El auditor puede actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y administración que le sean propios. Además, puede actuar como consejero con la organización en la que está desarrollando su labor. Un entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización.
El auditor informático debe ser una persona con un alto grado de calificación técnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Se deben contemplar las siguientes características de un perfil profesional adecuado y actualizado: 1) Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general. En el área informática, se debe tener conocimientos básicos de: •Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo) •Administración del Departamento de Informática •Análisis de riesgos en un entorno informático •Sistemas operativos •Telecomunicaciones •Administración de Bases de Datos •Redes locales •Seguridad física •Operación y planificación informática (efectividad de las operaciones y rendimiento del sistema) •Administración de seguridad de los sistemas (planes de contingencia) •Administración del cambio •Administración de Datos •Automatización de oficinas (ofimática) •Comercio electrónico •Encriptación de datos 2) Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial; Por ejemplo, en un entorno financiero pueden tener mucha importancia las comunicaciones, por lo que se debe tener una especialización en esa rama. 3) Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen. 4) Debe tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa y que los resultados sean aceptados en su totalidad.
Es responsable de realizar las siguientes actividades para la función de la Auditoría Informática: •Verificación del control interno tanto de las aplicaciones como de los SI, periféricos, etc. •Análisis de la administración de Sistemas de Información, desde un punto de vista de riesgo de seguridad, administración y efectividad de la administración. •Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones. •Auditoría del riesgo operativo de los circuitos de información •Análisis de la administración de los riesgos de la información y de la seguridad implícita. •Verificación del nivel de continuidad de las operaciones. •Análisis del Estado del Arte tecnológico de la instalación revisada y las consecuencias empresariales que un desfase tecnológico puede acarrear. •Diagnóstico del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa
También el auditor informático es responsable de establecer los objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno. Después de que los objetivos de auditoría se hayan establecido, el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras.
Además de analizar el grado de implantación y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dándole ideas de cómo establecer procedimientos de seguridad, control interno, efectividad y eficacia, medición del riesgo empresarial, entre otros.
Organización de la función de Auditoría Informática La función de la auditoría informática se ha convertido en una función que desarrolla un trabajo más acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y análisis. El auditor informático pasa a ser auditor y consultor de empresas en materias de: •Seguridad •Control interno operativo •Eficiencia y eficacia •Tecnologías de Información •Continuidad de operaciones •Administración de riesgos
No solamente de los SI objeto de su estudio, sino de las relaciones e implicaciones operativas que dichos sistemas tienen en el contexto empresarial. La organización de la auditoría informática debe contemplar los siguientes principios:
•Su localización puede estar ligada a la auditoría interna operativa y financiera (aunque exista una coordinación lógica entre ambos departamentos), con independencia de objetivos, planes de formación y presupuestos. •Debe ser un grupo independiente del de auditoría interna, con acceso total a los SI y demás tecnología, que depende de la misma persona que la auditoría interna (Director General o Consejero) •La dependencia debe ser del máximo responsable de la organización, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de auditoría y ofrecer conclusiones y recomendaciones.
Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formación en auditoría y organización y con perfil informático (especialidades).
La organización interna de la función podría ser: •Jefe de departamento de auditoría informática. Desarrolla el plan operativo, las descripciones de puesto del personal a su cargo, la planeación a corto plazo, métodos de administración de programas de trabajo, evalúa la capacidad del personal a su cargo •Gerente o supervisor de auditoría informática. Trabaja estrechamente con el Jefe de de departamento en las tareas operativas diarias. Ayuda en la evaluación de riesgos de cada uno de los trabajos, realiza los programas de trabajo, dirige y supervisa directamente a las personas en cada uno de los trabajos de los que es responsable. Es responsable junto con su jefe de la obtención del mejor resultado del trabajo para el auditado. •Auditor informático. Es el responsable de la ejecución directa del trabajo. Debe tener una especialización genérica pero también una específica. Obtiene información, realiza pruebas, documenta el trabajo y ofrece un diagnóstico de resultados.
El tamaño sólo se puede precisar en función de los objetivos, pero se debería cubrir lo siguiente: •Especialista en el entorno informático a auditar y en administración de bases de datos •Especialista en comunicaciones y redes •Responsable de administración de riesgo operativo y aplicaciones •Responsable de la auditoría de SI, tanto en explotación como en desarrollo •Especialista para la elaboración de programas de trabajo en conjunto con la Auditoría Financiera
No hay comentarios:
Publicar un comentario