METODOLOGÍA DE AUDITORIA DE SISTEMAS

"Pues vieras vos, que una vez... me ofrecieron ser ayudante por un día, y como no tenía centavitos dije: ¡Órale pue! Pues vas a ver. La primera vez que cobré, mi estrategia era subirme por atrás y comenzar a correr a la mara mientras iba cobrando, entonces empecé a cobrar a todos los que iban sentados y de una vez iba corriendo a los que iban parados. Cuando llegué hasta adelante me acomodé cerca de la puerta, y me quedé pensativo, entonces dije: ¡Qué mula soy! No le cobré a los que iban parados..."

Imagen cortesía de Stuart Miles en FreeDigitalPhotos.net

Esta anécdota me la contó un amigo de la infancia, y cada vez que me recuerdo me atasco de la risa, al imaginarme su rostro mientras se daba cuenta que no le cobró a los que iban parados en el bus. Sin duda alguna, por ser inexperto carecía de un proceso para llevar a cabo el encargo que se le encomendó. 

Proceso: "Un proces es una secuencia de pasos dispuesta con algún tipo de lógica que se enfoca en lograr algún resultado específico. definición.mx

En Auditoria de Sistemas, Proceso son todos aquellos pasos, técnicamente, ordenados y lógicos que el auditor lleva a cabo, a fin de obtener la evidencia necesaria, para sustentar su opinión en relación al objeto de exámen.

Se trabaja el Proceso de Auditoría de Sistemas, de acuerdo a los siguientes pasos:

1. Configuración inicial.

2. Planificación de Auditoría.

3. Ejecución.

4. Documentación.

5. Informes

6. Gestión de Observaciones.

Pronto estaré explicando cada una de estas etapas...

PERFIL DEL AUDITOR INFORMÁTICO

A continuación comparto este video, que seguramente enriquecerá nuestro conocimiento sobre este tema:

CERTIFICACIONES MUNDIALES

¿Te acordás de aquella vieja caricatura? Super Campeones. La serie que conquistó miles de infantes corazones en toda Latinoamérica, y Guatemala no fue la excepción. La historia de aquél niño , Oliver, apasionado por el fútbol, quien soñaba con llegar a ser el mejor jugador del mundo. Existía un gran evento al que apuntaba esta serie, El Mundial de Fútbol, donde solo los mejores jugadores tenían el privilegio de "pisar el césped mundialista".

"Pisar el césped mundialista", esta es una buena frase, que los auditores de hoy día deberían tener clara. El auditor de hoy, ya no compite a nivel local únicamente. El manejo de la información en la Era Digital, ha complicado el desempeño de los auditores comunes, de ahora en adelante el auditor deberá ser además un experto en tecnología y seguridad informática, dado que las "tendencias" lo han llevado a "pisar el césped mundialista". La pregunta es: ¿Cómo puede un auditor demostrar que posee los conocimientos apropiados para llevar a cabo una auditoria de sistemas? Bueno, la respuesta es "Certificaciones", el auditor debe acreditar Certificaciones. Lo que nos lleva a la siguiente pregunta: si en la localidad no existe aún carreras especializadas sobre la materia ¿De qué manera es posible obtener una Certificación?

ISACA nos ofrece una alternativa a la pregunta anterior, en su página de Internet, nos explica su filosofía:

"ISACA^® (isaca.org) ayuda a los profesionales globales a liderar, adaptar y asegurar la confianza en un mundo digital en evolución ofreciendo conocimiento, estándares, relaciones, acreditación y desarrollo de carrera innovadores y de primera clase."

 He colocado un énfasis sobre la frase: "profesionales globales", ya que esto confirma que "los auditores ya no son jugadores de liga local".

ISACA nos ofrece certificaciones que prometen incrementar nuestra calificación como profesionales de la auditoría, y por lo tanto nuestros ingresos, así como aportar valor a las organizaciones para las que trabajemos. Las certificaciones en cuestión son las siguientes:

- Certified Information Systems Auditor (CISA): Certificación para controlar, supervisar y evaluar los sistemas de tecnología de la información y de negocio de una organización.

- Certified Information Security Manager (CISM): Es la principal certificación para los administradores de seguridad de la información.

- Certified in the Governance of the Enterprise IT: CGEIT proporciona que la credibilidad para discutir temas críticos en torno a la gobernabilidad y la alineación estratégica basada en su experiencia reconocidas habilidades, el conocimiento y los negocios.

- Certified in Risk and information Systems Control: es la única certificación que posiciona a los profesionales de TI para el futuro crecimiento de la carrera, mediante la vinculación de la gestión del riesgo empresarial, y el posicionamiento como socios estratégicos del negocio.

- Certified CSX: ayudan a las personas demuestran sus habilidades y demostrar que conocen las últimas normas de la seguridad cibernética, y ofrecen a los empleadores la confianza de que sus empleados son hasta las tareas más exigentes.

"En un entorno tecnológicamente globalizado, el auditor, inevitablemente deberá orientarse con respecto a toda esta temática, y de ser posible certificarse, a fin de poder competir dignamente en este desenfrenado y brutal desarrollo tecnológico mundial"

TENDENCIAS DE LA AUDITORIA DE SISTEMAS

¿Qué es una tendencia? Una tendencia es como cuando todo el mundo andaba "traideando" en los básicos, y el que se quedaba sin novio/a era un fracasado/a. Si ¿recordás esos tiempos? Tenías que "agarrar" algo o te ibas "horrible" aguantando todo tipo de insultos y burlas. Tendencia, según esta experiencia, es como una práctica generalizada que ejerce cierta presión sobre aquellos que se resisten a formar parte de ella. Cómico, de alguna manera, pero es posible inferir una definición de ello.

Bueno, creo que vale la introducción. Y si nos trasladamos al campo del Auditoría de Sistemas hemos de decir que la tecnología está como los "shucos" en las banquetas y las esquinas: ¡A la orden del día! Vivimos en un mundo "tecnologotizado" o "tecnologizado"... bueno, lleno de tecnología, así como decían nuestras viejitas "cundido" de tecnología (recuerdo aquél niño cuya cabeza yacía cubierta de pequeños insectos, daba "cosa"). En fin, la tecnología no solo se encuentra en expansión, sino además, en pleno desarrollo, el control interno de las empresas cada vez está más relacionado con la tecnología, en consecuencia el auditor debe, no solamente actualizarse, pero además debe certificarse para encontrarse calificado ante este abrumador desarrollo. 

Según la página http://revistas.usc.edu.co:

"Por esta razón la comunidad empresarial y académica , han iniciado , serios movimientos para  dar respuesta apropiada a la expectativa de las áreas que se ocupan en las organizaciones de gestionar estas herramientas ,  que son promovidas por institutos y entidades de  normalización, que trabajan para indicar tendencias sobre seguridad, control y Auditoria a los Sistemas de Información , fortalecer  la calidad  y proporcionar a los auditores estándares , guías y procedimientos que facilitan el trabajo de evaluación de los Sistemas Informáticos."

Recuerdo cuando mis pequeños e ingenuos ojos, apreciaron por primera vez las famosos "cincos" (canicas), y pronto, empecé a practicar para convertirme en la leyenda del vecindario, aquél niño intrépido y habilidoso que sabía todos los tiros y jugadas posibles. Sin embargo, cada vez que pensaba que ya había alcanzado cierto nivel, me encontraba con que habían nuevas formas de jugar, nuevos tiros y hasta las diferentes modalidades de juego ("a la menta o la débera"). Así que se volvió una rutina de actualización constante. Pues, como esta y toda actividad humana, la información, los procedimientos, el control, los métodos y las herramientas se encuentran en constante evolución. De esta cuenta, que el auditor deba, continuamente, actualizarse e informarse sobre las tendencias acerca de cada uno de estos elementos. 

Por ejemplo, SINFOPAC Internacional (empresa dedicada a satisfacer las necesidades de auditores y contables, mediante soluciones automatizadas y eficientes), su filosofía reza:

"Ofrecer productos y servicios de profesionales para profesionales"

Ofrecen dentro de sus principales herramientas:

- DS Audit: Herramienta para efectuar auditorias de acuerdo con NIIF y NIA.

- DS muestreo: Herramienta para llevar a cabo muestreos de forma precisa y altamente técnica.

- DS diario: Herramienta para capturar las pólizas diarias, con el objeto de realizar un examen minucioso.

- DS Inspector: Herramienta para análisis de información digital de diversos tipos.

- DS Consolidation: Herramienta para consolidar Estados Financieros.

Sin embargo la historia no termina aquí, ya que las herramientas informáticas para hacer auditoria solo nos demuestran la importancia de la tecnología en el tiempo actual. Hace falta ir más allá de la Auditoria de Estados Financieros, puesto que ahora no se busca solamente la confiabilidad de la información, también se busca, con la misma importancia o quizás mayor, la "seguridad" de la información. Por lo que el auditor moderno, deberá abrirse paso a través de esta interminable selva tecnológica y hacerse con las herramientas más adecuadas para examinar la seguridad de la información, en un entorno cada vez más automatizado y computarizado.