Transcript
FUNCION FUNC IONES ES
Y PERFIL DEL AUDIT AUDITO O R DE SISTEMAS SISTEMAS
Características del auditor:
El auditor debe tener un criterio muy claro y objetivo acerca de sus funciones y de su participación como componente de la organización. Debe caracterizarlo su independencia mental y organizacional de modo que su trabajo no este est e influencia influenciado do por c aract erísticas de respetabilidad respetabilidad o intereses partic partic ulares ulares provocados por su nivel de educac ión y de experiencia experiencia o por un esquema esquema organizat organizativo ivo defec tuoso. Debe t ener el soporte soporte humano humano nec nec esario (en (e n calidad y cant idad) de modo modo que su trabajo no se vea ilim ilimitado por la carencia c arencia de rec rec ursos suficientes. suficient es.
Este ultimo punto y la ubicación en la organización no podrían calificarse como componentes del perfil del individuo, pero se destacan como complementos necesarios del mismo. El propósito propósito general, debe debe descom desc omponerse ponerse según las las circunst ancias propias propias que rodean el area de sistematización de datos así:
El auditor debe evaluar los planes y proyecciones de la sistematización de datos, de acuerdo c on los proyect proyect os de la entidad. entidad.
Esta obligación supone que que el auditor auditor conoc e la organizac organización ión y sus sus planes a mediano y largo plazo. plazo. Le obliga obliga a tener te ner c laridad laridad sobre los objetivos de la la empresa., em presa., la conformac conformación ión de su estructura estruc tura y las funciones func iones de c ada una de las áreas que la componen. componen. En c onsecuencia, onsec uencia, debe tener un c onocimiento onocimiento detallado de la organización y recursos de la sistematización ya que en su evaluación no debe c onsiderar onsiderar solo lo que se debe hac er sino que debe incluir incluir análisis análisis de de los recursos necesarios nec esarios para lograrlo. lograrlo.
El auditor debe evaluar la organización del area de sistemas, la distribuc distribuc ión de func iones y los proc procedim edimientos ientos e t rabajo rabajo y supervisión. supervisión.
Uno de los pilares mas importantes del control es la adecuada distribución de tareas con el fin de que cada funcionario tenga a su cargo una responsabilidad precisa. El auditor no puede puede definir una estructura estruc tura de organizac organización ión que proporc proporc ione esta condición .pero si puede, de acuerdo con las circunstancias plantear esquemas de organización apropiada; sin embargo, frente a estructuras más pequeñas que impiden cumplir con este requisito, debe evaluar métodos alternativos de control que disminu disminuyan yan los riesgos riesgos inherentes inherentes a las incompatibili incompatibilidade dades s identificadas. Esta tarea requiere de un estudio detallado sobre la práctica de trabajo del departamento de sistemas y sus diferentes secciones. Con énfasis en los procedimientos utilizados y la supervisión de niveles de autorización incorporados a ellos
El auditor debe evaluar los métodos de trabajo y documentación utilizados utilizados por el grupo grupo de desarrollo desarrollo de sistemas y los los controles implanta implantados dos para supervisar sus labores.
Naturalmente no existe una formula acerca de cómo se debe desarrollar e implantar implantar una aplic aplic ación. ac ión. En la la prác práctic tic a cada c entro de procesamiento procesamiento tiene t iene su
propio estilo, y en su mayoría, aplican dosis excesivas de confianza en los grupos de desarrollo. No le corresponde al auditor dar la formula- que no existe- ni sentar cátedra sobre los procedimientos de control. Su papel con relación a este punto, consiste en analizar los métodos y procedimientos utilizados junto con la distribución de funciones establecidas y con los recursos computacionales utilizados. Su función, en este caso, requiere del dominio claro sobre los temas de diseño y desarrollo y grandes dosis de persuasión y comunicación, que le faciliten orientar sus recomendaciones sobre bases objetivas y prácticas. Su conocimiento obviamente supone las característic as y fac ilidades que el sistema operacional ofrece en téc nicas para ensamblar, pruebas, detec ción de errores y compilación de programas y una identificac ión clara los riesgos que tales facilidades incorpora.
El auditor debe tener capacidad para evaluar las aplicaciones desde su utilizac ión práctic a y objetiva por parte de los usuarios hasta los detalles relativos a la composición de los programa y los procedimientos utilizados.
El buen funcionamiento de cualquier aplicación depende tanto de sus componentes técnicos (equipos y programas) como de la participación de los funcionarios que intervienen desde el origen de la información hasta la utilización de sus resultados. Una buena evaluación debe considerar su funcionamiento integral; la respuesta objetiva que dan los programas y equipos disponibles y la utilización practica de estos resultados. Además, deben utilizar un enfoque objetivo hacia la organización; es decir, tener en cuenta que cada aplicación es un componente que puede tener incidencia en sectores que no son sus usuarios directos o que podría estar afec tada por ellos.
El auditor debe evaluar la seguridad lógica prevista par ala operación de las diferente aplicaciones y sistemas.
Las empresas que no utilizan recursos computarizados o los usan en baja escala, apoyan el control de sus operaciones en los niveles de autoridad delegados a sus funcionarios. Por contraposición, el mayor avance en la sistematizac ión desplaza esos niveles de autoridad a los empleados de sistemas y a los usuarios directos de las aplicaciones, mediante la asignación de claves de acceso. Dado que la mayor cobertura de sistematizacion implica un aumento directo en la concentración de información de la compañía, genera un aumento en los riesgos inherentes al uso de la información, que se fac ilita o impide c on el uso de claves. El auditor debe estudiar el sistema de seguridad y evaluar los métodos de acceso permitidos para:
Manejo del sistema de seguridad Utilización de programas que permiten modificaciones a archivos o facilitan su duplicación. Uso de compiladores Acceso a la utilización de programas e informaciones, incluidas aquellas organizadas en bases de datos
Su propósito especifico es el de determinar si todo tipo de acceso esta debidamente controlado y deja registros que puedan consultarse con posterioridad para efec tos de seguimiento.
Por otra parte es también de principal importancia el análisis de duplicaciones de informaciones, programas y sistema operacional, en conjunto con los procedimientos establecidos para su custodia y planes de emergencia previstos par atender fallas de equipo o pérdidas de información. El auditor debe procesamiento.
evaluar
los
sistemas
de
seguridad
física
del
centro
de
Aun cuando la seguridad física debe propiciarse a todos y cada uno de los sectores. Es el area de procesamiento de datos la que por su naturaleza y su riesgo exige un mayor cuidado sobre este aspecto. Este incluye el medio ambiente de la construcción; la ubicación con relación a la edificación y otras áreas los mecanismos o ayudas con que se cuenta para controlar la ocurrencia de riesgos, y la preparación de los empleados para utilizarlos adecuadamente. Para el auditor una evaluación sobre la seguridad física incluye un estudio de ubicación, recursos y preparación del personal junto con el análisis de riesgos probables y recursos del mercado, con el fin de que sus recomendaciones se ajusten a alternativas satisfac torias y razonables con relación a la cuantificac ión de los riesgos. El auditor de sistemas debe hacer usos adecuados de la información sistematizada, y otros archivos para satisfacer varios propósitos.
Verificar el cumplimiento de normas y procedimientos y evaluar las desviaciones encontradas. Proporcionar informaciones útiles a otros sectores de la auditoria (financiera) Verificar la exactitud de la información cuando los programas de trabajo así se lo exijan. Efectuar comprobaciones sobre los archivos de programas o de información con el fin de satisfacerse acera de cambios realizados. En general surgen múltiples probabilidades de utilización que en algunas oportunidades corresponden a pruebas de comprobación del auditor de sistemas y, en otros casos – la mayoría- a trabajo de apoyo hacia otras áreas. La revisoría fiscal, la auditoria externa y otras dependencias de la auditoria interna.
Corresponde entonces al auditor el desarrollo o adquisición y uso de paquetes espec íficos que están orientados al cumplimiento de tales funciones.
En resumen el auditor de sistemas – o el grupo de auditoria de sistemas en conjunto- debe reunir una serie de características basicas para ejercer sus tareas con propiedad, tales como: o
o
o
o
Un criterio claro acerca de la organización a que le permita enfocar su trabajo con objetiva. Claridad sobre métodos y procedimiento de trabajo, asignación de funciones y determinación y alcance de Politicas Conocimiento detallado sobre la sistematización, su organización, métodos de planeacion y de trabajo, facilidades que ofrece y riesgos que genera. Conocimiento sobre computadores, características de hardware y software y facilidades y riesgos inherentes a ellos. Conoc imiento de lenguajes de programac ión
o
Conocimiento de los objetivos de otros grupos de auditoria
o
Claridad de conc eptos acerca de procedimientos no sistematizados
Además, requiere complementos básic os que le permitan lograr sus objetivos o
o
o
o
Facilidades en la expresión oral y escrita, fundamental par la presentac ión objetiva y clara de sus informes y opiniones. Facilidad para relacionarse con distintos grupos de trabajo, de los diferentes niveles de la organización tanto desde el punto de vista jerárquico como multidisciplinario Capacidad y criterio que le permitan discutir con propiedad sus puntos de vista. Aceptando los de los demás, sin ceder ante presiones o conveniencias. Clara independencia de criterio y respaldo gerencial que apoyen eficazmente los resultados de su trabajo.
