3. Guía para la elaboración del plan de auditoría
4. Guía para las pruebas de auditoría
5. Guía para la elaboración del informe de auditoría
Ejercicios de repaso y autoevaluación
Capítulo 1
Criterios generales comúnmente aceptados sobre auditoría informática
1. Introducción
La complejidad y evolución de los sistemas de información hace necesaria la aparición de profesionales informáticos que se encarguen de evaluar su correcto funcionamiento y detectar aquellos puntos débiles que requieran la adopción de medidas correctivas y preventivas para evitar pérdidas de información relevante que podrían conllevar costes importantes a las organizaciones.
Por este motivo, la figura del auditor informático se hace cada vez más presente en las organizaciones: un profesional independiente que evalúe la eficiencia de sus sistemas informáticos y que sea capaz de formular recomendaciones y propuestas de mejora con la finalidad de mantener la integridad y exactitud de los datos y así garantizar un servicio correcto dentro de unos estándares de calidad.
En este capítulo, se enumeran las características principales tanto de la actividad de la auditoría informática como de la figura del profesional auditor, además de introducir las principales tareas que se deben ejecutar para que la auditoría cumpla con los objetivos previstos.
2. Código deontológico de la función de auditoría
La auditoría es el análisis exhaustivo de los sistemas informáticos con la finalidad de detectar, identificar y describir las distintas vulnerabilidades que puedan presentarse.
En el momento de desempeñar las funciones de auditoría en un sistema de información, los auditores deben cumplir una serie de normas éticas y un código deontológico para cumplir con profesionalidad y rigidez sus objetivos.
El código deontológico consiste en una serie de preceptos en los que se determinan los derechos exigibles a ciertos profesionales cuando desempeñan su actividad con el fin de ajustar los comportamientos profesionales a unos principios éticos y morales adecuados.
En el caso de la auditoría informática, existe una organización internacional que diseña los estándares de auditoría y control de sistemas de información aceptados por la comunidad general de auditoría.
Esta organización, llamada ISACA (Information Systems Audit and Control Association), expide además el certificado CISA (Certified Information Systems Auditor) a quien cumpla los requisitos estipulados en cuanto a normas, código ético, procedimientos de control, etc.
2.1. Normas profesionales de la ISACA
Los miembros que pertenecen a ISACA y los que están en posesión del certificado CISA deben comprometerse a comprender y cumplir las diez Normas de Auditoría de Sistemas de Información:
1 El auditor de los sistemas de información debe ser independiente del ente auditado, tanto en actitud como en apariencia.
2 Para que la auditoría se desarrolle de un modo objetivo, la función de auditoría debe ser independiente del área que se pretende auditar.
3 El auditor debe cumplir con los preceptos del Código de Ética Profesional de la ISACA. Nota: El Código de Ética Profesional de la ISACA está formado por una serie de directivas de actuación profesional y personal que deben seguir todos los miembros que forman parte de la asociación.
4 El auditor debe tener los suficientes conocimientos técnicos y destrezas para desempeñar correctamente las funciones de auditoría encomendadas.
5 El auditor de sistemas de información debe reciclar continuamente sus conocimientos para mantener en un nivel adecuado su competencia técnica.
6 Las auditorías de sistemas de información deben ser planificadas y supervisadas con suficiente rigor para mantener la seguridad de que se cumplen los objetivos de auditoría establecidos y las normas estipuladas.
7 En el proceso de auditoría, el auditor debe respaldarse necesariamente con evidencias que confirmen sus hallazgos, resultados y conclusiones.
8 Las tareas de auditoría deben llevarse a cabo son sumo cuidado profesional, cumpliendo las normativas de auditoría aplicables. Nota: En la actualidad, ISACA cuenta con más de 95.000 miembros de más de 160 países, lo que apoya su seriedad y profesionalidad.
9 Durante la realización del informe, el auditor debe expresar con claridad los objetivos de la auditoría, su duración (de fecha a fecha) y las tareas realizadas en todo el proceso.
10 En el mismo informe, el auditor también deberá mencionar las observaciones necesarias para una mejor comprensión y las conclusiones obtenidas con las distintas tareas realizadas.
En la imagen siguiente, se observa una descripción básica de cada una de las normas que forman parte de la normativa profesional de la ISACA.
2.2. Código de Ética de la ISACA
Como ya se ha mencionado, el Código de Ética de ISACA establece una serie de preceptos con el fin de guiar la conducta profesional de los miembros de la organización y de los poseedores de su certificación.
Más concretamente, este código de ética se define en siete lineamientos:
1 Apoyar la implementación y el cumplimiento de los estándares, procedimientos, normas y controles de los sistemas de información y de la tecnología de la empresa.
2 Ejecutar las tareas con objetividad, diligencia y rigor profesional, siguiendo los estándares marcados en la profesión.
3 Actuar en interés de las partes interesadas (empleadores, clientes, público en general, etc.) de un modo diligente, leal y honesto, sin contribuir en actividades ilícitas o incorrectas que puedan desacreditar la profesión o a la asociación.
4 Mantener la confidencialidad de la información que se obtenga en el desarrollo de la auditoría, salvo que sea exigida por una autoridad legal. La información no se podrá utilizar en beneficio propio ni cederla a terceros inapropiados.
5 Mantener la aptitud y capacidad en los campos relacionados con la auditoría y los sistemas de información mediante la realización de actividades que permitan actualizar y mejorar las habilidades, competencias y conocimientos necesarios.
6 Informar a las partes involucradas de los resultados obtenidos en el proceso de auditoría.
7 Apoyar la educación profesional de las partes interesadas (gerencia, clientes, etc.) para una mejor comprensión de las tareas de auditoría, de la gestión de los sistemas de información