2. Auditoría Informática
Es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a
cabo eficazmente los fines de la organización y utiliza
eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos
de control que están implantados en una empresa u
organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias,
estableciendo los cambios que se deberían realizar para la
consecución de los mismos. Los mecanismos de control
pueden ser directivos, preventivos, de detección, correctivos o
de recuperación ante una contingencia.
3. Perfil del auditor informático
• El auditor informático como encargado de la
verificación y certificación de la informática
dentro de las organizaciones, deberá contar
con un perfil que le permita poder
desempeñar su trabajo con la calidad y la
efectividad esperada. Para ello a continuación
se establecen algunos elementos con que
deberá contar:
4. Conocimientos Generales
* Todo tipo de conocimientos tecnológicos, de forma
actualizada y especializada respecto a las plataformas
existentes en la organización;
* Normas estándares para la auditoría interna;
* Políticas organizacionales sobre la información y las
tecnologías de la información.
* Características de la organización respecto a la ética,
estructura organizacional, tipo de supervisión existente,
compensaciones monetarias a los empleados, extensión
de la presión laboral sobre los empleados, historia de la
organización, cambios recientes en la administración,
operaciones o sistemas, la industria o ambiente
competitivo en la cual se desempeña la organización,
aspectos legales.
5. Herramientas
* Herramientas de control y verificación de la
seguridad;
* Herramientas de monitoreo de actividades, etc.
Técnicas
* Técnicas de Evaluación de riesgos
* Muestreo
* Cálculo pos operación
* Monitoreo de actividades
* Recopilación de grandes cantidades de
información
* Verificación de desviaciones en el
comportamiento de la data;
* Análisis e interpretación de la evidencia, etc.
7. Introducción
• Los principios contenidos en los códigos
deontológicos exigen, que los propios
profesionales ayuden a un comportamiento
conforme a los mismos como medio de
sensibilización y mejora del prestigio y calidad
de su oficio.
• A continuación algunos principios que hacen
referencia al comportamiento tanto moral
como individual en el entorno profesional.
8. PRINCIPIOS DEONTOLÓGICOS APLICABLES
A LOS AUDITORES INFORMÁTICOS
• Los auditores deben estar en constantemente
con los principios deontológicos adoptados
por diferentes colegios y asociaciones
profesionales, de los cuales podemos
mencionar:
1.Principio del Beneficio del Auditado
Un aspecto importante, en cuanto a la
aplicación de este principio, es facilitar el
derecho de las organizaciones auditadas, a la
elección del auditor.
9. 2.Principio de Calidad.- El auditor deberá cumplir sus servicios con calidad, aun
cuando el no se sienta en la capacidad de hacerlo, deberá buscar ayuda o
capacitación profesional.
Ejemplo: El auditor debe hacer una auditoria al Departamento de Ventas de la
empresa XXX, para cumplir con su tarea, éste debe tener accesibilidad a
documentación necesaria, si en dicho departamento le niegan la
documentación, el auditor debe negarse a realizar la auditoria ya que no puede
acceder a la información que es de vital importancia para su desempeño.
3.Principio de Capacidad.- El auditor debe estar plenamente consciente del
alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la
auditoria.
Ejemplo: El auditor hace la auditoria del Departamento de Ventas, debido a
que no tiene suficiente conocimiento en su trabajo, realiza un informe con
recomendaciones que a la larga le dejarán perjuicios a la empresa, lo que hará
que el auditor pierda credibilidad como profesional.
4.Principio de Cautela.- El auditor debe tener cierto grado de cuidado, y no
confiarse de sus conocimientos profesionales, ser humilde al dictar sus
criterios, y ser consciente de que sus recomendaciones deben estar basadas en
la experiencia.
Ejemplo: Las recomendaciones sugeridas en el informe de auditoria deben
estar avaluadas en base a la realidad de la empresa (económico ).
10. 5.Principio de Comportamiento Profesional.- Este principio esta ligado con la
ética profesional del auditor, como evitar actos ilícitos, ficticios, que
encubran comportamientos no profesionales.
Ejemplo: Si el auditor necesita ayuda para la revisión de
documentación, debe acudir donde otro profesional (un contador) el cual
le pueda ayudar en dicha tarea, dejando constancia en el informe de
auditoria de que terceros ayudaron en el trabajo de la auditoria al
Departamento de Ventas.
6.Principio de Concentración en el trabajo.- El auditor debe controlar el
exceso de trabajo con la concentración que debe tener, esto permitirá al
auditor dedicar a su cliente la mayor parte de los recursos posibles
obtenidos de sus conocimientos.
Ejemplo: El cronograma de la planificación debe estar bien estructurado a
fin de que se cumplan en los plazos establecidos todas las acciones a
seguir para el correcto desempeño de la auditoria al departamento de
Ventas.
7.Principio de Confianza.- Este principio requiere de ambas partes un dialogo
que permita aclarar todas las dudas que se den a lo largo de la auditoría.
Ejemplo: El auditor debe ser sincero con el cliente, su actuar debe ser
correcto y transparente.
11. 8.Principio de Criterio Propio.-Este principio demanda de que el auditor
actué con criterio propio, para no permitir estar subordinado al de otros
profesionales.
Ejemplo: Si un empleado va y comenta al auditor de que tiene
sospechas de que el jefe departamental está desviando fondos, esto no
quiere decir que el auditor va a dar por cierto dicho comentario.
9.Principio de Discreción.- Dependerá del cuidado y discreción en la
divulgación de datos, y mantenerlos durante el proceso de auditoria
como en la finalización.
Ejemplo: El auditor no deberá divulgar datos tales como los estados
financieros de la empresa, inversiones, estrategias de ventas, etc. Esto
restaría credibilidad al auditor.
10. Principio de Economía.- Se refiere a proteger los derechos económicos
del Auditado con el fin de evitar gastos innecesarios, así mismo rechazar,
ampliaciones de trabajo sobre asuntos no directamente relacionados
con la auditoria.
Ejemplo: El plan de auditoria debe estar bien delimitado a fin de evitar
gastos extras.
11.Principio de Formación Continuada.- Tiene que ver con una constante
preparación por parte del auditor, y una continuo plan de formación
personal, y un seguimiento de las nuevas tecnologías de la información.
Ejemplo: El auditor deber deberá capacitarse continuamente.
12. 12. Principio de Fortalecimiento y Respeto de la Profesión.- El auditor deberá
evitar competir deslealmente con sus compañeros, bajando los precios de sus
servicios, o evitar abusar de sus conocimientos frente a los competidores.
Ejemplo: Los honorarios del auditor no deben estar sujetas a que si la auditoria
es positiva entonces le pago, si la auditoria no sale como espero entonces no le
pago!. El auditor merece respeto, sus honorarios serán reconocidos por el
trabajo realizado
13. Principio de Independencia.- Esta relacionado con el principio de criterio
propio, esta independencia implica al auditor, al rechazo de criterios con los que
no este de acuerdo.
Ejemplo: NO se vería bien que el auditor este con tantas confianzas con el jefe
departamental Si dentro del departamento de ventas existe algún amigo
suyo, esto no debe influir en los resultados de la auditoria.
14.Principio de Información Suficiente.- Es de interés para el auditado, y obliga al
auditor a informar al cliente de todos y cada uno de los puntos relacionados con
la auditoria; la labor informativa del auditor debe estar basada en la
transparencia de la información.
Ejemplo: El auditor debe presentar pruebas concisas de los que argumenta en
su informe de auditoria.
15.Principio de Integridad Moral.- Se trata de que el auditor no deberá utilizar los
conocimientos adquiridos durante la auditoria, para utilizarlos en contra del
cliente.
Ejemplo: El auditor tiene conocimiento de los estados financieros de la empresa
XXX, si el auditor va a ser una auditoria de la empresa YYY por quedar bien con
esta empresa el no puede revelar los secretos que le fueron confiados de la
empresa XXX.
13. 16. Principio de Legalidad.- El auditor no deberá utilizar sus conocimientos
para facilitar, a los auditados o a terceras personas, la contravención de la
legalidad vigente.
Ejemplo: El auditor encontró que el jefe departamental estaba desviando
fondos. El jefe Departamental le ofrece una jugosa tajada a cambio de que
no presente ese hallazgo en su informe de auditoria. El auditor jamás
deberá aceptar una situación como esta ya que va en contra de su
honorabilidad, su buen juicio y su prestigio profesional.
17.-Principio de Libre Competencia.- Deben evitarse comportamientos
desleales para el beneficio propio del auditor, y actuar con ética
profesional respetando la competencia profesional.
Ejemplo: No debe buscar clientes mediante publicidad y otras formas de
oferta de servicios en una forma que sea falsa, aparente o engañosa.
18.- Principio de no Discriminación.- El auditor deberá evitar inducir, o estar
involucrado en algún tipo de discriminación o en prejuicios de ninguna
clase tanto al cliente, como a la competencia.
Ejemplo: La auditoria realizada al Departamento Ventas da como resultado
que el Gerente de la empresa XXX ha realizado malversación de fondos, el
Gerente al enterarse de esto amenaza al auditor con desprestigiarlo si no
lo ayuda retirando esa acusación del informe de auditoria. El auditor no
debe cambiar su informe ya que el es independiente, lo que debe hacer es
ir a la junta de accionistas para que lo respalden en su trabajo y poder
realizar de mejor manera la auditoria.
14. 19. Principio de no injerencia.- El auditor deberá la labor de otros
profesionales y evitar aprovechar los datos obtenidos para
entrar en competencia desleal.
Ejemplo: El auditor al realizar la auditoria al Departamento de
Ventas tiene sospechas al revisar los estados del departamento
que es el Jefe Departamental quien ha realizado malversación
de fondos. El no puede ir a la reunión de lectura del informe de
auditoria y acusarlo al jefe departamental aludiendo que tiene
simples sospechas. Toda acusación debe estar respaldada por
las pruebas suficientes y valederas.
20. Principio de Precisión.-Deberá ser suficientemente
crítico, brindando una información fiable de la auditoría, y
precisar el tiempo sin agobios de plazos, ni demoras en
entregas.
Ejemplo: El auditor al realizar la auditoria al Departamento de
Ventas tiene sospechas al revisar los estados del departamento
que es el Jefe Departamental quien ha realizado malversación
de fondos, el Auditor no puede emitir un juicio acusándolo sino
tiene las pruebas suficientes para respaldar su acusación, debe
darse el tiempo para recabar sobre ese hallazgo a fin de estar
seguro de sus sospechas.
15. 21. Principio de Publicidad adecuada.-Evitar campañas
publicitarias, que por su contenido puedan desmejorar la
realidad de sus servicios.
Ejemplo: El auditor no puede ofrecerle a sus clientes que
si el realiza la auditoria, los resultados van a salir
favorables para la empresa y que va a tener un
incremento del 15% en las ventas netas.
22. Principio de Responsabilidad.- Es importante definir a
priori un tope máximo de responsabilidad sobre los
posibles daños acorde con la remuneración acordada
como prestación de los servicios de auditoria.
Ejemplo: Tienen responsabilidad con los que hacen uso
de su servicio, sí. Como con sus colegas cooperar entre si.
23. Principio de Secreto Profesional.- Tiene que ver con el
beneficio de seguridad del auditado, obliga al auditor a no
difundir a terceras personas información confidencial, a
menos que sea consultada al auditado si fuera necesario.
16. Ejemplo: El auditor no puede revelar la información que tiene
sobre la empresa XXX ya que esto va contra su tica. La revelación
de dicha información puede causar perdidas a la empresa, el
auditor debe ser muy cauteloso con la información que tiene en
conocimiento.
24. Principio de Servicio Público.- Exige una continua elevación del
arte de la ciencia en el campo de la auditoria informática, lo que
puede lograrse con la participación activa de los profesionales de
dicho sector en la definición de las características y exigencias de
su actividad profesional.
Ejemplo: Durante la auditoria, el auditor descubre que en el
sistema existe software dañino (virus) y además sino descubre la
procedencia, el auditor debe dar a conocer inmediatamente el
hecho de que hay virus en el sistema el cual puede propagarse a
otros sistemas, pero no debe revelar el origen de el virus.
25. Principio de Veracidad.- Se refiere a la información veraz según
el artículo 20.1.d ) significa información comprobada Según los
cánones de la profesionalidad informativa, excluyendo
invenciones, o rumores.
18. INTRODUCCIÓN
• Instrumento eficaz para la tramitación de
procedimientos judiciales, que regula la labor
del Auditor Informático, imprescindible su
conocimiento para que el auditor informático
realice su labor de forma correcta y evitando
situaciones desagradables
19. • Ley 28.237, del Código Procesal Constitucional de 7 de mayo de 2004. Regula
el Habeas Data. (Promulgada el 28 de mayo de 2005 y Publicada en el Diario
Oficial quot;El Peruanoquot; el 31 de mayo de 2004).
• Ley 28.303 de 23 de julio de 2004, Ley Marco de Ciencia, Tecnología e
Innovación Tecnológica.
• Ley 28.403 de 29 de noviembre de 2004, que dispone la recaudación de un
aporte por supervisión y control anual por parte del INDECOPI de las
entidades de certificación y de verificación/registro de firmas digitales
acreditadas bajo su ámbito.
• Ley 28.493 de 18 de marzo de 2005, que regula el uso del correo electrónico
comercial no solicitado (SPAM) (Promulgada el 11 de abril de 2005 y Publicada
en el Diario Oficial quot;El Peruanoquot; el 12 de abril de 2005).
• Ley 28.530 de 29 de abril de 2005, de promoción de acceso a internet para
personas con discapacidad y de adecuación del espacio físico en cabinas
públicas de internet. (Promulgada el 24 de mayo de 2005 y Publicada en el
Diario Oficial quot;El Peruanoquot; el 25 de mayo de 2005).
20. • Resolución Ministerial nº 0285-2005/PCM del 12 de agosto de
2005 que crea la Comisión Multisectorial de Políticas del
Sistema de Nombres de Dominio
• Resolución nº 0345-2005/CONSUCODE/PRE del Consejo
Superior de Contrataciones y Adquisiciones del Estado, de 21 de
septiembre de 2005.
• Reglamento de organización y funciones del Instituto Nacional de Defensa
de la Competencia y de la Protección de la Propiedad Intelectual 2005.
Publicado en el Diario Oficial quot;El Peruanoquot; el D.S. Nº 077-2005-PCM.
• Decreto Supremo nº 004-2007-PCM, publicado el 14 de enero del 2007,
aprueba el Reglamento de la Ley de Firmas y Certificados Digitales, Ley nº
27.269. Se han aprobado los requisitos específicos, los indicadores y los
procedimientos de verificación aplicable en la etapa de certificación de las
funciones específicas sectoriales, a ser transferidas a los gobiernos
regionales, comprendidas en el “Plan Anual de Transferencia de
Competencias Sectoriales a los Gobiernos del año 2007”, aprobado por
Decreto Supremo nº 036-2007-PCM.
21. • Resolución nº 023-2008/INDECOPI/DIR.- quot;EL Peruanoquot; 19 de
marzo de 2008, por la que se aceptan renuncia presentada por
miembro de la Comisión de Libre Competencia del INDECOPI
• Resolución n° 030-2008/CRT-INDECOPI, (Instituto Nacional de
Defensa de la
Competencia y de la Protección de la Propiedad Intelectual) quot;EL
Peruanoquot; 19 de marzo de 2008, por la que se aprueban las Guías de
Acreditación de Entidades de Certificación Digital, Entidades de
Registro o Verificación de datos y Entidades de Prestación de
Servicios de Valor añadido, así como la Guía para la Acreditación del
Software de Firmas Digitales.
• Resolución Ministerial nº 0233-2008/JUS (JUSTICIA) de 26 Abril
de2008.
Establecen Sistema Informático de Registro de funcionarios y
servidores procesados por presuntos delitos contra la
Administración Pública