Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
METODOS DE AUDITORIA
Introducción
Las diferentes organizaciones, cuenta con unidades de Auditoria Interna. Sólo se limitan a
la auditoria y control financiero.
2.1 Metodología
Las actuaciones que se llevan a cabo para realizar la Auditoría de Aplicación, siguen la
filosofía de caja negra, es decir, en ningún momento se audita el código fuente de la
aplicación. El motivo de esta metodología de trabajo es la de simular la actuación real de un
atacante malicioso que, a través de las aplicaciones auditadas y sin disponer de su código
fuente, intente realizar un ataque al sistema, bases de datos, etc.…
Análisis Funcional
Análisis Técnico
En esta fase se diseñan las pruebas a realizar para explotar aquellas deficiencias de
seguridad que puedan aparecer en la aplicación auditada.
Desarrollo de las pruebas
Durante esta fase se llevan a cabo todas las pruebas sobre la aplicación auditada, se
analizan los resultados obtenidos y en el caso de detectar nuevas vulnerabilidades a
explotar se vuelve a la fase de diseño para intentar explotarlas.
Las auditorias no fueron diseñadas para ejercer el control, si no para velar que sea realizado
por quienes tienen la responsabilidad de ejercerlo en razón a sus competencias y en relación
con sus funciones.
Así mismo el control no es una oficina o dependencia; son todos los elementos que hacen
parte de la organización donde cada uno de ellos desempeña un componente de control y
son los dueños de los procesos quienes garantizan su autocontrol, autogestión y auto
regulación. Veamos entonces en términos prácticos cuales son esos controles y en esencia
porque los mismos garantizan el que hacer de las organizaciones:
Las normas - En la medida que la administración realice sus actuaciones conforme a la Ley
y regulaciones, no incurrirán en desviaciones y sanciones que generan su omisión;
La misión – la observancia de la naturaleza de la organización posibilita que todas las
actuaciones estén dirigidas a cumplir sus propósitos;
La planeación - permite controlar y demarcar las actuaciones de la organización para el
cumplimiento de sus objetivos; de una acertada planeación dependerá su seguimiento y
cumplimiento de metas e indicadores;
Los sistemas de información – Las bases de datos de los clientes, así como la certeza
razonable de su contabilidad, presupuesto y demás productos financieros y administrativos
automatizados, permite proyectar futuras actuaciones y tomar las mejores decisiones para la
organización;
Los manuales. – Medio para formalizar y documentar los procesos y procedimientos de la
organización, como una manera de estandarizan con cierta precisión las operación y
responsabilidad de quienes manejan el quehacer organizacional;
Los archivos - Memoria institucional, que propicia las bases y soportes de actuaciones
pasadas para utilizarlas como experiencia en los proyectos futuros;
La alta Dirección – De su estilo a través de políticas y estrategias dependerá el desempeño
de la organización en su conjunto, lo que, aunado a la administración del riesgo, implica la
adopción de controles preventivos que posibilita la mitigación de eventos irregulares y poco
convenientes para la organización.
Quejas y reclamos – manera de advertir y corregir el inconformismo de los clientes frente a
ciertos procesos que requieren atención;
Comunicación - Fuente de direccionamiento sobre instrucciones y operaciones, que en la
medida de ser bien entendida y ejecutada se logra los objetivos que se persigue;
Revisor Fiscal- Su responsabilidad llega hasta el momento en que descubra y reporte las
irregularidades a los organismos competentes; el revisor fiscal no debe tener
responsabilidad ninguna porque sus funciones no van más allá de identificar fallas y sugerir
correctivos, mas no el de tomar decisiones. Si las irregularidades no son informadas a
quien corresponda, el revisor fiscal seguirá siendo responsable por las irregularidades
presentadas y las consecuencias en que estas puedan derivar. Para exonerase de las
responsabilidades por los actos irregulares por el detectados, además de informarlos, debe
conservar la prueba de que ha reportado.
Auditoria interna - La responsabilidad más importante del auditor interno, es la de revisar
constantemente el sistema de control y estar seguro que es adecuado. Como oficina asesora
debe de comunicar a la alta dirección las falencias o desviaciones que se presenten, así
como al comité de auditoria para que se adopten los correctivos necesarios.
Auditoria externa- Una responsabilidad muy importante de un auditor es denunciar el
fraude que vea o que sospeche. El dictamen u opinión independiente tiene trascendencia a
los terceros, pues da plena validez a la información generada por el sistema ya que se
produce bajo la figura de la Fe Pública, que obliga a los mismos a tener plena credibilidad
en la información examinada.
Comité de auditoría – Tiene como principal función recomendar el nombramiento o
separación del auditor interno, así como revisar y aprobar el plan de auditoria que se espera
desarrollar. Adelantara una labor permanente de observación sobre la labor de la auditoria y
frente a los informes financieros y de gestión.
Conclusión
Los requerimientos del usuario no son tomados en cuenta o no son entendidos
adecuadamente para plasmarlos en el diseño.
Estos sistemas generalmente no son controlados o auditados, por ello se desarrollaron
aplicaciones que solo la persona que la diseñó sabe las verdaderas potencialidades o
vulnerabilidades de esa “caja negra” considerada intocable.
El método de auditoria y control, es aplicable los sistemas de información de cualquier
organización, en base a los riesgos detectados. A partir de esta evaluación, se sugiere la
adopción de procedimientos adecuados para minimizar posibles errores. Hoy en día es
recomendable, implementar carreras y/o menciones como: Auditoria de Sistemas de
Información y Auditoria Informática Forense