T.S.U.

Alexander González

Auditoria Informática IV-II

Unidad 3

Principios deontológicos del auditor informático.

A continuación, se especifican a manera de características cada uno de los

principios propios del auditor informático.

 Principio de Beneficio del auditado. Aquí se refiere al hecho de que se debe de

obtener el máximo beneficio con el equipo con que se cuenta, además de que
el auditor debe ser ajeno a la empresa y sus integrantes además de que no
debe de salir beneficiado con la auditoria.
 Principio de calidad. El auditor debe brindar un trabajo de calidad con las
herramientas que tiene, pues tiene la libertad de utilizar todo lo que cra
necesario y con las condiciones técnicas adecuadas.
 Principio de capacidad. El auditor debe de ser capaz de realizar su tarea,
además de estar consciente de sus capacidades y aptitudes.
 Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no
inducir a gastos o acciones innecesarias.
 Principio de comportamiento profesional. Exige estar consiente de sus virtudes
y deficiencias, además de que debe saber pedir ayuda y dar el crédito a quien
lo merezca y así mismo debe de respetar la política y puntos de vista de la
empresa que audita.
 Principio de concentración en el trabajo. Involucra poner énfasis y dedicar
tiempo a cada tarea, no copy-paste.
 Principio de confianza. El auditor debe ser confiable, tanto de hechos y palabra.
 Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones
o instrucciones de otros, debe de actuar según su propia opinión.
 Principio de discreción. Debe de ser reservado tanto en hechos y palabras, no
hablar de más.
 Principio de economía. No debe inducir a gastos innecesarios.
 Principio de capacitación continua. Este obligado a seguirse preparando dentro
de su rubro.
  Principio de fortalecimiento y respeto a u profesión. Debe de cuidar el valor de
sus trabajos y conclusiones.
 Principio de Independencia. Debe de ser autónomo, autosuficiente y no
depender de otros para realizar su tarea.
 Principio de información suficiente. El auditor debe de brindar información
suficiente, clara y precisa en sus resultados.
 Principio de Integridad Moral. El auditor debe de ser íntegro y evitar participar
en actos de corrupción personal y a terceros.

¿Qué hace un auditor informático?

Es el encargado de llevar cabo auditorías de sistemas de información o

auditorías TI que tienen como objetivo mejorar, gestionar y sostener los procesos
de TI y de negocio y lo hacen ofreciendo soluciones pragmáticas.
Rol del auditor informático.

Un auditor informático (también llamado auditor de sistemas o auditor TI)

analiza los procesos dentro de una empresa e identifica el potencial de
optimización identificando debilidades y disfunciones.

La mayoría de los auditores trabajan en pequeños equipos de hasta cuatro

personas y son el enlace comunicativo entre departamentos y dirección. Actúan
como observadores que se comunican con todos los departamentos entrevistando
a los empleados, pero también evaluando los datos y revisando los documentos
(manuales de la empresa, descripciones de procesos y especificaciones de
productos).

Se ocupan de la resolución de problemas y de investigar las oportunidades

de mejora. Los resultados obtenidos se discuten con los directores de los
departamentos pertinentes y se crea una estrategia de posibles soluciones y planes
de acción.

El auditor informático plasma finalmente todas las recomendaciones en

un informe final que la empresa tomará sin carácter vinculante. Es decir, la empresa
decidirá independientemente que decisiones tomar.
Responsabilidades y funciones del auditor de sistemas de
información:

 Comprobar el statu quo de una empresa

 Comunicación con todos los departamentos y niveles de gestión
 Recopilación de información y análisis de la misma
 Identificación de desvíos en datos, procesos y sistemas
 Identificación de las posibilidades de mejora
 Evaluación de los datos internos de la empresa
 Examinar los controles informáticos internos
 Evaluar el diseño y la eficacia operativa para determinar el riesgo
 Desarrollar soluciones y estrategias
 Definir informe final con resultados

Personal involucrado

Una de las partes más importantes dentro de la planeación de la auditoría en

informática es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado

control es que el personal que intervengan esté debidamente capacitado, con alto
sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se
le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos,

práctica profesional y capacitación que debe tener el personal que intervendrá en la
auditoría. En primer lugar, se debe pensar que hay personal asignado por la
organización, con el suficiente nivel para poder coordinar el desarrollo de la
auditoría, proporcionar toda la información que se solicite y programar las reuniones
y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta

dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o
varias personas del área a auditar, sería casi imposible obtener información en el
momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite información o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto
de vista de la dirección de informática, sino también el del usuario del sistema.
 Para completar el grupo, como colaboradores directos en la realización de la
auditoría se deben tener personas con las siguientes características:

• Técnico en informática.

• Experiencia en el área de informática.

• Experiencia en operación y análisis de sistemas.

• Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con

conocimientos y experiencia en áreas específicas como base de datos, redes, etc.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias
señaladas, pero si deben intervenir una o varias personas con las características
apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato

donde figura el organismo, las fases y sub-fases que comprenden la descripción de
la actividad, el número de personas participantes, las fechas estimadas de inicio y
terminación, el número de días hábiles y el número de días/hombre estimado. El
control del avance de la auditoría lo podemos llevar mediante el anexo en el cual
nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo
se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos
estimados y en el tiempo señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el

trabajo elaborado por cualquiera de los asistentes. Como ejemplo de propuesta de
auditoría en informática.

Saberes del auditor informático

 Los auditores necesitan conocimientos sólidos en las áreas de contabilidad,
control o auditoría. Y, además, el auditor informático suele tener una experiencia
previa en el sector TI. Además, es importante comprender los procesos
empresariales de una empresa, ya que un auditor coopera con diversos
departamentos y necesita una comprensión básica de los mecanismos que hay
detrás de los procesos.

Para llevar a cabo el examen de los procesos de la manera más eficaz

posible, un auditor informático debe pensar de manera analítica y desarrollar
soluciones estructuradas y lógicas. Las comunica de forma segura y es capaz de
presentar sus enfoques de forma convincente. Sin embargo, la empatía y el trabajo
en equipo también son necesarios al entrevistar a los empleados para identificar los
problemas.

¿Qué debe saber un auditor de sistemas de la información?

 Conocimientos en el área de control y contabilidad

 Conocimientos de Norma UNE-EN ISO 19011:2018 y marcos
internacionales como COBIT 4.1 / 5, COSO, Val IT, Risk IT
 Operaciones y procesos comerciales
 Experiencia con cortafuegos, seguridad de Office 365, VSX y seguridad de
puntos finales.
 Conocimiento de aplicaciones financieras y de IT – SAP, QAD, MFG Pro.
 Comprensión de las metodologías de auditoría de TI
 Conocimiento de software para auditorias informáticas como Winaudit
 Herramientas de análisis de datos como IDEA/ACL
 Sentido analítico y habilidades de resolución de problemas.
 Una forma estructurada de trabajar y operar
 Excelentes habilidades de comunicación y trabajo en equipo

Técnicas y herramientas del auditor de sistemas

Técnicas
Son los procedimientos que se usan en el desarrollo de un proyecto de auditoría
informática. Estas son algunas de las técnicas más comunes y aceptadas:

 Análisis y diseño estructurado

 Gráficas de Pert
 Gráficas de Gantt
 Documentación
 Programación estructurada
 Modulación de datos y procesos
  Entrevistas

Herramientas
Son el conjunto de elementos que permiten llevar a cabo las acciones
definidas en las técnicas. Las herramientas utilizadas son: cuestionarios,
entrevistas, checklist, trazas y software de interrogación.
Los cuestionarios es la herramienta punto de partida que permiten obtener
información y documentación de todo el proceso de una organización, que piensa
ser auditado.
El auditor debe realizar una tarea de campo para obtener la información
necesaria, basado en evidencias o hechos demostrables. Inicia su trabajo
solicitando que se complementen los cuestionarios enviados a las personas
correspondientes, marcadas por el auditor. Los cuestionarios no tienen que ser los
mismos en caso de organizaciones distintas, ya que deben ser específicos para
cada situación.
La fase de cuestionarios puede omitirse si el auditor ha podido recabar la
información por otro medio.
La segunda herramienta a utilizar es la entrevista, en la que llega a obtener
información más específica que la obtenida mediante cuestionarios, utilizando el
método del interrogatorio, con preguntas variadas y sencillas, pero que han sido
convenientemente elaboradas.
La tercera herramienta que se utiliza es el checklist, conjunto de preguntas
respondidas en la mayoría de las veces oralmente, destinados principalmente a
personal técnico. Por estos motivos deben ser realizadas en un orden determinado,
muy sistematizadas, coherentes y clasificadas por materias, permitiendo que el
auditado responda claramente.
Existen dos tipos de filosofía en la generación de checklists:

 De rango: las preguntas han de ser puntuadas en un rango establecido (por

ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y 5 la más positiva)
 Binaria: las respuestas sólo tienen dos valores (de ahí su nombre) cuya
respuesta puede ser Si o No.

La primera filosofía permite una mayor precisión en la evaluación, aunque

depende, claro está, del equipo auditor. Los binarios, con una elaboración más
compleja, deben ser más precisos.
No existen checklists estándares, ya que cada organización y su auditoría tienen
sus peculiaridades.
La siguiente herramienta que se utiliza, las trazas, se basa en el uso de
software, que permiten conocer todos los pasos seguidos por la información, sin
interferir el sistema. Además del uso de las trazas, el auditor utilizará, los ficheros
que el próximo sistema genera y que recoge todas las actividades que se realizan
y la modificación de los datos, que se conoce con el nombre de log.
El log almacena toda aquella información que ha ido cambiando y como ha ido
cambiando, de forma cronológica.
En los últimos años se ha utilizado el software de interrogación para auditar
ficheros y bases de datos de la organización.
Las herramientas de productividad permiten optimizar recursos en el
desarrollo del proyecto. Las más comunes son:

 Procesadores de datos: incluye la documentación, entrevistas, los

cuestionarios, …
 Diagramas: flujo, de organización, …
 Gráficas: de estadísticas, de tiempo, …
 Productos CASE para el modelo de datos, procesos, …
 Impresoras y ordenadores
 Protocolos de seguridad informática…

Patrones de evaluación y control en recursos humanos

La auditoría de recursos humanos puede definirse como el análisis de las
políticas y prácticas de personal de una empresa y la evaluación de su
funcionamiento actual, seguida de sugerencias para mejorar. El propósito principal
de la auditoria de recursos humanos es mostrar cómo está funcionado
el programa, localizando prácticas y condiciones que son perjudiciales para la
empresa o que no están justificando su costo, o prácticas y condiciones que deben
incrementarse.
La auditoría es un sistema de revisión y control para informar a la
administración sobre la eficiencia y la eficacia del programa que lleva a cabo.
El sistema de administración de recursos humanos necesita patrones capaces de
permitir una continua evaluación y control sistemático de su funcionamiento.
Patrón en in criterio o un modelo que se establece previamente para permitir la
comparación con los resultados o con los objetivos alcanzados. Por medio de la
comparación con el patrón pueden evaluarse los resultados obtenidos y verificar
que ajustes y correcciones deben realizarse en el sistema, con el fin de que funcione
mejor.

Se utilizan varios patrones, esto pueden ser:

1) Patrones de cantidad: son los que se expresan en números o en cantidades,
como número de empleados, porcentaje de rotación de empleados, numero de
admisiones, índice de accidentes, etc.
2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables,
como métodos de selección de empleados, resultados de entrenamiento,
funcionamiento de la evaluación del desempeño. Etc.,
3) Patones de tiempo: consisten en la rapidez con que se integra e personal recién
admitido, la permanencia promedio del empleado en la empresa, el tiempo de
procesamiento de las requisiciones de personal, etc.
4) Patones de costo: son los costos, directos e indirectos, de la rotación de personal,
de los accidentes en el trabajo, de los beneficios sociales, de las obligaciones
sociales, de la relación costo-beneficio del entrenamiento.

Los patrones permiten la evaluación y el control por medio de la comparación con:

1) Resultados finales: cuando la comparación entra el patrón y la variable se hace
después de realizada la operación. La medición se realiza en términos de algo
rápido y acabado, en el fin de la línea, lo cual presenta el inconveniente de mostrar
los aciertos y las fallas de una operación ya terminada, una especie de partida de
defunción de algo que ya sucedió.
2) Desempeño: cuando la comparación entre el patrón y la variable se hace
simultáneamente con la operación, es decir, cuando la comparación acompaña ala
ejecución de la operación. La medición es concomitante con el procesamiento de
operación. A pesar de que se realiza en forma simultánea, lo que quiere decir es
que es actual, la medición se realiza sobre una operación en proceso y no terminada
aún.

La comparación es la función de verificar el grado de concordancia entra una

variable u su patrón. La ARH se encarga de planear, organizar y controlar las
actividades relacionadas con la vida del personal en la empresa. Parte de la
ejecución de estas actividades al realizan los organismos de recursos humanos, en
tantos que alguna parte de ella la realizan diversos organismos de línea. De este
modo las actividades de recursos humanos planeadas y organizadas con antelación
muestran durante su ejecución y control algunas dificultades y distorsiones que
requieren ser diagnosticadas y superadas, con el fin de evitar mayores problemas.
La rapidez con que esto se haga depende de una revisión y auditorias permanentes,
capaces de suministrar una adecuada retroalimentación para que los aspectos
positivos puedan mejorarse y los negativos, corregirse y ajustarse.
La función de auditoria no es solo señalar las fallas y los problemas, sino también
presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de
recursos humanos es fundamentalmente educativo.
Formación y perfil del auditor informático

Generalmente las auditorías informáticas son realizadas por perfiles

universitarios y con experiencia demostrada en el sector en el que trabajan. La
especialización concreta dependerá mucho de la materia exacta auditable.

Un auditor TI puede tener prácticamente cualquier formación, pero con

frecuencia son también técnicos en sistemas, ingenieros informáticos o de las
telecomunicaciones, o tienen un grado en administración de empresas.

Los perfiles profesionales que más suelen realizar las auditorías TI son:
administradores de bases de datos, informáticos, expertos en gestión y desarrollo
de proyectos o economistas expertos en gestión de costes.

Muchas empresas valoran que el auditor informatico tenga la certificación

CISA (Certified Information Systems Auditor).