1. Perfil del Auditor y Ubicación Organizacional
Perfil del Auditor
La auditoria informática o también conocida como auditoria a la tecnología de información
involucra diferentes áreas por lo que el auditor deberá conocer sobre éstas, aunque no se le
puede pedir ser un experto en todas ellas. El auditor se apoyará en expertos de diferentes
áreas en la medida que lo requiera para formar un equipo multidisciplinario para realizar la
auditoria ya que es difícil que una sola persona cuente con la profundidad en el conocimiento
suficiente en todas las áreas para realizar la auditoria por si solo.
De acuerdo a las materias de especialización que se cursan en las diferentes carrera que tienen
que ver con sistemas de información, ya sea ingenierías o licenciaturas se puede esperar el
profesional de sistemas de información pueda figurar como consultor cualquiera de las
siguientes áreas
• Rediseño de Sistemas de Información
• Desarrollo Organizacional
• Análisis y Diseño
• Comunicaciones
• Planeación
• Administración de Proyectos
Además se asume que quienes ejercen una labor de auditoria en sistemas de información
deberán estar capacitados o tener conocimiento básico de las siguientes áreas:
• Finanzas y Contabilidad
• Auditoria
• Sistemas de Información
• Procesamiento Electrónico de Datos
• Telecomunicaciones
• Ciencias del Comportamiento Humano
• Teoría General de Sistemas
• Métodos Numéricos
• Administración de Empresas
Entrenamiento
Es necesario balancear los costos y los beneficios de la educación continua del auditor por lo
que se tendría que hacer un análisis detallado de los cursos de capacitación que el auditor está
tomando. La calidad que tenga la auditoria dependerá de una adecuada planeación en el
entrenamiento anual del auditor esto permitirá asegurar en buena medida el nivel de calidad
con el que se desempeñe y los resultados a los que se llegue. La pegunta ¿cuánto tiempo de
entrenamiento requiere el auditor al año? es difícil de responder, probablemente si decimos
que tres semanas durante el año pueden resultar insuficientes debido a los cambios
tecnológico que se dan en un año.
El nivel de tecnología que se utiliza en la instalación es un factor determinante del tiempo de
capacitación para el auditor, en una empresa en donde recientemente se ha instalado
2. hardware, software o dispositivos tecnológicos nuevo o se planea su instalación a corto plazo
es probable que se requiera más tiempo de capacitación para el auditor en comparación que el
año anterior. Por el contrario si la empresa auditada posee tecnología para el manejo de su
información con varios años ya de instalada, probablemente el tiempo de capacitación al año
será menor. Por otro lado también la madurez del auditor o del grupo de auditores también es
importante analizarla, de tal forma que si el grupo está formado por auditores con muchos
años de experiencia, el tiempo de capacitación deberá ser menor, en comparación con un
grupo de auditores formado por profesionistas con pocos años de experiencia.
Requerimientos Externos
Aspectos como las regulaciones gubernamentales deben ser considerados ya que pueden
afectar el uso y control de los sistemas computacionales así como el uso de las tecnologías,
programas y datos. Se deben identificar las áreas afectadas ya que deben ser consideradas en
los planes, políticas, estándares y procedimientos.
El conocimiento del auditor sobre la tecnología para el procesamiento de datos debe de
incrementarse a medida que aumentan los requisitos del gobierno y del medio ambiente. Los
controles deben ser suficientemente buenos para asegurar el buen funcionamiento de los
sistemas aún y cuando el gobierno haga nuevos requerimientos.
Cursos de Capacitación y Exámenes de Certificación
Existen una gran variedad de cursos para la capacitación del auditor. Dependiendo cual sea su
parte débil es por donde se deberá de comenzar. Ahora bien si el auditor se encuentra
capacitado y certificado como un auditor CISA, la capacitación adicional requerida sólo será de
actualización para mantener la validez de su certificación.
Existen cursos de actualización en donde los módulos principales hacen referencia a temas
importantes como legislación en informática, auditoria y control de sistemas, seguridad en
redes entre otros. Algunos de los cursos de capacitación o especialización que se ofrecen en el
área de auditoria en sistemas de información o auditoria en informática contienen módulos
exclusivos para la capacitación en la certificación (CISA)
Ubicación organizacional del área de auditoria
La ubicación del área de auditoria en una empresa o despacho será de acuerdo principalmente
al tamaño del negocio, sin embargo hay que considerar otros aspectos como son las políticas y
estructuras muy particulares en la dirección.
Comenzaremos por definir la estructura de las empresas dedicadas a dar servicios de Auditoria
Externa. En este tipo de negocios encontramos Grandes Despachos a nivel internacional,
Despachos medianos y Despachos pequeños
Grandes Despachos:
• Nivel Alto: Director General
• Nivel Medio Alto: Director de Cuenta
• Nivel Medio 1: Gerente o Jefe de departamento o área
• Nivel Medio 2: Supervisor de auditoria
• Nivel Medio 3: Auditor Senior
3. • Nivel Medio 4: Auditor Junior
Despachos Medianos de Auditoria:
• Nivel Alto : Gerente de Auditoria
• Nivel Medio 1: Auditor Senior
• Nivel Medio 2: Auditor Junior
Despachos Pequeños:
• Nivel Alto: Auditor Senior
• Nivel Medio: Auditor Junior
La estructura para un Despacho de Auditoria podrá variar dependiendo de las necesidades de
los clientes y de las áreas de especialización del personal.
La ubicación para el área de auditoria interna en una empresa, por supuesto que está también
dependerá principalmente del tamaño de la empresa y de las necesidades específicas de cada
negocio.
Empresas Grandes
• Nivel Alto: Nivel Director de área
• Nivel Medio 1: Gerentes departamento
• Nivel Medio 2: Auditor Senior
• Nivel Medio 3: Auditor Junior
Empresas Medianas
• Nivel Medio 1: Gerentes auditoria
• Nivel Medio 2: Auditor Senior
• Nivel Medio 3: Auditor Junior
Empresas Pequeñas
• Nivel Medio 2: Auditor Senior
• Nivel Medio 3: Auditor Junior
En el caso de la ubicación en la estructura organizacional para el área de auditoria interna es
importante considerar el nivel de Staff como una buena opción ya que el staff puede estar
reportando directamente al Director General o en su defecto depender de alguna de las áreas
de alta dirección. Esto le da mayor validez a los resultados de las evaluaciones que sean
realizadas.
¿Cuántos auditores necesita una organización?
Se pueden calcular utilizando una fórmula muy simple: Número de Auditores internos: 1
auditor por cada 16.5 analístas y programadores. Existen otros factores que también deben ser
considerados por ejemplo: tamaño de la organización, naturaleza de la organización, extensión
del procesamiento electrónico de datos o del uso de tecnología en la empresa, el tipo de
4. sistemas implementados, estabilidad en el ambiente informático.
Para un despacho de auditores es necesario considerar por supuesto el número de clientes y la
complejidad de las tareas