerdo con las reglas del negocio, automatizar técnicas de auditoria asistidas con el computador (CAATs), generación de reporte y exportar archivos y enviar correos electrónicos desde el software IDEA”.

Se dice “robusta” dada su capacidad de acoplarse a distintos tipos de información, organizadas mediante bases de datos, y resulta “flexible” ya que permite establecer criterios alineados a las políticas de la empresa.

Permite gestionar bases de datos, con ilimitado número de registros, en distintos formatos, por ejemplo:

-          Texto

-          ODBC

-          Excel

-          PDF

-          Reportes AS400

-          SAP

Entre otras de sus características, se encuentran:

-          Generar estadísticas de campos numéricos, fecha y hora.

-          Realizar operaciones aritméticas.

-          Comprobar cálculos.

-          Utilizar funciones pre-construídas de análisis financieros y manejo de campos.

-          Extraer y agrupar registros según criterios especificados por el auditor.

-          Identificar registros repetidos y omisiones de secuencia de comandos.

-          Comparar, unir y agregar archivos.

-          Utilizar cinco tipos de muestreo estadístico.

-          Identificar operaciones sospechosas de fraude y lavado de activos.

-          Permite generar código de software reutilizable para próximas auditorias.

Sus funciones principales son:

1.       Importar a IDEA archivos de datos diferentes tipos.

2.       Extracción, análisis y auditoría de datos.

3.       Muestreo estadístico para pruebas de auditoria.

4.       Procesamiento de datos de varios archivos.

5.       Búsqueda e identificación de coincidencias en campos de uno o múltiples archivos.

6.       Métodos estadísticos avanzados.

7.       Desarrollo de Software de Auditoría, traduce las instrucciones dada en un lenguaje natural a programas (IdeaScript) que pueden ser ejecutados periódicamente, sobre diferentes archivos.

ACL: Conocido en la comunidad global de auditores como “la solución de software preferida para la extracción y análisis de datos, detección de fraudes y monitoreo continuo”.

Características:

-          Análisis interactivo obteniendo resultados inmediatos.

-          Fácil acceso de datos de distintos ambientes y sistemas, logrando el auditor independencia de las funciones de procesamiento de datos y reducción del tiempo en que tiene disponible la información.

-          Rapidez y facilidad de uso, lo que permite el análisis de grandes volúmenes de información, cubriendo el 100% de los datos.

-          Funciones propias de auditoría, listas para su uso.

-          Automatización de tareas repetitivas.

-          Resultados gráficos y en reportes.

-          Protección de los datos originales.

-          Procesos de autodocumentación.

Aplicaciones:

-          Análisis de riesgo.

-          Análisis y detección de fraudes.

-          Identificación de excepciones y anomalías.

-          Identificación de problemas de control.

-          Evaluación de procesos y cumplimiento de estándares.

-          Señalar excepciones y destacar áreas que requieren atención.

-          Localizar errores y posibles irregularidades.

-          Recuperar gastos o ingresos perdidos, detectando pagos duplicados.

Con información de: http://www.audisis.com/idea.html, http://www.eniac.com/

HERRAMIENTAS DEL AUDITOR DE SISTEMAS

Dentro de las herramientas utilizadas para llevar a cabo una auditoria de sistemas, podemos mencionar las siguientes:

      Cuestionarios: Son instrumentos empleados con el objeto de recopilar información sobre la empresa auditada, los cuáles son enviados a personas específicas, mismos que no pueden ser, simplemente, repetidos, sino específicos para cada área y situación.

      Checklist: Las listas de validación o “Checklist” son cuestionarios más precisos, y deben ser respondidos claramente, debido a que contiene opciones de respuesta, en este sentido la respuesta no puede ser ambigua o imprecisa. Existen tres tipos: a) De rango; b) Binario y c) Estandar.

      Entrevistas: Esta herramienta es algo más personalizada, pues le permite al auditor una flexibilidad y precisión mayor que un cuestionario o “Checklist”, en consecuencia el auditor puede matizar mejor la información en que basará su opinión.

      Trazas y/o huellas: Consiste en verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas. Existen algunos “software” de rastreo, como lo son: NMAP, FSCAN, CGISCAN y Whisker.

Existen algunos programas en el mercado, que pueden complementar o servir de como alguna de las herramientas anteriores:

      IDEA

      Workin Papers

      Today

      Time

      Lotus Notes

      Auto Audit

      Excel

      Acces

Además, existen algunos programas especiales para auditoria de sistemas, los mismos realizan funciones para: a) monitoreo de bases de datos, b) Detección de intrusos y c) Evaluación de Logs.

       Monitoreo de bases de datos

       Surveillance

       Quest Software

       SQL Power Tools

       Evaluación de Logs:

       IDEA

       ACL

      Detección de Intrusos:

      DRAGON

       Intrudert Alert

      NetProwler

      ISS RealSecure

      Cisco NetRanger

      Cyber Cop

Otros

INFORME DE AUDITORIA DE SISTEMAS

El procedimiento establecido según la práctica general, en el campo de la auditoria de sistemas computacionales se enuncia a continuación:

   Aplicar instrumentos de recopilación: Estos instrumentos han sido definidos en la etapa de planeación para la evaluación correspondiente.

     Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión: Seguidamente el auditor toma nota de aquellas situaciones que llamen su atención durante la evaluación, utilizando para ello un formato específico, llamado “Formato de situaciones encontradas”, elaborado cuidadosamente. Las columnas sugeridas para este Formato son: situaciones, causas, soluciones, responsables de solución y fechas de solución.

     Comentar las situaciones encontradas con los auditados: Este paso se refiere al diálogo posterior entre el auditor y el auditado, ya que este último puede defenderse en relación al hallazgo aclarando las causas que dieron origen a la situación detectada. En este caso el auditor debe ser atento y receptivo, a fin de recopilar la información que necesite para ratificar su punto de vista o corregirlo si fuese el caso.

     Encontrar, conjuntamente con los auditados, las causas de desviaciones y sus posibles soluciones: Este paso es complementario del anterior, y surge cuando derivado del diálogo señalado anteriormente, surge un acuerdo entre el auditor y el auditado, en relación a las causas que dieron origen a la desviación.

    Analizar, depurar y corregir las desviaciones encontradas: Esta parte del procedimiento va más orientada al análisis, depuración corrección de la forma de presentación de las desviaciones en el informe final. Mismas que habiendo sido documentadas, retroalimentadas y, en su caso, corregidas, deberán ser sometidas a un análisis exhaustivo dentro de la firma o responsables de la auditoría, a fin de darle una excelente presentación a las desviaciones en el informe.

    Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes: Esta parte la lleva a cabo un responsable de la auditoría, y su propósito es definir aquello que resulta de una materialidad significativa para la empresa auditada, asimismo se busca presentar de una forma jerarquizada las situaciones encontradas.

      Comentar situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones: En esta etapa, se pretende informar a los directivos de la entidad, con mayor énfasis en el directivo principal, aquellas situaciones que a criterio de la auditoria son de alta materialidad. De modo que se puedan discutir algunos aspectos previos a la definición del Informe Final.

     Concentrar, depurar y elaborar el informe final de auditoria, así como el dictamen del auditor: En este paso se concentran los hallazgos, y se consideran solo aquellos que resulten de importancia relativa para la entidad, en otras palabras, se condensa, resume o sintetiza el trabajo de la auditoria, a fin de que lo más importante sea plenamente atendido.

    Presentar el informe y dictamen final a los directivos de la empresa: Este es el paso final, en el cuál se renuncia a cualquier modificación del informe, pues este tiene carácter de definitivo, y se entrega a los directivos de la entidad, pudiendo realizarse a través de un envío formal del documento, o en una reunión donde solo tienen participación los directivos de la entidad y los directivos de la auditoria.

Además, existen algunas características fundamentales en el Informe que el auditor debe cuidar al momento de elaborar el mismo. En cuanto a elementos básicos de contenido, el auditor debe ser preciso en cuanto a aquellas técnicas, metodologías y herramientas empleadas durante la auditoria. Pero además, hay dos características muy importantes para que este documento sea eminentemente técnico, el auditor deberá cuidar la “forma” y “fondo” del documento, en donde la forma se refiere a la redacción, distribución y orden de contenido, tipo y tamaño de hojas y letra, ortografía, sintaxis y gramática; y por su parte el fondo se refiere a que el Informe debe expresar adecuadamente los hallazgos de la auditoria.

METODOLOGÍA DE AUDITORIA DE SISTEMAS

"Pues vieras vos, que una vez... me ofrecieron ser ayudante por un día, y como no tenía centavitos dije: ¡Órale pue! Pues vas a ver. La primera vez que cobré, mi estrategia era subirme por atrás y comenzar a correr a la mara mientras iba cobrando, entonces empecé a cobrar a todos los que iban sentados y de una vez iba corriendo a los que iban parados. Cuando llegué hasta adelante me acomodé cerca de la puerta, y me quedé pensativo, entonces dije: ¡Qué mula soy! No le cobré a los que iban parados..."

Imagen cortesía de Stuart Miles en FreeDigitalPhotos.net

Esta anécdota me la contó un amigo de la infancia, y cada vez que me recuerdo me atasco de la risa, al imaginarme su rostro mientras se daba cuenta que no le cobró a los que iban parados en el bus. Sin duda alguna, por ser inexperto carecía de un proceso para llevar a cabo el encargo que se le encomendó. 

Proceso: "Un proces es una secuencia de pasos dispuesta con algún tipo de lógica que se enfoca en lograr algún resultado específico. definición.mx

En Auditoria de Sistemas, Proceso son todos aquellos pasos, técnicamente, ordenados y lógicos que el auditor lleva a cabo, a fin de obtener la evidencia necesaria, para sustentar su opinión en relación al objeto de exámen.

Se trabaja el Proceso de Auditoría de Sistemas, de acuerdo a los siguientes pasos:

1. Configuración inicial.

2. Planificación de Auditoría.

3. Ejecución.

4. Documentación.

5. Informes

6. Gestión de Observaciones.

Pronto estaré explicando cada una de estas etapas...

PERFIL DEL AUDITOR INFORMÁTICO

A continuación comparto este video, que seguramente enriquecerá nuestro conocimiento sobre este tema:

CERTIFICACIONES MUNDIALES

¿Te acordás de aquella vieja caricatura? Super Campeones. La serie que conquistó miles de infantes corazones en toda Latinoamérica, y Guatemala no fue la excepción. La historia de aquél niño , Oliver, apasionado por el fútbol, quien soñaba con llegar a ser el mejor jugador del mundo. Existía un gran evento al que apuntaba esta serie, El Mundial de Fútbol, donde solo los mejores jugadores tenían el privilegio de "pisar el césped mundialista".

"Pisar el césped mundialista", esta es una buena frase, que los auditores de hoy día deberían tener clara. El auditor de hoy, ya no compite a nivel local únicamente. El manejo de la información en la Era Digital, ha complicado el desempeño de los auditores comunes, de ahora en adelante el auditor deberá ser además un experto en tecnología y seguridad informática, dado que las "tendencias" lo han llevado a "pisar el césped mundialista". La pregunta es: ¿Cómo puede un auditor demostrar que posee los conocimientos apropiados para llevar a cabo una auditoria de sistemas? Bueno, la respuesta es "Certificaciones", el auditor debe acreditar Certificaciones. Lo que nos lleva a la siguiente pregunta: si en la localidad no existe aún carreras especializadas sobre la materia ¿De qué manera es posible obtener una Certificación?

ISACA nos ofrece una alternativa a la pregunta anterior, en su página de Internet, nos explica su filosofía:

"ISACA^® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase."

 He colocado un énfasis sobre la frase: "profesionales globales", ya que esto confirma que "los auditores ya no son jugadores de liga local".

ISACA nos ofrece certificaciones que prometen incrementar nuestra calificación como profesionales de la auditoría, y por lo tanto nuestros ingresos, así como aportar valor a las organizaciones para las que trabajemos. Las certificaciones en cuestión son las siguientes:

- Certified Information Systems Auditor (CISA): Certificación para controlar, supervisar y evaluar los sistemas de tecnología de la información y de negocio de una organización.

- Certified Information Security Manager (CISM): Es la principal certificación para los administradores de seguridad de la información.

- Certified in the Governance of the Enterprise IT: CGEIT proporciona que la credibilidad para discutir temas críticos en torno a la gobernabilidad y la alineación estratégica basada en su experiencia reconocidas habilidades, el conocimiento y los negocios.

- Certified in Risk and information Systems Control: es la única certificación que posiciona a los profesionales de TI para el futuro crecimiento de la carrera, mediante la vinculación de la gestión del riesgo empresarial, y el posicionamiento como socios estratégicos del negocio.

- Certified CSX: ayudan a las personas demuestran sus habilidades y demostrar que conocen las últimas normas de la seguridad cibernética, y ofrecen a los empleadores la confianza de que sus empleados son hasta las tareas más exigentes.

"En un entorno tecnológicamente globalizado, el auditor, inevitablemente deberá orientarse con respecto a toda esta temática, y de ser posible certificarse, a fin de poder competir dignamente en este desenfrenado y brutal desarrollo tecnológico mundial"

TENDENCIAS DE LA AUDITORIA DE SISTEMAS

¿Qué es una tendencia? Una tendencia es como cuando todo el mundo andaba "traideando" en los básicos, y el que se quedaba sin novio/a era un fracasado/a. Si ¿recordás esos tiempos? Tenías que "agarrar" algo o te ibas "horrible" aguantando todo tipo de insultos y burlas. Tendencia, según esta experiencia, es como una práctica generalizada que ejerce cierta presión sobre aquellos que se resisten a formar parte de ella. Cómico, de alguna manera, pero es posible inferir una definición de ello.

Bueno, creo que vale la introducción. Y si nos trasladamos al campo del Auditoría de Sistemas hemos de decir que la tecnología está como los "shucos" en las banquetas y las esquinas: ¡A la orden del día! Vivimos en un mundo "tecnologotizado" o "tecnologizado"... bueno, lleno de tecnología, así como decían nuestras viejitas "cundido" de tecnología (recuerdo aquél niño cuya cabeza yacía cubierta de pequeños insectos, daba "cosa"). En fin, la tecnología no solo se encuentra en expansión, sino además, en pleno desarrollo, el control interno de las empresas cada vez está más relacionado con la tecnología, en consecuencia el auditor debe, no solamente actualizarse, pero además debe certificarse para encontrarse calificado ante este abrumador desarrollo. 

Según la página http://revistas.usc.edu.co:

"Por esta razón la comunidad empresarial y académica , han iniciado , serios movimientos para  dar respuesta apropiada a la expectativa de las áreas que se ocupan en las organizaciones de gestionar estas herramientas ,  que son promovidas por institutos y entidades de  normalización, que trabajan para indicar tendencias sobre seguridad, control y Auditoria a los Sistemas de Información , fortalecer  la calidad  y proporcionar a los auditores estándares , guías y procedimientos que facilitan el trabajo de evaluación de los Sistemas Informáticos."

Recuerdo cuando mis pequeños e ingenuos ojos, apreciaron por primera vez las famosos "cincos" (canicas), y pronto, empecé a practicar para convertirme en la leyenda del vecindario, aquél niño intrépido y habilidoso que sabía todos los tiros y jugadas posibles. Sin embargo, cada vez que pensaba que ya había alcanzado cierto nivel, me encontraba con que habían nuevas formas de jugar, nuevos tiros y hasta las diferentes modalidades de juego ("a la menta o la débera"). Así que se volvió una rutina de actualización constante. Pues, como esta y toda actividad humana, la información, los procedimientos, el control, los métodos y las herramientas se encuentran en constante evolución. De esta cuenta, que el auditor deba, continuamente, actualizarse e informarse sobre las tendencias acerca de cada uno de estos elementos. 

Por ejemplo, SINFOPAC Internacional (empresa dedicada a satisfacer las necesidades de auditores y contables, mediante soluciones automatizadas y eficientes), su filosofía reza:

"Ofrecer productos y servicios de profesionales para profesionales"

Ofrecen dentro de sus principales herramientas:

- DS Audit: Herramienta para efectuar auditorias de acuerdo con NIIF y NIA.

- DS muestreo: Herramienta para llevar a cabo muestreos de forma precisa y altamente técnica.

- DS diario: Herramienta para capturar las pólizas diarias, con el objeto de realizar un examen minucioso.

- DS Inspector: Herramienta para análisis de información digital de diversos tipos.

- DS Consolidation: Herramienta para consolidar Estados Financieros.

Sin embargo la historia no termina aquí, ya que las herramientas informáticas para hacer auditoria solo nos demuestran la importancia de la tecnología en el tiempo actual. Hace falta ir más allá de la Auditoria de Estados Financieros, puesto que ahora no se busca solamente la confiabilidad de la información, también se busca, con la misma importancia o quizás mayor, la "seguridad" de la información. Por lo que el auditor moderno, deberá abrirse paso a través de esta interminable selva tecnológica y hacerse con las herramientas más adecuadas para examinar la seguridad de la información, en un entorno cada vez más automatizado y computarizado.