ASistemas-01 - Perfil Del Auditor

Perfil del Auditor Informático


Saber Hacer

El estudiante identificara las principales características y habilidades del auditor informático, para posteriormente desempeñar dicho rol en el diseño de un plan de auditoriaInformática para una empresa real.

Contenido

• Evaluar el Diagnostico• La auditoria del entorno informático• El auditor y el auditor informático• Características y habilidades del auditor

informático• Funciones del auditor informático• Certificación ISACA para el auditor informático• Evaluación Final• Conclusiones.

Perfil del Auditor InformáticoInstrucciones: Relaciona los siguientes términos con la descripción que corresponde.A. Razón que justifica el realizar una auditoria informática

Se recogen, agrupan y evalúan evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza efectivamente los recursos.

B. Definición de Auditoría Informática.

Conocimiento de las Técnicas de auditoría y una competencia en materia de información.

C. Definición de Auditor Informático.

Los objetivos del area de tecnologia de información no coinciden con los objetivos de la Empresa.

D. Funciones de un auditor informático.

Planificar las actividades de auditoria, solicitar y analizar documentación con objeto de emitir uan opinión

E. Características de un auditor informático

Se dedica al análisis de sistemas de información, especializado en algunas de las reamas de auditoria informática, con conocimientos generales de los ámbitos en los que esta se desenvuelve, y cuenta con conocimientos empresariales generales.


En los últimos años se ha incrementado aceleradamente la instalación de computadoras en el mundo de los negocios, este incremento viene acompañado por un aumento en la inversión para mejorar la calidad de información manipulada.Esta inversión se ha realizado en la conformación de una infraestructura compuesta por equipos, software, personal, papelería, tiempo… todo ello con el objetivo básico de obtener la información necesaria y oportuna para administrar adecuadamente las operaciones propia de la actividad empresarial.

LA AUDITORIA EN EL ENTORNO INFORMATICO (I).


Pero el ambiente de las empresas, a medida que se avanza en este campo, se presentan nuevas necesidades de información, se generan nuevos servicios a los usuarios, se mejora la cobertura de los activos controlados por el sistema, se incrementan los volúmenes de información procesada, ocurren avances tecnológicos que revolucionan os medios disponibles, el gobierno modifica su legislación y en general, podríamos resumir, que trae asociado un incremento en los riesgos y la posibilidad de que se presenten errores y fraudes.

LA AUDITORIA EN EL ENTORNO INFORMATICO (II).


La evolución de los conocimientos y la tecnología nos han llevado a que:

El usuario produce y procesa sus propios datos. El procesamiento en línea de las transacciones ingresadas. La integración entre los subsistemas. La eliminación en mayor grado del área de impresión.

Estas nuevas modalidades cambian las tradiciones evidencias de Auditoria, dificultan la visualización y verificación en el tiempo de los controles . Además las herramientas y las técnicas convencionales son insuficiente para la revisión oportuna y adecuada del sistema.

Se considera la información como un activo digno de salvaguardare, además el interés de disponer de ella justifica los costos de la recolección y mantenimiento de la misma. La auditoria aparece como un concepto que debería evolucionar de la misma forma como lo han hecho los aspectos antes mencionados, y es así como está surgiendo un tipo de auditoria orientada hacia el juzgamiento , establecimiento y modificación de controles que pretenden disminuir los riesgos que implica el nuevo entorno informático

LA AUDITORIA EN EL ENTORNO INFORMATICO (III).


De acuerdo con Piattini y Del Peso (2001) la auditoria informática es “el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos”.Es la revisión, diagnostico y control de los sistemas de información y demás elementos tecnológicos que dan soporte a éstos deben ser realizados por personas con experiencia informática y auditoría, además de poseer conocimientos de administración del cambio y administración empresaria.

LA AUDITORIA EN EL ENTORNO INFORMATICO (IV).


Por otro lado, Echenique (2001) considera como una de las partes importantes de una auditoria en informática es el personal que deberá participar. El numero de personas que deberán participar no se puede determinar, ya que eso depende de las dimensiones de la organización, de los sistemas y los equipos, lo que es importante considerar son las características del personal que habrá de participar en al auditoria.

LA AUDITORIA EN EL ENTORNO INFORMATICO (V).


Uno de los esquemas generales aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado que tenga un alto sentido de moralidad, a cal se el exija la optimización de recursos y se le retribuya o compense justamente por su trabajo, con estas bases debemos considerar la practica profesional y capacitación que debe tener el personal que intervendrá en la auditoria: el auditor informático.El primero punto a considerar en la selección del personal, es pensar que hay personal asignado por la organización que deberá tener el suficiente nivel para poder coordinar el desarrollo de la auditoría, para proporcionar todo la información que se solicite y programar las reuniones y entrevistas requeridas, esto es muy importante ya que de no tener el apoyo de la alta gerencia, no contar con un grupo multidisciplinario en el cual estén presente una o varias personas del área a auditar, será casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información, o bien se efectué alguna entrevista de comprobación de hipótesis, proporcione aquello que se esta solicitando y complemente el grupo multidisciplinario, ya que se debe analizar no solo el punto de vista de la dirección de información, sino también el usuario del sistema.

LA AUDITORIA EN EL ENTORNO INFORMATICO (VI).


Los auditores han sido considerados tradicionalmente como “personajes siniestros” que se ocupan de identificar todo lo que esta mal, de hacer denuncias y alertar a quien deba de ser alertado. No es sorprendente que actualmente todavía pueda comentarse algo como: “¡Claro! Ese es el propósito del auditor, identificar quien esta haciendo mal las cosas para que lo corran…” esta imagen equivocada de inspector, acusador, verdugo, justiciero, y hasta chismoso, es uno de los lastres mas pesados que los auditores deben vencer.Con la evolución de las teorías administrativas de las empresas se pudo ver también el cambio en el rol y la percepción de la función de auditoria en las organizaciones. Ahora es necesario pensar en el auditor como un elemento clave para la sana operación de las empresas, cambiando su papel de detector de problemas hacia un identificador de oportunidades y un emisor de propuesta de valor.

El Auditor y el Auditor Informático I.


Un auditor es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para evaluar la eficacia de una empresa. Ahora, en el entorno de las tecnologías de información, un auditor informático es un profesional dedicado al análisis de sistemas de información que esta especializado en alguna de las ramas de la auditoria informática, que posee conocimientos generales de los ámbitos en los que esta se desenvuelve, además se contar con conocimientos empresariales generales.

El Auditor y el Auditor Informático II.


Instrucciones: Lee atentamente cada uno de los enunciados que se te presenten y completa el crucigrama.

Horizontal4. Las herramientas y técnicas convencionales son ___________ para la revisión oportuna y adecuada de los sistemas de información.6. La generación de nuevos servicios de tecnologías de información trae asociado un incremento en los _________________ de que se presenten errores y fraudes7. Un auditor debe estar capacitado con el conocimiento necesario para evaluar la ___________ de una empresa.8. El nuevo papel del auditor es de identificador de ________________ en las empresas. Vertical1. La auditoría informática recoge, agrupa y evalúa ________________.2. La _______________es un activo digno de salvaguardarse.3. El___________________es uno de los elementos mas importantes de una auditoria informática.5. Un auditor informático debe estar _________________ en algunas de las ramas de la auditoria informática.

El Auditor y el Auditor Informático III.


Piattini y Del Peso(2001) considera que el auditor informático debe ser una persona con un alto grado de calificación técnica y, al mismo tiempo, estar integrado a las corrientes organizativas empresariales. Derrien (1995) identifica, dentro de las cualidades técnicas que debe poseer el auditor, dos aspectos: un conocimiento de las técnicas de auditoria y una competencia en materia informática.En el área informática, Rodriguez (2006) , Piattini y Del Peso (2001) plantean que se debe tener conocimientos básicos de: Desarrollo, adquisición, implantación y mantenimiento de sistemas de información. Administración, planificación y organización de las tecnologías de información. Análisis de riesgo en un entorno informático. Sistemas operativos. Telecomunicaciones. Administración de Bases de Datos. Redes locales. Administración de datos Automatización de oficinas (ofimática) Comercio electrónico Encriptación de datos

Características y Habilidades del Auditor Informático.


Debe poseer además conocimientos de normativas, metodologías, estándares y legislación vigente:Normativas y estandares de Seguridades de TI: Normas ISO, British Standard, 27000, NIST, COBIT, etc.Regulación legal.Metodologías de análisis de riesgo.Regulaciones sectorialesMejores practicas ITILMetodologías de desarrollo: MétricasConocimientos propios del Sector.



Con respectos a las habilidades, se considera lo siguiente:Complementaciones sociales:

Trabajo en equipo: Capacidad para desempeñar un rol dentro de un equipo de trabajo, con responsabilidad y en colaboración.

Comunicación: Capacidad de informar, recibir información y transmitir una idea claramente, tanto a nivel escrito como verbal.

Resolución de Problemas: Análisis y toma de decisiones situaciones no resueltas.



Con respectos a las habilidades, se considera lo siguiente:Competencias de Apoyo al

crecimiento: Análisis: Capacidad de ver

diferentes partes o aspectos de una misma información.

Síntesis: Capacidad de llegar a una conclusión tras el análisis de una serie de datos.



Con respectos a las habilidades, se considera lo siguiente:Competencias personales:

Inteligencia emocional: Aptitudes para control ar lar las emociones dentro de las relaciones sociales. Autocontrol.

Integridad: Coherencia en las actitudes e ideas transmitidas.

Motivación: Auto-motivación para desempeñar un trabajo con responsabilidad y entusiasmo.



Existen otras áreas no relacionadas con tecnologías de información o la auditoria, que son igualmente para cubrir el perfil del profesional del auditor informático, y algunos autores como Rodriguez indican, tales como las capacidades para poder:

Comprender los procesos de gestión de los servicios públicos y la normativa legal en que se apoyan los sistemas de información.

Evaluar programas y políticas públicas. Revisar y evaluar riesgos de áreas gestionadas por las TIC. Identificar o diagnosticar problemas y plantear soluciones. Tener un enfoque de Calidad Total, lo cual hará que sus conclusiones y trabajo

sean reconocidos como un elemento valiosos dentro de la empresa y que los resultados sean aceptados en su totalidad.

Llenar el vacío de comunicaciones entre usuarios y técnicos. Saber comunicar los temas claves a la dirección. Saber negociar y resolver

situaciones de conflicto.



De acuerdo con Piattini y Del Peso (2001), han existido opciones diversas y ciertas controversia al respecto de cuáles son las funciones a realizar en el proceso de auditoria informática: ¿ Qué debe revisarse?, ¿Qué hay que analizar?, ¿Qué debe diagnosticarse?

Las funciones del auditor informático representan un puesto de observación y de reflexión privilegiado en una carrera de que tiene que aspirar a responsabilidades operativas importantes. Esta labor permite el conocimiento del conjunto de actividades de un servido de informática.

Funciones del Auditor Informático.


Hablando de las realidad actual, podría afirmarse que las funciones del auditor informático deben mantener los objetivos de revisión que le demande la organización. Principalmente, como también lo indican Piattini y Del Peso (2001), éstas son las actividades a desarrollar por la Función de la Auditoría Informática:

Análisis de la administración de los riesgos de Información y de la seguridad implícita.

Análisis de la administración de los sistemas de Información desde un enfoque de riesgo de seguridad, administración y efectividad de la administración.

Análisis de la integridad, fiabilidad y certeza de la información, a través del análisis de aplicaciones.

Auditoria del riesgo operativo de los circuitos de información. Diagnostico del grado de cobertura que dan las aplicaciones a las necesidades

estratégicas y operativas de información de la empresa. Revisión del control interno, tanto de las aplicaciones como de los sistemas de

información, dispositivos periféricos, entre otros. Verificación del nivel de continuidad de las operaciones.



Así, el auditor informático es responsable para establecer los objetivos de control que reduzca o elimine la exposición al riesgo de control interno. Después de que los objetivos de auditoria se hayan establecido , el auditor debe revisar los controles y evaluar los resultados de su revisión para determinar las áreas que requieran correcciones o mejoras.

Además de analizar el grado de implantación y cumplimiento de los controles internos, se considera que el auditor puede hacer las veces de consultor del auditado, dándole ideas de como establecer procedimientos de seguridad, control interno, efectividad y eficacia, medición del riesgo empresarial, entre otros

Hablando de las actividades que ha de realizar el auditor informático en desarrollo de su función, se indica lo siguiente:

Planificar las actividades de auditoria. Consensuar un cronograma con el auditado o cliente. Solicitar y analizar documentación, con objeto de emitir una opinión. Análisis de datos a través de herramientas y síntesis de conclusiones. Trabajo de campo, entrevistas y revisiones in-situ.



Certificación de ISACA para Auditores Informáticos.

Según la Information Systems Audit and Control Associatión, en manual de preparación al examen CISA (2005), el profesional de auditoria informática debe considerar los siguientes puntos primordiales en relación a normas y estándares:ISACALos criterios de ISACA abarcan las siguientes áreas:Revisión de la estructura organizacional, las políticas y procedimientos referentes a la seguridad informática y el ambiente de control del área informática.Verificación del control de ingreso físico a áreas sensibles y de las vías de acceso lógico.Revisión del estado del Plan de Recuperación de Desastres Organizacional.Revisión del software de base desde la perspectiva de la adecuada implementación de sus parámetros de seguridad.Verificación de la existencia de una metodología adecuada para el desarrollo o adquisición de aplicaciones.

CISA Desde 1978, el programa CISA (Certified Information System Auditor), patrocinado por ISACA, ha sido aceptado a nivel mundial domo la norma entre los profesionales de auditoria, control y seguridad, el cual concede al individuo que lo obtiene el valor y reconocimiento como Certificación profesional de Auditoria de Sistemas.

Código de ética ISACA

El código de ética ISACA requiere que los miembros de ISACA y quienes cuentan con la designación CISA cumplan con los estándares de Auditoria De Sistemas de información adoptados por ISACA. El incumplimiento evidente de las mismas puede tener como consecuencia que ISACA o una junta o comité apropiado de ISACA, realicen una investigación de la conducta de los miembros o poseedores de la designación CISA. Esto podría dar lugar a una medida disciplinaria.


Perfil del Auditor InformáticoCertificación de ISACA para Auditores Informáticos.

Perfil del Auditor InformáticoLee Cuidadosamente y marca la opción que consideres la mas correcta

ASistemas-01 - Perfil Del Auditor

Documents

Transcript of ASistemas-01 - Perfil Del Auditor