Principios deontolgicos del auditor Principios deontologicos del auditor informatico.

{ febrero 19, 2010 @ 7:06 pm } { Unidad I } { Tags: Principios deontologicos }

A continuacion se especifican a manera de caracteristicas cada uno de los principios propios del auditor informatico.

Principio de Beneficio del auditado. Aqui se refiere al hecho de que se debe de obtener el maximo beneficio con el equipo con que se cuenta, adems de que el auditor debe ser ajeno a la empresa y sus integrantes adems de que no debe de salir beneficiado con la auditoria. Principio de calidad.El auditor debe brindar un trabajo de calidad con las herramientas que tiene, pues tiene la libertad de utilizar todo lo que cra necesario y con las condiciones tecnicas adecuadas. Principio de capacidad. El auditor debe de ser capaz de realizar su tarea, adems de estar consiente de sus capacidades y aptitudes. Principio de cautela. Debe de ser cuidadoso a la hora de expresarse para no inducir a gastos o acciones innecesarias. Principio de comportamiento profesional. Exige estar consiente de sus virtudes y deficiencias, adems de que debe saber pedir ayuda y dar el credito a quien lo merezca y asi mismo debe de respetar la politica y puntos de vista de la empresa que audita. Principio de concentracion en el trabajo. Involucra poner enfasis y dedicar tiempo a cada tarea, no copy-paste. Principio de confianza. El auditor debe ser confiable, tanto de hechos y palabra. Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones o instrucciones de otros, debe de actuar segn su propia opinion. Principio de discrecion. Debe de ser reservado tanto en hechos y palabras, no hablar de ms. Principio de economia. No debe inducir a gastos innecesarios. Principio de capacitacion continua. Esta obligado a seguirse preparando dentro de su rubro. Principio de fortalecimiento y respeto a u profesion. Debe de cuidar el valor de sus trabajos y conclusiones.

Principio de Independencia. Debe de ser autonomo, autosuficiente y no depender de otros para realizar su tarea. Principio de informacion suficiente. El auditor debe de brindar informacion suficiente, clara y precisa en sus resltados. Principio de Integridad Moral. El auditor debe de ser integro y evitar participar en actos de corrupcion personal y a terceros. Rol del auditor

Usted sabe cules son los asuntos ms importantes para su organizacin en estos momentos?. Se ha preguntado por qu auditar todos los procesos con la misma frecuencia?. Su equipo conoce cules son los procesos crticos o de importancia para el negocio? Estos son algunos de las interrogantes que los directores de Auditora Interna (AI) debern responder para conocer qu esperan de ellos la Direccin y el Comit de Auditora. Para planificar la actividad de AI no slo ser necesario que los directivos del sector asuman la responsabilidad de identificar riesgos, sino tambin que los comprendan en funcin del negocio. Y, para que el plan resulte exitoso, se tendr que aceptar el desafo de racionalizar las operaciones, con la menor cantidad de controles clave relacionados con los riesgos inherentes importantes. Se debe disponer de una visin flexible y creativa que posibilite adems vincular los peligros empresariales con las oportunidades del mercado y encontrar las herramientas ms efectivas para medirlos. En sntesis, los ejecutivos de AI deben tener un panorama preciso del grado de exposicin de la organizacin, o dicho de otro modo, del entorno de riesgo en el cual se desempean. Por ello, uno de los aspectos importantes a tener en cuenta en forma previa ser interiorizarse del plan estratgico que tiene la compaa -cules son sus metas?-, para determinar los eventos que dificultarn llegar a los objetivos y evaluar aquellos que tendrn mayor probabilidad de ocurrencia, as como el nivel de consecuencias que traern aparejadas. Contar con ese nivel de conocimiento contribuir a definir con mayor precisin el foco de atencin del programa de AI y a establecer los procesos sobre los cuales concentrar la

atencin, en particular si la intencin es que el resultado de las mismas se transforme en una herramienta efectiva que contribuya a la gestin. Tambin, se deber tener un especial cuidado para definir los procesos a auditar; no es recomendable centrar la mirada slo en aquello sobre lo que la Direccin a puesto su atencin, los ejecutivos de auditora interna deben ser capaces de distinguir aquellos procesos y riesgos que resulten indispensables monitorear, que surjan de sus propias evaluaciones, para realmente agregar valor. Por ello deben ser proactivos, vencer la resistencia a los cambios y estar dispuestos a ser innovadores si quieren dar respuestas efectivas. Centrarse en los problemas futuros y anticiparse a ellos demandar contar con una visin en el largo plazo, para actuar con conviccin dentro de un entorno de riesgos presente, inmerso en una cultura interna y de gestin que no se deber desestimar. Para esto, es recomendable que se cuente con buenas prcticas, se renueve la metodologa de auditora y se defina a la calidad como consigna , como una herramienta obligatoria para mejorar sus procesos, de forma tal que pueda garantizar no slo la mejora continua de lo que audita o detectar sus deficiencias, sino tambin de los asuntos que comprenden la propia funcin AI. El desafo de los directores del sector es garantizar a su organizacin que no slo cumplen con su plan de auditora, sino que lo hacen adems con la mxima calidad. Para ello es aconsejable unaadecuada implementacin de programas de aseguramiento de eficacia de la prctica, que incluyan no slo evaluaciones internas sino tambin externas. La atencin debe estar centrada en poder medir si su rol es realmente efectivo y cubre las expectativas de la Direccin y del Comit de Auditora, al cual se le presta servicio en lo referido a valor agregado, practicidad y pertinencia. Adems, interiorizarse de si se cuenta con equipos de auditores internos idneos y expertos, que cumplan con las competencias requeridas para ejercer sus funciones. As como tambin,verificar la validez de las metodologas, herramientas y tcnicas que aplican en su rea. Hay que tener en cuenta que no se puede mejorar lo que no se mide; -de ah la importancia- de definir indicadores de gestin para medir sus propios procesos, que le permitan evaluar la organizacin y el funcionamiento de su propia rea , conocer

el nivel de desempeo de su equipo de auditores y la percepcin que la organizacin tiene sobre el rea a su cargo. Como conclusin, si se quiere mejorar la eficacia y desempear en forma efectiva la funcin de auditora, hay que determinar si se cumple lo establecido por el Estatuto de Auditora Interna, se cubren las expectativas de la Direccin y del Comit de Auditora, se aplica correctamente el Cdigo de tica de la profesin y si se da cumplimiento a los estndares the Institute of Internal Auditors (IIA) para evaluaciones de calidad QA, aplicando el marco normativo internacional para la prctica profesional de la AI, a travs de evaluaciones peridicas de calidad, tanto internas como externas
Personal involucrado Saberes del auditor Saberes del auditor Herramientas y Tcnicas parala Auditora Informtica:

Cuestionarios:
Las auditoras informticas se materializanrecabando informacin y documentacin de todo tipo. Los informes finales de losauditores dependen de sus capacidades para analizar las situaciones dedebilidad o fortaleza de los diferentes entornos. El trabajo de campo delauditor consiste en lograr toda la informacin necesaria para la emisin de unjuicio global objetivo, siempre amparado en hechos demostrables, llamadostambin evidencias. Para esto, suele ser lo habitual comenzarsolicitando la cumplimentacin de cuestionarios preimpresos que se envan a laspersonas concretas que el auditor cree adecuadas, sin que sea obligatorio quedichas personas sean las responsables oficiales de las diversas reas aauditar. Estos cuestionarios no pueden ni deben serrepetidos para instalaciones distintas, sino diferentes y muy especficos paracada situacin, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza ladocumentacin recibida, de modo que tal anlisis determine a su vez lainformacin que deber elaborar el propio auditor. El cruzamiento de ambostipos de informacin es una de las bases fundamentales de la auditora. Cabe aclarar, que esta primera fase puedeomitirse cuando los auditores hayan adquirido por otro medios la informacinque aquellos preimpresos hubieran proporcionado.

Entrevistas:
El auditor comienza a continuacin las relacionespersonales con el auditado. Lo hace de tres formas: 1. Mediante la peticin de documentacin concreta sobre alguna materia de su responsabilidad.

2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un mtodo estricto de sometimiento a un cuestionario. 3. Por medio de entrevistas en las que el auditor sigue un mtodo preestablecido de antemano y busca unas finalidades concretas. La entrevista es una de las actividadespersonales ms importante del auditor; en ellas, ste recoge ms informacin, ymejor matizada, que la proporcionada por medios propios puramente tcnicos opor las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes,la entrevista entre auditor y auditado se basa fundamentalmente en el conceptode interrogatorio; es lo que hace un auditor, interroga y se interroga a smismo. El auditor informtico experto entrevista al auditado siguiendo uncuidadoso sistema previamente establecido, consistente en que bajo la forma deuna conversacin correcta y lo menos tensa posible, el auditado contestesencillamente y con pulcritud a una serie de preguntas variadas, tambinsencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existiruna preparacin muy elaborada y sistematizada, y que es diferente para cadacaso particular.

Checklist:
El auditor profesional y experto es aqul quereelabora muchas veces sus cuestionarios en funcin de los escenariosauditados. Tiene claro lo que necesita saber, y por qu. Sus cuestionarios sonvitales para el trabajo de anlisis, cruzamiento y sntesis posterior, lo cualno quiere decir que haya de someter al auditado a unas preguntas estereotipadasque no conducen a nada. Muy por el contrario, el auditor conversar y harpreguntas "normales", que en realidad servirn para lacumplimentacin sistemtica de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de lasChecklists, ya que consideran que leerle una pila de preguntas recitadas dememoria o ledas en voz alta descalifica al auditor informtico. Pero esto noes usar Checklists, es una evidente falta de profesionalismo. Elprofesionalismo pasa por un procesamiento interno de informacin a fin deobtener respuestas coherentes que permitan una correcta descripcin de puntosdbiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadasque han de formularse flexiblemente. El conjunto de estas preguntas recibe el nombrede Checklist. Salvo excepciones, las Checklists deben ser contestadasoralmente, ya que superan en riqueza y generalizacin a cualquier otra forma. Segn la claridad de las preguntas y el talantedel auditor, el auditado responder desde posiciones muy distintas y condisposicin muy variable. El auditado, habitualmente informtico de profesin,percibe con cierta facilidad el perfil tcnico y los conocimientos del auditor,precisamente a travs de las preguntas que ste le formula. Esta percepcinconfigura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradaslistas de preguntas muy sistematizadas, coherentes y clasificadas por materias,todava lo es ms el modo y el orden de su formulacin. Las empresas externasde Auditora Informtica guardan sus Checklists, pero de poco sirven si elauditor no las utiliza adecuada y oportunamente. No debe olvidarse que lafuncin auditora se ejerce sobre bases de autoridad, prestigio y tica. El auditor deber aplicar la Checklist de modoque el auditado responda clara y escuetamente. Se deber interrumpir lo menosposible a ste, y solamente en los casos en que las respuestas se aparten sustancialmentede la pregunta. En algunas ocasiones, se har necesario invitar a aqul a queexponga con mayor amplitud un tema concreto, y en cualquier caso, se deberevitar absolutamente la presin sobre el mismo. Algunas de las preguntas de las Checklistsutilizadas para cada sector, deben ser repetidas. En efecto, bajo aparienciadistinta, el auditor formular preguntas equivalentes a las mismas o adistintas personas, en las mismas fechas, o en fechas diferentes. De este modo,se podrn descubrir con mayor facilidad los puntos contradictorios; el auditordeber analizar los matices de las respuestas y reelaborar preguntascomplementarias cuando hayan existido contradicciones, hasta conseguir lahomogeneidad. El entrevistado no debe percibir un excesivo formalismo en laspreguntas. El auditor, por su parte, tomar las notas imprescindibles enpresencia del auditado, y nunca escribir cruces ni marcar cuestionarios en supresencia. Los cuestionarios o Checklists respondenfundamentalmente a dos tipos de "filosofa" de calificacin oevaluacin: a. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta ms negativa y el 5 el valor ms positivo)

Ejemplode Checklist de rango:

Sesupone que se est realizando una auditora sobre la seguridad fsica de unainstalacin y, dentro de ella, se analiza el control de los accesos de personasy cosas al Centro de Clculo. Podran formularse las preguntas que figuran acontinuacin, en donde las respuestas tiene los siguientes significados: 1: Muy deficiente. 2: Deficiente. 3: Mejorable. 4: Aceptable. 5: Correcto. Sefiguran posibles respuestas de los auditados. Las preguntas deben sucederse sinque parezcan encorsetadas ni clasificadas previamente. Basta con que el auditorlleve un pequeo guin. La cumplimentacin de la Checklist no debe realizarseen presencia del auditado.

-Existepersonal especfico de vigilancia externa al edificio? -No,solamente un guarda por la noche que atiende adems otra instalacin adyacente. <Puntuacin:1> -Parala vigilancia interna del edificio, Hay al menos un vigilante por turno en losaledaos del Centro de Clculo? -Si,pero sube a las otras 4 plantas cuando se le necesita. <Puntuacin:2> -Haysalida de emergencia adems de la habilitada para la entrada y salida demquinas? -Si,pero existen cajas apiladas en dicha puerta. Algunas veces las quitan. <Puntuacin:2> -Elpersonal de Comunicaciones, Puede entrar directamente en la Sala deComputadoras? -No,solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas quepor causa muy justificada, y avisando casi siempre al Jefe de Explotacin. <Puntuacin:4> Elresultado sera el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25Deficiente. b. Checklist de rango c. Checklist Binaria Es la constituida por preguntas con respuestanica y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero),respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin delos mtodos de pruebas de programas en el mbito de Desarrollo de Proyectos. -Existe Normativa de que el usuario finalcompruebe los resultados finales de los programas? <Puntuacin: 1> -Conoce el personal de Desarrollo la existenciade la anterior normativa? <Puntuacin: 1> -Se aplica dicha norma en todos los casos? <Puntuacin: 0> -Existe una norma por la cual las pruebas han derealizarse con juegos de ensayo o copia de Bases de Datos reales? <Puntuacion: 0> Obsrvese como en este caso estn contestadas lassiguientes preguntas: -Se conoce la norma anterior? <Puntuacin: 0> -Se aplica en todos los casos?

<Puntuacin: 0> Las Checklists de rango son adecuadas si elequipo auditor no es muy grande y mantiene criterios uniformes y equivalentesen las valoraciones. Permiten una mayor precisin en la evaluacin que en lachecklist binaria. Sin embargo, la bondad del mtodo depende excesivamente dela formacin y competencia del equipo auditor. Las Checklists Binarias siguen una elaboracininicial mucho ms ardua y compleja. Deben ser de gran precisin, comocorresponde a la suma precisin de la respuesta. Una vez construidas, tienen laventaja de exigir menos uniformidad del equipo auditor y el inconvenientegenrico del <si o no> frente a la mayor riqueza del intervalo. No existen Checklists estndar para todas y cadauna de las instalaciones informticas a auditar. Cada una de ellas poseepeculiaridades que hacen necesarios los retoques de adaptacin correspondientesen las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informtico debeverificar que los programas, tanto de los Sistemas como de usuario, realizanexactamente las funciones previstas, y no otras. Para ello se apoya enproductos Software muy potentes y modulares que, entre otras funciones,rastrean los caminos que siguen los datos a travs del programa. Muy especialmente, estas "Trazas" seutilizan para comprobar la ejecucin de las validaciones de datos previstas.Las mencionadas trazas no deben modificar en absoluto el Sistema. Si laherramienta auditora produce incrementos apreciables de carga, se convendr deantemano las fechas y horas ms adecuadas para su empleo. Por lo que se refiere al anlisis del Sistema,los auditores informticos emplean productos que comprueban los valoresasignados por Tcnica de Sistemas a cada uno de los parmetros variables de lasLibreras ms importantes del mismo. Estos parmetros variables deben estardentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunasinstalaciones descompensan el nmero de iniciadores de trabajos de determinadosentornos o toman criterios especialmente restrictivos o permisivos en laasignacin de unidades de servicio para segn cuales tipos carga. Estasactuaciones, en principio tiles, pueden resultar contraproducentes si setraspasan los lmites. No obstante la utilidad de las Trazas, ha derepetirse lo expuesto en la descripcin de la auditora informtica deSistemas: el auditor informtico emplea preferentemente la amplia informacinque proporciona el propio Sistema: As, los ficheros de <Accounting> o de<contabilidad>, en donde se encuentra la produccin completa de aqul, ylos <Log*> de dicho Sistema, en donde se recogen las modificaciones dedatos y se pormenoriza la actividad general. Del mismo modo, el Sistema genera automticamenteexacta informacin sobre el tratamiento de errores de maquina central,perifricos, etc.

[La auditora financiero-contable convencionalemplea trazas con mucha frecuencia. Son programas encaminados a verificar locorrecto de los clculos de nminas, primas, etc.].

*Log:
El log vendra a ser un historial que informa quefue cambiando y cmo fue cambiando (informacin). Las bases de datos, porejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Lastransacciones son unidades atmicas de cambios dentro de una base de datos;toda esa serie de cambios se encuadra dentro de una transaccin, y todo lo queva haciendo la Aplicacin (grabar, modificar, borrar) dentro de esatransaccin, queda grabado en el log. La transaccin tiene un principio y unfin, cuando la transaccin llega a su fin, se vuelca todo a la base de datos.Si en el medio de la transaccin se cort por x razn, lo que se hace es volverpara atrs. El log te permite analizar cronolgicamente que es lo que sucedicon la informacin que est en el Sistema o que existe dentro de la base dedatos. Tericos Conceptos generales de auditora. Tipos de auditoras y su relacin con la auditora informtica (fiscal, operativa, integral, administrativa). Concepto de la funcin de auditora informtica. El marco jurdico de la auditora informtica. Funcin del auditor informtico. Perfiles profesionales de la funcin de auditora informtica Repaso del cdigo de tica informtica. Auditora Administrativa Metodologa (Planeacin, Heursticos Identificacin bajo una visin las distintas clases de auditoras Identificacin de la importancia de la auditoria informtica Identificacin de las actividades primordiales del auditor. Reconocimiento de los lineamientos profesionales Elaboracin de la parte metodolgica de la auditora (objetivos, planes, instrumentos, guas, cursos) Investigacin de la informacin de la entidad a auditar. Estudio de casos axiolgicos Discrecin Responsabilidad Colaboracin Compromiso Apertura Respeto Disposicin al cambio Flexibilidad

general de la importancia de Honestidad

Ejecucin, Evaluacin, Presentacin, Conclusin). Elementos a evaluar (planeacin, organizacin, implementacin, direccin y control). Informe final La propuesta Planeacin de la Auditora Organizacin de la funcin de auditora informtica Estudio de Metodologas Mtodos, tcnicas y herramientas para el re

Ponderacin de cada elemento. Elaboracin de un documento con los resultados parciales y globales de los elementos que se evaluaron.

Recursos Humanos y Perfiles de los Auditores Informticos. Recursosy Perfiles del Auditor Informticos Localizacin ligada a la de auditora interna,con independencia de objetivos, de planes de formacin y de presupuestos Grupo independiente del de auditora interna, contotal accesibilidad a los sistemas informticos Dependencia del mximo responsable operativo dela organizacin Recursos humanos mezcla equilibrada entrepersonas con formacin en auditora y organizacin, y personas con perfilinformtico Personal con titulacin CISA El tamao slo se puede precisar en funcin delos objetivos de la funcin.