Issuu on Google+

Metadatos y la Gestión de Información Digital

AUDIT-ABLE Fecha: 22/07/13

Auditoria y Seguridad en los Sistemas Computacionales Por Ing. Oswald Barreto

Trazas de Auditoria en la Administración de Base De Datos. Por Ing. Raúl Villamizar El Entrenamiento del Auditor en el Uso de las Nuevas Tecnologías de Información. Por Ing. Johs Barreto La Auditoría de Sistemas como Herramienta de Control Organizacional. Por Ing. Ismael Ferrer


Metadatos y la Gestión de Información Digital Audit-Able

Revista Digital de Auditoria de Sistemas

Índice

Pág.

Auditoria y Seguridad en los Sistemas Computacionales

1

Trazas de Auditoria en la Administración de Base de Datos

5

El Entrenamiento del Auditor en el Uso de las Nuevas Tecnologías de Información 11 La Auditoría de Sistemas como Herramienta de Control Organizacional

21


Auditoria yy la Seguridad en Información los SistemasDigital Computacionales Metadatos Gestión de

Introducción El interés del auditor de sistemas de información y los sistemas de auditoría y seguridad hace medio siglo era poco relevante para la aplicación comercial de los sistemas, ya que el origen del computador como herramienta fue científica y el énfasis del contador era comercial; sin embargo, se aplicaba en los terrenos contable y financiero donde era indispensable para preparar cuadros y tablas, pero ésta situación cambió a partir de 1960 cuando la sistematización electrónica penetró en las funciones gerenciales y administrativas y contables lo que hizo que el auditor se involucrara con este método. La utilización de computadores y avances en tecnología de información en el siglo XXI están cambiando continuamente las técnicas de acumular, manipular y divulgar datos contables; estos avances han modificado fundamentalmente los métodos tradicionales del tratamiento de datos contables en auditoria; los avances en los sistemas de proceso de datos que se han distribuido han conducido a la descentralización de la función de automatización de los usuarios finales y el bajo costo del computador ha permitido que organizaciones pequeñas puedan mejorar sus sistemas de información. Un sistema de información es un conjunto de elementos que interactúan entre sí con el fin de apoyar las actividades de una empresa o negocio. Un sistema informático como todo sistema, es el conjunto de partes interrelacionadas, hardware, software y de recurso humano que permite almacenar y procesar información. El hardware incluye computadoras o cualquier tipo de dispositivo electrónico inteligente, que consisten en procesadores, memoria, sistemas de almacenamiento externo, etc. El software incluye al sistema operativo, firmware y aplicaciones, siendo especialmente importante los sistemas de gestión de bases de datos. Por último el soporte humano incluye al personal técnico que crean y mantienen el sistema (analistas, programadores, operarios, etc.) y a los usuarios que lo utilizan. Por otra parte, la auditoria de seguridad de los datos e información tiene como objetivo verificar la disponibilidad, integridad, confidencialidad, autenticación y no repudio de la auditoría de seguridad física, definida como la ubicación de la organización fuera de riesgos y referida a protecciones externas. La auditoria de seguridad lógica esta referenciada a los métodos de autenticación de los sistemas de información.

Por Ing. Oswald Barreto

Asimismo, la auditoria de las comunicaciones se refiere a los procesos de autenticación en los sistemas de comunicación. Existe la auditoria de seguridad de producción referenciada frente a errores, accidentes y fraudes. Y por último, la auditoria a páginas web determinadas por el cumplimiento de los requisitos de diseño y legal necesarios para preservar y proteger los derechos de los sitios web. El tema de esta producción está enfocado en la auditoria y seguridad de los sistemas computacionales, sus objetivos y los factores que propician la auditoria informática. Auditoria y Seguridad Computacionales

en

los

Sistemas

Auditoria al Sistema Computacional La auditoria en los sistemas computacionales definen claramente si el sistema que se está auditando tiene las características básicas y los niveles de seguridad necesarios para cumplir con los objetivos de la organización para esto es conveniente saber el concepto de auditoría al sistema computacional. Podemos definir este tipo de auditoría de la siguiente manera: Es la auditoria técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correctos del equipo de cómputo, asi como de su hardware, software y periféricos asociados. Esta auditoría también se realiza a la composición y arquitectura de las partes físicas y demás componentes del hardware, incluyendo equipos asociados, instalaciones y comunicaciones internas o externas, así como al diseño, desarrollo y uso del software de operación, de apoyo y de aplicación, ya sean sistemas operativos, lenguajes de procesamiento y programas de desarrollo, o paquetería de aplicación institucional que se utiliza en la empresa donde se encuentra el equipo de computo que será evaluado. Se incluye también la operación al sistema (Muñoz, 2002, p. 584). Por otra parte, la prueba de programas específicos, subsistemas y sistemas totales es esencial para la calidad. La prueba se hace para detectar cualesquier problemas existentes con los programas y sus interfaces antes de que el sistema se use realmente. La prueba normalmente se hace en una forma ascendente, con códigos de programa que primero se verifican en el escritorio. La prueba del sistema completo con datos reales (datos reales que se han procesado exitosamente con el sistema viejo), se logra siguiendo varios Página 1


Metadatos Gestión de Auditoria y la Seguridad en Información los SistemasDigital Computacionales

pasos intermedios de prueba. Esta prueba proporciona una oportunidad de resolver cualesquier problemas que surjan antes de que el sistema se ponga en producción. El mantenimiento del sistema es una consideración importante. El software bien diseñado puede ayudar a reducir los costos de mantenimiento. Los analistas de sistemas necesitan establecer canales para recibir la retroalimentación del usuario en las necesidades del mantenimiento, debido a que los sistemas que no se mantienen quedarán obsoletos. Los sitios Web pueden ayudar al respecto al proporcionar acceso a las actualizaciones de productos e intercambios de correo electrónico con personal técnico. Los auditores internos y externos se usan para determinar la fiabilidad de la información del sistema. Ellos comunican sus resultados de la auditoría a otros para mejorar la utilidad de la información del sistema. (Kendall & Kendall, 2005, p. 610). De manera ilustrativa podemos ver la razón por la cual debemos aplicar auditoria a nuestras organizaciones y el uso de recursos de tecnologías de información y comunicación:

Fuente: Rodríguez (2006) Otro aspecto a considerar en la auditoria y seguridad de los sistemas computacionales es la centralización de las aplicaciones y el almacenamiento de los datos que origina una interdependencia de los proveedores de servicios. La disponibilidad de las aplicaciones está ligada a la disponibilidad de acceso a Internet. Los datos sensibles del negocio no residen en las instalaciones de las empresas, lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información. La confiabilidad de los servicios depende de la salud tecnológica y financiera de los proveedores de servicios. Las

Por Ing. Ing. Oswald Oswald Barreto Por

empresas emergentes o alianzas entre empresas podrían crear un ambiente propicio para el monopolio y el crecimiento exagerado en los servicios. También tenemos que la disponibilidad de servicios altamente especializados podría tardar meses o incluso años para que sean factibles de ser desplegados en la red. En cuanto a la seguridad de los datos se debe destacar que la información de la empresa debe recorrer diferentes nodos para llegar a su destino, cada uno de ellos (y sus canales) son un foco de inseguridad. Si se utilizan protocolos seguros, HTTPS por ejemplo, la velocidad total disminuye debido a la sobrecarga que estos requieren. En último término con respecto a las TICs debemos mencionar que son herramientas de carácter innovador y creativo, pues dan acceso a nuevas formas de comunicación siendo más provechosas en mayor proporción al área educativa ya que la hace más accesible y dinámica. Las mismas son consideradas temas de debate público y político, pues su utilización implica un futuro prometedor, están relacionadas con mayor frecuencia con el uso de la Internet y la informática a pesar de afectar a numerosos ámbitos de las ciencias humanas como la sociología, la teoría de las organizaciones o la gestión. Objetivos de la Seguridad de Datos e Información En la auditoria de los sistemas computacionales debemos tener en cuenta los siguientes aspectos: • Restringir el acceso a los programas y archivos. • Asegurar que los operadores puedan trabajar sin una supervisión minuciosa y no puedan modificar los programas ni los archivos que no correspondan. • Asegurar que se estén utilizados los datos, archivos y programas correctos en y por el procedimiento correcto. • Que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. • Que la información recibida sea la misma que ha sido transmitida. • Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. • Que se disponga de pasos alternativos de emergencia para la transmisión de información. Una sombra que siempre va a estar latente en los sistemas computacionales a nivel de software y de los cuales tenemos que estar alertas

Página 2


Metadatos Gestión de Auditoria yy la Seguridad en Información los SistemasDigital Computacionales

son los ataques a los datos a través de la red, para esto debemos conocer sus mecanismos y formas de operación y colocar nuestro escudos de protección de la información. Entre las posibles amenazas a los datos tenemos: • Intercepción / evaesdropping: un tercer agente intercepta información (en claro o cifrada) no dirigida a él. • Sniffing consiste en la captura de tramas que circulan por la red, desde una máquina conectada a ella o desde dispositivos específicos para este ataque. Algunas soluciones: • No permitir segmentos de red o tomas de fácil acceso y escaso control, uso de técnicas de cifrado (hardware o software). • También puede ser fuente de información la intercepción de datos emitidos en forma de sonidos o ruido: pinchazos, información. Sobre pautas y momentos de uso de recursos, etc. Se recomienda adicionalmente la protección de back-ups, siendo una necesidad de protección física de la información almacenada, similar a las medidas al sistema normal. Asimismo evitar mantener los dispositivos de back-up en la misma sala o edificio para esto se debe contar con un sistema de respaldo apropiado. A nivel de sistema debemos evitar un etiquetado del almacenamiento de back-up que facilite la explotación de esas copias de seguridad (o indicar explícitamente los ficheros que se contienen, usar algún esquema de etiquetado que no de pistas). Entre otros elementos a considerar es el de prever la existencia de otro tipo de soportes físicos de datos fuera de control: listados, facturas, manuales, etc. Factores que propician la Auditoría Informática • Leyes gubernamentales. • Políticas internas de la empresa. • Necesidad de controlar el uso de equipos computacionales. • Altos costos debido a errores. • Pérdida de información y de capacidades de procesamiento de datos, aumentando así la posibilidad de toma de decisiones incorrectas. • Valor del hardware, software y personal. Necesidad de mantener la privacidad y confidencialidad de las transacciones de la organización. Objetivos generales de la Auditoría en Informática • Asegurar la integridad, confidencialidad y confiabilidad de la información.

Por Ing. Ing. Oswald Oswald Barreto Barreto Por

Minimizar existencias de riesgos en el uso de Tecnología de información • Conocer la situación actual del área informática para lograr los objetivos. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones. • Incrementar la satisfacción de los usuarios de los sistemas informáticos. • Capacitación y educación sobre controles en los Sistemas de Información. • Buscar una mejor relación costo-beneficio de los sistemas automáticos y tomar decisiones en cuanto a inversiones para la tecnología de información. •

Aspectos Claves en Auditoria de Sistemas Computacionales No se debe comprometer el desempeño de las bases de datos diferentes esquemas de Soportar auditoría. Se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles SLA (Niveles de estándares) establecidos. Segregación de funciones El sistema de auditoría de base de datos no puede ser administrado por los DBA (Administradores de base de datos) del área de Tecnología de Información. Proveer valor a la operación del negocio Información para auditoría y seguridad. Información para apoyar la toma de decisiones de la organización. Información para mejorar el desempeño de la organización. Auditoría completa y extensiva Cubrir gran cantidad de manejadores de bases de datos. Estandarizar los reportes y reglas de auditoría. Sistemas de Información y el Control Interno El sistema de Información debe ser revisado y de ser necesario, deberá ser rediseñado cuando se detecten deficiencias en su funcionamiento. Cuando la organización cambie su estrategia, misión, política, objetivos, programa de trabajo, etc., se debe contemplar el impacto en

Página 3


Metadatos Gestión de Información Digital Auditoria yy la Seguridad en Información los SistemasDigital Computacionales

el sistema de información y actuar en consecuencia. También debe diseñarse atendiendo a la estrategia, misión, política, objetivos y programa de operaciones de la empresa. La calificación de sistema de información se aplica, tanto al que cubre la información financiera de una entidad como al destinado a registrar otros procesos y operaciones internas para dar tratamiento a los acontecimientos y hechos externos, captando y procesando de manera oportuna situaciones referentes a: cambios en la normativa legal o reglamentaria, el alcance; conocer la opinión de los usuarios sobre el servicio que se le proporciona; sus reclamos, inquietudes y sus necesidades emergentes. En un sistema informático se utilizan computadoras para almacenar, procesar y/o acceder a información mientras que un sistema de información se pueden utilizar computadoras, pero no es necesario. El acceso a la información puede ser físico (por ejemplo, una persona se encarga de buscar en un archivador). Tanto el sistema informático como el sistema de información, incluyen a las personas que acceden o producen información dentro del sistema. Las personas tienen que capacitarse para entender el funcionamiento y procedimientos que soporta sistema. Ambos sistemas tienen un propósito. Por ejemplo, gestionar el acceso y distribución de libros una biblioteca, administrar la entrada o salida de mercadería, personal y otros recursos de un comercio, etc.

Por Por Ing. Ing. Oswald Oswald Barreto Barreto

Referencias Bibliográficas Kendall, K. (2005). Análisis y diseño de sistemas. (6ª. Edición). México: Pearson Educación. Muñoz, C. (2002). Auditoria en sistemas computacionales. México: Pearson Educación. Rodríguez, Fernando (2006). Auditoría Informática en la Administración: un reto para los profesionales TIC. España: Tecnimap Ron Ben Natan (2005). Implementación de seguridad de base de datos y auditoría. ELSEVIER Digital Press, USA.

Reflexiones Finales La auditoría técnica y especializada que se enfoca únicamente a la evaluación del funcionamiento y uso correcto del equipo de cómputo, así como de su hardware, software y periféricos asociados se conoce como auditoria de controles informáticos del área de sistemas. La podemos clasificar en dos tipos: Auditoria al sistema computacional según las características de su hardware, esta abarca: tarjeta madre del sistema, Procesador, unidades adicionales, características, interfaz, tarjetas adicionales al sistema, periféricos externos asociados al sistema. Auditoria al sistema computacional según las características de su software: aprovechamiento y utilidad del sistema computacional, mantenimiento básico para los sistemas. La seguridad física también incluye la protección de la información soportada por el hardware, la almacenada y la que se transmite entre equipos Existen ataques o amenazas físicas que pueden dar lugar a la consecución o destrucción de la información almacenada. Página 4


Trazas deyAuditoria Administración de Base de Datos Metadatos la GestiónendelaInformación Digital

Introducción En la actualidad la infinidad de posibilidades que se tiene para tener acceso a los recursos TIC de formas distintas debido al gran incremento en las conexiones. En la internet los delitos en el ámbito de TIC se han visto incrementado y por ende bajo estas circunstancias los riesgos informáticos en todos los aspectos son más latentes. El papel del auditor informático debe estar encaminado en su formación continua hacia la búsqueda de fallos existentes dentro de los procesos y sistemas utilizados por las organizaciones, a la vez de proponer soluciones para estos problemas. Con frecuencia, el auditor informático deberá verificar que los programas, tanto de los sistemas como los usuarios, realizan exactamente las funciones previstas, y no otras. Para ello se apoyan de su pericia, en productos de Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Y es precisamente en este punto donde las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas en las bases de dados. Sabiendo que las mencionadas trazas no deben modificar en absoluto el sistema. Tanto desde el punto de vista legal como desde el punto de vista de auditoría es requerido que los sistemas de bases de datos puedan registrar la actividad sobre datos claves, para posteriormente poder rastrear el momento y el usuario que ha realizado una determinada modificación, incorporación o eliminación de datos. Por tal, prevenir, evitar y/o restringir tales riesgos se convierte en una tarea y un reto profesional difícil de relegar para aquellos que trabajamos cotidianamente con Bases de Datos y nos es primordial garantizar su integridad, confidencialidad y fiabilidad de uso en el mayor grado posible. Se pretende con este con el presente escrito describir conocer y resaltar la importancia de las trazas, trigger, log como representan tanto para una organización en su base de datos como para el auditor de sistemas de bases de datos a la hora de la elaboración del dictamen. Trazas de Auditoria en la Administración de Base de Datos Auditoria En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema de

Por Ing. Oswald Raúl Villamizar Barreto

computo con la finalidad de evaluar la situación del mismo. Los auditores deben tener la capacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y la información que se maneja. [González]. Auditoría De Base De Datos Según Mario Piattini (2.008), “es la actividad consistente en la emisión de una opinión profesional sobre si el objeto sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas”. En base de datos, el hecho de que estos y sus operaciones sean manipulados por seres humanos les agrega una componente de error, voluntario o no, que implica un riesgo para toda organización. Se desprende de aquí la necesidad de realizar auditoria a estos bancos de información y como parte de ellas la de poder analizar trazas de actividad de los usuarios sobre los datos de las aplicaciones. Tanto desde el punto de vista legal como desde el punto de vista de auditoría es requerido que los sistemas de bases de datos puedan registrar las actividades sobre sus datos. Entonces la auditoria de bases de datos, es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la información almacenada en las bases de datos incluyendo la capacidad de determinar: –Quién accede a los datos. –Cuándo se accedió a los datos. – Desde qué tipo de dispositivo/aplicación – Cuál fue la sentencia SQL ejecutada. – Cuál fue el efecto del acceso a la base de datos. Lógicamente todo esto es uno de los procesos fundamentales para apoyar la responsabilidad delegada a las Tecnologías de Información por la organización frente a las regulaciones y su entorno de negocios o actividad. Objetivos Generales de la Auditoría de Base de Datos La importancia de la auditoría del entorno de bases de datos radica en que es el punto de partida para poder realizar la auditoría de las aplicaciones que utiliza esta tecnología. Tanto el control interno como la auditoria empezaron a prosperar en la informática especializándose en ella y teniendo en cuenta no tanto el concepto u objetivo de la función sino el objeto que se controla o audita, el sistema de Información y sus componentes respecto a bases Página 5


Base de Datos Source, Una Alternativa Trazas deyAuditoria endelaInformación Administración deAcertada Base de Datos Metadatos la Open Gestión Digital

de datos es prioridad considerar la recolección de trazas de auditoría que es vital para la tarea del auditor o el perito. Disponer de mecanismos que permitan tener trazas de auditoría completas y automáticas relacionadas con el acceso a las bases de datos incluyendo la capacidad de generar alertas con el objetivo de: – Mitigar los riesgos asociados con el manejo inadecuado de los datos. – Apoyar el cumplimiento regulatorio. – Satisfacer los requerimientos de los auditores. – Evitar acciones criminales. – Evitar multas por incumplimiento. En cuanto a las funciones de auditoría que ofrece el propio sistema, prácticamente todos los productos del mercado permiten registrar ciertas operaciones realizadas sobre la base de datos de un fichero (o en un conjunto de tablas) de pistas de auditoría (Audit trail). El propio modelo de referencia de gestión de datos-ISO (1993), considera las pistas de auditoría como un elemento esencial de un SGBD, señalando que el requisito para la auditoria es que la causa y el efecto de todos los cambios de la base de datos sean verificables. Tanto desde el punto de vista legal como desde el punto de vista de auditoría es requerido que los sistemas de bases de datos puedan registrar la actividad sobre datos claves, para posteriormente poder rastrear el momento y el usuario que ha realizado una determinada modificación, incorporación o eliminación de datos. Por tal, prevenir, evitar y/o restringir tales riesgos se convierte en una tarea y un reto profesional difícil de relegar para aquellos que trabajamos cotidianamente con Bases de Datos y nos primordial garantizar su integridad, confidencialidad y fiabilidad de uso en el mayor grado posible. Por este motivo sería importante poder contar con herramientas integrales que sean capaces de interactuar con diferentes gestores de bases de datos y que permitan definir qué datos se deben auditar permitiendo explotar la información de trazas de actividad de manera fácil y segura. Capas Auditables DBMS, componentes auditables Políticas de administración de datos Políticas de actualización del software Políticas de tuning

Por Ing. Raúl Villamizar

Componentes Auditables en Base de Datos: Esquemas Bases Tablas Restricciones Trazas de Auditoria Una traza de auditoría es un registro histórico de todos los cambios (inserción, borrado o actualizaciones) de la base de datos, junto con información sobre el usuario que realizo el cambio y en qué momento. (Silberschatz, 2002). Por su parte la SUDEBAN en su normativa de Tecnología de la Información, Servicios Financieros Desmaterializados, Banca Electrónica, Virtual y en Línea para los entes Sometidos al Control, Regulación y Supervisión de la Superintendencia de Bancos y Otras Instituciones Financieras (2007). Define Registros o Trazas de Auditoria como “Archivo protegido contra escritura que almacena información en forma secuencial de las transacciones u operaciones que son ejecutadas por los usuarios de los sistemas de información”. De igual forma en el mismo texto, Capítulo III de Generación de registros de Auditorias, Artículo 49: expresa “Se deben mantener activos los registros o pistas de auditoría generadas por las aplicaciones y sistemas de misión crítica, particularmente en aquellos casos en los cuales exista modificación o alteración de la información almacenada en las bases de datos productivas. De igual forma, deberán asegurar el almacenamiento de los mencionados registros por un periodo de un (1) año”. Por otra parte, las pistas de auditoría deberán ser revisadas por el área de seguridad de la información y auditoría de sistemas, para lo cual será necesario generar informes que reflejen posibles brechas o vulnerabilidades identificadas. Estos informes deberán generarse anualmente y deben ser entregados a esta Superintendencia, cuando así sea requerido. Entendido lo expuesto anteriormente mencionadas, muchas aplicaciones de bases de datos seguras requieren que se mantengan una traza de auditoría, puesto que la traza de auditoría ayuda a la seguridad de formas diferentes. Por ejemplo, si el saldo de una cuenta es incorrecto, el banco desearía revisar todas las actualizaciones realizadas sobre la cuenta para encontrar las actualizaciones incorrectas (o fraudulentas), así como las personas que realizaron los cambios. El banco podría entonces usar la traza de auditoría para revisar todas las actualizaciones realizadas por estas personas para encontrar las actualizaciones incorrectas o fraudulentas. Página 6


Trazas deyAuditoria endelaInformación Administración deAcertada Base de Datos Base de Datos Source, Una Alternativa Metadatos la Open Gestión Digital

Es decir, que es posible crear una traza de auditoría definiendo disparadores adecuados sobre las actualizaciones de las relaciones (usando variables definidas del sistema que identifican el nombre de usuario y la hora). Sin embargo, muchos sistemas de bases de datos proporcionan mecanismos incorporados para crear trazas de auditoría que son más convenientes de usar. Estos detalles de la creación de las trazas de auditoría varían entre los sistemas de bases de datos. Audit Table Se utilizan para rastrear las transacciones entre tablas dentro de la base de datos. Ellas le permiten ver un "log" en curso. Se tiene la presente tabla: crear tabla SensitiveInformation ( SensitiveNumber int no nula , SensitiveData varchar ( 100 ) no nulo ) ir Es posible que los usuarios y / o aplicaciones que tienen acceso a insertar, actualizar y eliminar de esa tabla. Sin embargo, debido a la naturaleza sensible de los datos, es posible que desee tener una manera rápida y fácil de rastrear quién está ejecutando esta acción. Así que se tiene la tabla de auditoría para saber lo que se está haciendo en específicamente en el sistema lo que normalmente incluye la base quién, qué, cuándo. Una tabla de auditoría ó Audit Table podría tener la estructura: crear tabla SensitiveInformationAudit ( SensitiveNumberNew int nula , SensitiveNumberOld int nula , SensitiveDataNew varchar ( 100 ) NULL , SensitiveDataOld varchar ( 100 ) NULL , Acción varchar ( 50 ) no nula , datetime AuditDate no nula , LastUpdatedUser varchar ( 100 ) no nulo ) ir Las tablas de auditoría se llenan típicamente a través de la utilización de disparadores de base de datos. En otras palabras, cuando por acción sucede en “SensitiveInformation”, insertar los detalles de la misma en “SensitiveInformationAudit” y lógicamente estas acciones deben ser corrobaradas por el auditor para la recolección de trazas de auditoría a analizar y elaboración de dictamen.

Por PorIng. Ing. Raúl Raúl Villamizar Villamizar

LOG El log vienen a ser un historial que informa que fue cambiando y cómo fue cambiando (información). Las bases de datos utilizan el log para asegurar lo que se llaman las transacciones. Las transacciones son unidades atómicas de cambios dentro de una base de datos; toda esa serie de cambios se encuadra dentro de una transacción, y todo lo que va haciendo la Aplicación (grabar, modificar, borrar) dentro de esa transacción, queda grabado en el log como trazas. La transacción tiene un principio y un fin, cuando la transacción llega a su fin, se vuelca todo a la base de datos. Si en el medio de la transacción se cortó por x razón, lo que se hace es volver para atrás. El log te permite analizar cronológicamente que es lo que sucedió con la información que está en el Sistema o que existe dentro de la base de datos. Trigger o Disparadores Un disparador es una orden que el sistema ejecuta de manera automática como efecto secundario de la modificación de la base de datos. (Silberschatz, 2002). Para diseñar un mecanismo disparador hay que cumplir dos requisitos: 1. Especificar las condiciones en las que se va a ejecutar el disparador. Esto se descompone en un evento que causa la comprobación del disparador y una condición que se debe cumplir para ejecutar el disparador. 2. Especificar las acciones que se van a realizar cuando se ejecute el disparador. Este modelo de disparadores se denomina modelo evento-condición-acción. La base de datos almacena disparadores como si fuesen datos normales, por lo que son persistentes y accesibles para todas las operaciones de la base de datos. Una vez se almacena un disparador en la base de datos, el sistema de base de datos asume la responsabilidad de ejecutarlo cada vez que ocurra el evento especificado y se satisfaga la condición correspondiente. Trazas de Auditoría en algunas Base de Datos Oracle Existe un log (Ficheros Diarios) donde se registran distintas clases de información clasificada por tipo. Hay varias formas de habilitar las trazas en función de lo se pretenda para la auditoria. Aquí un caso particular de habilitar la traza de usuario en Oracle. Página 7


Trazas deyAuditoria endelaInformación Administración deAcertada Base de Datos Base de Datos Source, Una Alternativa Metadatos la Open Gestión Digital

Teniendo en cuenta previo de modificar los parámetros timed_statistics y max_dump_file_size en caso de no estar seteados a true y unlimited.

Por Por Ing. Ing. Raúl Raúl Villamizar Villamizar

SQL> alter system set timed_statistics=true; SQL> alter system set max_dump_file_size=unlimited;

Esta información la podemos obtener haciendo un select a la vista v$session; El ejemplo está puesto con un id=20 y un serial#=225. Para empezar a ejecutar la traza lanzamos lo siguiente: exec sys.dbms_system.SET_BOOL_PARAM_IN_SESS ION(20, 225, 'sql_trace', TRUE);

Trazando la sesión actual de usuario

-- ejecutamos las sentencias--

Para iniciar la ejecutamos lo siguiente:

sesión

de

usuario

SQL> ALTER SESSION SET SQL_TRACE = TRUE; -- ejecutamos las sentencias-SQL> ALTER SESSION SET SQL_TRACE = FALSE; Para saber dónde guarda oracle sus trazas podemos ejecutar la siguiente consulta: SQL> select * from v$diag_info; Trazando Sesión de Usuario con un Trigger Al usuario al que queramos habilitarle la traza le creamos los siguientes triggers. Para ejecutarse cuando abra sesión create or replace trigger user_logon_trg after logon on database begin if USER = 'xxxx' then execute immediate 'Alter session set events ''10046 trace name context forever, level 8'''; end if; end; / Para ejecutarse cuando se desconecte. create or replace trigger user_logoff_trg before logoff on database begin if USER = 'xxxx' then execute immediate 'Alter session set events ''10046 trace name context off'''; end if; end; / Trazar la sesión de otro usuario. Para ello necesitamos saber el sid y el serial# de la sesión que queremos trazar.

Para parar la traza respectiva. exec sys.dbms_system.SET_BOOL_PARAM_IN_SESS ION(20, 225, 'sql_trace', FALSE); SQLServer SQL Server proporciona más de 100 eventos predefinidos y un usuario puede configurar 10 eventos adicionales. Las trazas en el lado del servidor se ejecutan de una forma invisible y se puede iniciar una traza de una forma automática cada vez que se inicia SQL Server. Esto garantiza que siempre se recogerá cierta información crítica y se puede utilizar como un mecanismo útil de auditoría. SQL Server está certificado para un nivel C2 de seguridad y muchos de los eventos que pueden ser objeto de traza están disponibles exclusivamente para soportar requisitos C2 de certificación. Ofrece la posibilidad de crear las trazas por medio de procedimientos almacenados de sistemas denominado Transact-SQL o por medio de una herramienta del entorno del DBMS denominada SQL Server Profiler, también puede ser utilizado dentro de una aplicación para crear trazas manualmente. SQL Server permite ver como se resuelven las consultas internamente por parte del motor. Entre sus funciones esta: √ crear una traza; √ observar el resultado de la ejecución de una traza; √ almacenar el resultado de una traza en una tabla; √ iniciar, parar, pausar y modificar los resultados de una traza; √ reejecutar una traza; SQL permite ahondar aún más en SQL Server para supervisar automáticamente toda instrucción ejecutada como parte de un procedimiento almacenado, toda operación de modificación de datos, todo bloqueo adquirido o liberado, o cada vez que crece un archivo de base de datos. Hay docenas de eventos distintos que Página 8


Trazas deyAuditoria ende laInformación Administración deAcertada Base de Datos Base de Datos Source, Una Alternativa Metadatos laOpen Gestión Digital

se pueden capturar y docenas de elementos de datos que se pueden capturar para cada evento. SQL Server realmente divide la funcionalidad de traza en dos componentes separados aunque conectados. El Analizador de SQL está en la traza del cliente. El Analizador muestra todo evento que cumple el criterio del filtro mientras ocurre. Una vez que se han guardado los datos de la traza, el Analizador de SQL puede leer los datos guardados para mostrarlos o analizarlos.

Ficha Eventos del cuadro de diálogo propiedades de traza. DB2 Posee una herramienta especifica llamada DB2 Log Analysis Tool for z/OS V2.3 que permite un control completo sobre la integridad de datos. DB2 proporciona una serie de herramientas para facilitar el uso y administración. Las herramientas creadas por los fabricantes han permitido la mejora del núcleo del conjunto de herramientas del programa. Para los administradores, DB2 proporciona un soporte completo para la carga, importación, exportación, reorganización, redistribución y otras utilidades relacionadas con los datos. Además, DB2 soporta herramientas tales como: • Auditoría para el mantenimiento de la traza de auditoría de las acciones sobre la base de datos. • Regulador para controlar la prioridad y tiempos de ejecución en distintas aplicaciones. • Supervisor de consultas para gestionar los trabajos de consulta en el sistema. • Características de traza y diagnóstico para la depuración.

Por Ing. Raúl Villamizar

Supervisión de eventos para seguir los recursos y eventos durante la ejecución del sistema. Postgres Permite realizar trazas de actividad denominadas trazas dinámicas. Para ello utiliza en alguna versiones el utilitario DTrace, disponible en Solaris Express y Solaris 10+. No obstante se puede realizar trazas dinámicas cambiando las definiciones de la macro PG_TRACE incluidas en el archivo src/include/pg_trace.h. Posee un conjunto de puntos de traza predefinidos que están inicialmente deshabilitados por defecto y deben ser habilitados en el script de configuración para que la información este disponible en Postgresql. Se lo hace mediante el comando: --enable-dtrace También para trabajar con el programa dtrace se requiere setear la variable de ambiente DTrace para encontrar su ubicación y para pasarle opciones adicionales se debe setear la variable de ambiente DTRACEFLAGS. Por ejemplo utilizando el compilador GCC con soporte para 64 bits sería: ./configure CC='gcc -m64' --enable-dtrace DTRACEFLAGS='-64' ... Requiere de conocimientos previos de uso y definición de puntos de traza. Estos últimos se pueden definir en el código a través de macros de traza. Existen dos mecanismos para definición de un punto de traza: con una macro: PG_TRACE (my__new__trace__point); con una macro y con tres variables de inspección PG_TRACEn: PG_TRACE3 (my__complex__event, varX, varY, varZ); Algunos aspectos claves que es que no se debe comprometer el desempeño de las bases de datos para soportar diferentes esquemas de auditoría puesto que se debe tomar en cuenta el tamaño de las bases de datos a auditar y los posibles acuerdos en la auditoria ya establecidos que se cubrirán. En cuanto a la segregación de funciones, el sistema de auditoría de base de datos no puede ser administrado por los administradores de bases de datos del área de tecnología de información en cuestión. Sin pasar por alto que para auditorías completa y extensiva el auditor deberá cubrir gran cantidad de manejadores de bases de datos conocer de estándares, generación de los reportes y reglas del área a auditar. Página 9


Base de Datos Source, Una Alternativa Trazas deyAuditoria endelaInformación Administración deAcertada Base de Datos Metadatos la Open Gestión Digital

Consideraciones Finales Los cambios en la tecnología influyen en qué auditar y en cómo auditar, por lo que inevitablemente, la auditoría ha cambiado de manera drástica en los últimos años con el gran impacto que han generado las técnicas informáticas en la forma de procesarla. Los procesos de negocios, que se llevan a cabo dentro de las unidades de una organización, se coordinan en función de los procesos de gestión básicos de planificación, ejecución y supervisión. El control que provee la auditoria es parte de dichos procesos y está integrado en ellos, permitiendo su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad en cada momento, con lo que, constituye una herramienta útil para la gestión, pero no un sustituto de ésta. Los controles impuestos por la auditoria, deben ser incorporados a toda la infraestructura de una entidad, no deben ser añadidos, de manera que no deben entorpecer, sino favorecer la consecución de los objetivos de la entidad. La variabilidad de las trazas y su repercusión hacen necesarios que antes de ponernos a examinar aspectos específicos obtengamos una buena imagen como administradores de base de datos lo que se está grabando en tanto SYSLOG como SMF, para así satisfacer los requerimientos en la auditoria. Una vez entendamos que se está auditando, estaremos en condiciones de emitir un dictamen acertado. El saber que existen diversas aplicaciones según la base de datos utilizada para la creación y generación de trazas de auditoría inmutables, garantizando los estándares más elevados de integridad, confidencialidad y autenticidad de los datos. Como un notario digital, creando registros protegidos contra manipulación, siendo especialmente valiosos en entornos de protección de la privacidad, informática forense y auditoría propiamente. Dentro del ámbito de la administración de Base de Datos, toda traza es controlada por el acceso de seguridad de su administrador ó creador. Se debe establecer sin interrupción alguna, procedimientos que aseguren la continuidad del procesamiento durante los cambios de turno de los operadores de bases de datos, así como, garantizar el registro cronológico de información en las trazas de auditoría. El administrador de base de datos debe restringir la inclusión directa de datos en las estructuras sin la aprobación del área usuaria de

Por Ing. Ing. Raúl Raúl Villamizar Villamizar Por

la aplicación, auditoría y la unidad de seguridad de los activos de información, destacando que toda carga con las mencionadas características, deberá documentarse, justificarse y autorizarse por las unidades competentes. Fuentes Consultadas Fundamentos de Bases de Datos, Abraham Silberschatz, Cuarta Edición, Editorial Mc GrawHill, Madrid España. 2002. ISBN: 0-07-228363-7. Mario Piattini Velthuis. Auditoria De Tecnologías y Sistemas De Información. Ra-Ma Editores, España. 2008. ISBN: 9788478978496. Auditoria de Bases de Datos. GAVA: Soporte para registración y análisis de cambios en los datos. Ingravallo, Héctor Gabriel. Universidad Nacional de la Patagonia, Argentina. 2007. Mario G. Piatinni, Emilio de Peso. AUDITORIA INFORMÁTICA – UN ENFOQUE PRÁCTICO” Por: Cáp. 14. “La Auditoría de Base de Datos”. Pp. 311 – 333. Editorial Alfaomega, 1996. Micro System Tecnology (Consultado en la Web 10-07-2013). http://www.jkmst.com/base_de_datos.htm Sánchez, Jorge. Diseño Conceptual de Bases de Datos, guía de aprendizaje Año 2004, Creative Commons, 559 Nathan Abbott Way, Stanford, California. 94305, USA. Auditoría en Informática. Echenique G. J.A. Segunda Edición. Editorial Mc Graw - Hill. Madrid España 2001.

Página 10


Base de Datos Source, Una Acertada El Entrenamiento del Auditor enAlternativa el UsoDigital de las Nuevas Tecnologías de Información Por Por Ing.Raúl Johs Barreto Ing. Villamizar Metadatos y la Open Gestión de Información

Introducción El tema central en la era de la globalización, lo constituye el avance tecnológico, el cual representa quizás el reto más importante para las organizaciones venezolanas, las cuales se han visto en la necesidad de dar prioridad al entrenamiento y actualización constante de su Recurso Humano, a fin de que éste responda satisfactoriamente a las exigencias en el Uso de las NTI, especialmente las organizaciones de servicios. En este sentido, la presente investigación se refiere al estudio del auditor, en cuanto a su preparación y conocimientos de las NTI. Asimismo tiene como propósito, el Entrenamiento que permita el uso de las mismas, a fin de brindar una preparación técnica y profesional, para satisfacer tanto sus necesidades personales como las de la organización. Esta investigación tiene por objeto el entrenamiento que permita tener capacitado y actualizado al auditor que labora en dicha organización, ya que el crecimiento de los sectores es cada vez más relevante y actualmente se encuentran en una era donde predomina la información y es la que está eliminando los trabajos manuales de personal no calificado, al mismo tiempo que está generando abundantes oportunidades de trabajo para especialistas técnicos, hábiles e instruidos, profesionistas y otros, es decir, trabajadores con conocimientos. Por otro lado, las empresas de servicios son las que están dominadas por la economía y es por ello que la tecnología se utiliza para revitalizar el servicio al cliente, proporcionando la capacidad de identificación y rastreo a los clientes en forma individual. Por consiguiente, estas organizaciones requieren de un Auditor que se encuentre altamente capacitado y enfrente los constantes cambios tecnológicos que se presentan. En relación a esto último, la presente investigación pretende que la organización, vea la importancia que tiene el Recurso Humano dentro del desarrollo productivo, a través del uso de las NTI. Finalmente, la estructura formal de la investigación consta de las siguientes partes: En primer lugar, referente a la problemática existente, en el cual se encuentra el planteamiento del mismo. En segundo lugar, constituido por los estudios previos que están dados por trabajos realizados sobre el área en el ámbito local, regional o nacional, las teorías, que constituyen el referencial teórico que sirvió del soporte al

problema y el glosario de términos. En tercer lugar, aborda lo relativo a las conclusiones. Igualmente se presenta las referencias bibliográficas. Postulados Fundamentales Las presiones de la globalización y competitividad que actualmente viven las empresas, imponen la necesidad de dar prioridad al entrenamiento y desarrollo del Auditor a fin de garantizar que tengan la capacidad para adaptarse a los cambios económicos, políticos y sociales, respondiendo así con flexibilidad, rapidez y eficacia al entorno donde se desenvuelve. El aumento de la competitividad, el rápido y creciente desarrollo tecnológico, la fuerte tendencia a la globalización del mercado y las exigencias de la fuerza laboral, impulsan a las organizaciones a ser cada vez más flexibles, innovadoras y a concentrar sus esfuerzos en la búsqueda de nuevas maneras de potenciar y convertir al Auditor en una verdadera ventaja competitiva. En este sentido, Robbins (1996), plantea que “la tecnología puede ser utilizada para revitalizar el servicio al cliente”, es decir, permite a una organización desarrollar prácticas fundamentalmente nuevas para el negocio. Asimismo, Goycochea (2002), menciona que, “las NTI desde hace más de una década, permite a la función de Recursos Humanos, integrar a la productividad de los procesos administrativos, estándares de confiabilidad y rapidez, dejando en el pasado, las montañas de papel, los archivos muertos y la lentitud del proceso burocrático, haciendo uso de las ventajas competitivas y los procesos que facilitan la toma de decisiones de manera descentralizada, mejorar el apoyo al cliente, conseguir pedidos importantes, reducir los errores y aprovechar las oportunidades”. (P.1). En tal sentido, un adecuado y oportuno entrenamiento del Auditor, facilita a la organización la tarea de enfrentar los constantes cambios que surgen en el entorno tecnológico y de adaptarse a los requerimientos generados por nuevas realidades, especialmente en el caso de las organizaciones, que normalmente están amenazadas por la marcada competencia que representa la existencia de otras empresas del ramo. Por esto, “las organizaciones progresistas van un poco más allá en su manera de concebir el entrenamiento y desarrollo: se preparan para un futuro. Esto requiere el pronóstico de las nuevas aptitudes que se requerirán debido a los cambios Página 11


El de Entrenamiento delde Auditor el Uso de Acertada las Nuevas Tecnologías de InformaciónPor Por Barreto Base Datos Source, Unaen Alternativa Metadatos y laOpen Gestión Información Digital Ing.Ing. RaúlJohs Villamizar

tecnológicos y metodológicos”. (Weihrich y Koontz, 1994, p. 423). En este contexto, las organizaciones que no se han adaptado con equipamiento y entrenamiento del Recurso Humano en el ámbito de las NTI, corren el riesgo de desaparecer o se hacen incapaces de competir dentro del proceso productivo venezolano, donde se ha dado origen a un sin número de organizaciones empresariales representativas en los diferentes sectores de la industria, exigiendo la formación de un Recurso Humano altamente especializado y con una preparación en el desempeño, conocimiento y manejo de NTI, para el desarrollo de sus funciones dentro del sistema productivo. Al respecto, se refleja el caso de las organizaciones, que desde su creación se han encaminado a una interrumpida labor dentro del estado venezolano, con una fortaleza representativa, ejemplo de seriedad y eficiencia en el cumplimiento de todas sus obligaciones, ofreciendo servicios de calidad integral en los diferentes áreas y en donde actualmente se han generado grandes cambios que afectan de manera directa al personal, esto se debe a que las mismas se han ido integrando al desarrollo social del país, lo que ha traído como consecuencia que actualmente se encuentre en una etapa de reorganización, con gran cantidad de empleados y en la que el auditor mejor preparado en el área y en el uso de las NTI, será en definitiva quien tenga la ventaja de permanecer en su actual puesto de trabajo. Por otro lado, las organizaciones no cuenta con ningún programa de entrenamiento del auditor que permita ampliar sus habilidades, para así mejorar su desempeño y mantener una línea operativa a la par con las organizaciones que emplean tecnología avanzada. Por tal razón, el creciente reconocimiento e importancia de las NTI, ha demostrado que el control de ésta y la innovación son fuentes de ventaja competitiva importante para las organizaciones. En años recientes, se ha aceptado que la capacidad de manejar estos procesos de cambios técnicos crecientemente, define la línea divisoria entre los países industrializados y los que no son industrializados. En este mismo orden de ideas, Goycochea (2002), destaca que “los Recursos Humanos pueden proporcionar a la empresa importantes aportaciones en las áreas que la estructuran, en función del giro de la empresa y sus principales objetivos a lograr”, es decir, las empresas en general tienen la oportunidad de competir en el mercado en que se encuentran, con procesos, productos y servicios en general.

En este sentido, la presente investigación se realiza por la necesidad de conocer hasta qué punto se encuentra preparado en el uso de las NTI, el auditor que labora en las organizaciones; conociéndose a su vez el nivel de entrenamiento y desarrollo de éste al momento de desempeñar su labor en la misma, siendo de gran utilidad los resultados que se obtengan a través del análisis de las funciones del auditor. La razón fundamental de entrenar a los empleados según Robbins (1996), “es establecer relaciones directas entre los empleados y sus clientes siempre que sea posible incrementar la variedad de habilidades, la autonomía y la retroalimentación para el empleado”, es decir, proporcionar las herramientas necesarias para que puedan ampliar sus conocimientos y habilidades que requieren para lograr un desempeño satisfactorio dentro de la organización. Por otra parte, se pretende conocer las necesidades de mejoramiento y preparación del Auditor para enfrentar la demanda, problemas y retos competitivos que proporcionan la oportunidad de desarrollar su potencial, al igual que crear un ambiente propicio para la asimilación y estabilización de las NTI. Es importante señalar, que debe existir una apropiada interacción entre la empresa y el ambiente, ya que la economía está dominada por las organizaciones de servicios, las cuales ahora proporcionan la mayoría de los puestos de trabajo y la gran masa de inversión de capital. En virtud de lo anteriormente expuesto, se debe realizar un Plan de Entrenamiento, a fin de proveer a la organización de manera sistemática la actualización al Auditor, de modo que éste cumpla con las expectativas para los cambios tecnológicos que se generen, permitiendo llevar a cabo su formación profesional, beneficiando, no solo al personal, sino a la organización, ya que este fue creado con la finalidad de reducir la carga de trabajo de los jefes, los rechazos, desperdicios, los costos por sobre tiempo, la reducción de quejas, la reducción de accidentes, los conflictos laborales, así como el mejoramiento de las comunicaciones, el aumento de la eficiencia individual, el desarrollo de las capacidades del personal y el aumento de la seguridad personal y económica, logrando así enfrentar los cambios que se puedan presentar en el campo laboral. La Evolución de la Auditoría Cuando se trata de definir la disciplina y práctica de la auditoria, se encuentran varias complicaciones semánticas y de definición; Página 12


El Perfil delyAdministrador de Base Datos El Entrenamiento delde Auditor en de el Uso de las Nuevas Tecnologías de Información Por PorIng. Ing.Johs JohsBarreto Barreto Metadatos la Gestión Información Digital

muchos de éstos problemas se deben a la dificultad de diferenciar la auditoria generales de la administración y auditoria. Según, Muñoz (2002), “podemos intuir que la primera auditoría nació desde el momento en que fue necesario rendir cuentas de algún negocio y revisar que éstas fueran correctas; es evidente que dicha función fue evolucionando a la par que el crecimiento de la actividad de registros de operaciones mercantiles. Sin embargo, de acuerdo con los primeros antecedentes de auditoría, ésta nació antes que la teneduría de libros a finales del siglo XV, pero se profesionalizó con la contabilidad financiera a finales del siglo pasado”. (p. 4) La auditoría se ocupa de la planeación, verificación, control, integración, comunicación y toma de decisiones que realiza una empresa para coordinar los diversos recursos, a fin de crear eficazmente algún producto o servicio. Las actividades o funciones que desempeñan los auditores son tema de debate y conjeturas, pero tradicionalmente están a su cargo los procesos de planeación, verificación y control. La auditoria está relacionada con los diversos recursos o insumos de la organización. Los hombres, dinero, métodos, materiales y maquinaria son ejemplos de tales recursos. Este mismo autor señala que el término Auditoría “es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación” (p.34). En este sentido, la auditoría se refiere a las técnicas y métodos que se deben llevar a cabo para identificar los aspectos relacionados directamente con el Recurso Humano dentro de toda organización, ya sea pública o privada. En este mismo orden de ideas, la evolución de la función del auditor es inseparable de la evolución histórica de la humanidad. Todos los acontecimientos que forman la historia han tenido cuando menos cierto efecto en la naturaleza evolutiva de las relaciones con los empleados. Un estudio exhaustivo del personal y las relaciones humanas debe iniciarse con el estudio de los seres humanos. Sin embargo, es imposible rastrear profundamente tales desarrollos sin contar con el tiempo y el espacio necesario. Principalmente, se deben hacer ciertas observaciones preliminares. Primero; la evolución de la función de auditor es histórica en el sentido que está estrechamente entrelazada y asociada

con las épocas y acontecimientos históricos. Los acontecimientos sociales, económicos, políticos, tecnológicos y culturales que han dejado su huella en la historia. Segundo; la historia de la función de auditor es evolutiva, no revolucionaria; es decir, que los cambios que han ocurrido en este campo, han sido causados en su mayor parte por cambios culturales graduales y no por sucesos drásticos. El movimiento de relaciones humanas fue como una reacción contra la impersonalidad de la época de la administración científica. En tanto ésta maduraba y se volvía más profesional, aumentaba el cuidado de que el auditor es lo más valioso que posee una empresa. Esta puede tener dinero, maquinaria, métodos y equipo, pero si carece de auditores competentes, los recursos físicos son inútiles. Aunque todavía se desconocen las relaciones precisas entre los fenómenos del comportamiento y la productividad, la creencia general es que tales factores humanos tienen una influencia enorme sobre las operaciones generales de una empresa. A diferencia de otros movimientos modernos que han influido en la auditoría, el surgimiento de los especialistas en auditoría no representa un movimiento filosófico, sino que se le considera como un movimiento estructural. El crecimiento de las empresas creó la necesidad de estos especialistas en auditoría. Su aparición no se debió a cambios de actitud o de criterio, aunque después tales consideraciones puedan haber influido indirectamente en la evolución de los especialistas en auditoría. Al principio, estos encargados de auditoría no eran especialistas. No tenían un entrenamiento o estudio particular de sus áreas de trabajo. Eran especialistas sólo porque sus actividades y esfuerzos se concentraban a un conjunto limitado de deberes y responsabilidades. Pero, después de muchos años de practicar este trabajo bien definido, los encargados empíricos se volvieron especialistas o expertos en estas áreas. Finalmente, esta experiencia se incorporó a programas de entrenamiento especializado y a programas educativos. Los graduados en tales programas se podían denominar especialistas, en el sentido en que comúnmente se interpreta en la actualidad. Aspectos acerca del Entrenamiento del Auditor Según Dessler (1996), “El entrenamiento consiste en proporcionar a los empleados, nuevos o actuales, las habilidades necesarias para desempeñar su trabajo”. (p.115). Por esto, el entrenamiento del auditor puede ser la diferencia en los resultados de una organización por que Página 13


Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información ElEl Perfil delyAdministrador de Base Datos Metadatos la Gestión de Información Digital

permite desarrollar al empleado para algún puesto futuro o resolver ciertos problemas organizacionales referentes a la función que realiza. En la actualidad, el entrenamiento del auditor se utiliza por muchas empresas para lograr dos objetivos adicionales. Primero, enseñanzas de aptitudes más extensas a los auditores de la empresa y segundo, aprovechando el hecho de que el entrenamiento puede mejorar el compromiso del auditor. En cualquier caso, el entrenamiento sé esta moviendo hacia una etapa central como medio para mejorar la competitividad de las empresas en un mercado cada vez más exigente. Por otra parte, Robbins (1998), sostiene que, que el entrenamiento “es ideal tanto para los empleados y gerentes por igual, ya que deberían entrenarse en forma continúa para mantener actualizadas sus habilidades” (p.272). En realidad, pocas organizaciones han hecho el compromiso de proporcionar a su personal un continuo aprendizaje, y los empleados tampoco toman de manera voluntaria la iniciativa para buscar oportunidades de entrenamiento. En la mayoría de las organizaciones, el entrenamiento es proporcionado como se vaya necesitando, y la decisión de cuando surge esa necesidad recae en los gerentes individuales, que al contar con los recursos de las NTI, le permiten planear y programar las actividades del Auditor, observar su desempeño, tomar las decisiones correctas en el tiempo adecuado y colaborar conjuntamente al desempeño empresarial deseado. Tipos de Entrenamiento El Entrenamiento, se refiere a los programas que facilitan el proceso de aprendizaje y es, en su mayor parte, una actividad a corto plazo para que los empleados realicen mejor sus trabajos, así como debe incluir desde la enseñanza de habilidades de lectura hasta cursos avanzados de liderazgo ejecutivo. Según Robbins (1998), existen varios tipos de Entrenamiento los cuales se mencionan a continuación: Entrenamiento en el Trabajo Se pueden encontrar muchas oportunidades de desarrollo. El personal en Entrenamiento puede aprender mientras contribuye a los propósitos de la empresa. Sin embargo, debido a que este enfoque requiere administradores competentes y de alto nivel, que puedan enseñar y asesorar a los novatos, existen limitaciones del Entrenamiento en el trabajo.

Por Ing. Johs Barreto

En este mismo orden de ideas, se hace necesario que los superiores tengan paciencia y sensatez, que estén dispuestos a delegar autoridad y dar reconocimiento y elogiar los trabajos bien realizados. Los entrenadores eficaces desarrollarán los aspectos fuertes y los potenciales de los subordinados y les ayudarán a superar sus debilidades. Entrenamiento Fuera del Trabajo o Externo Existen numerosos métodos de Entrenamiento fuera del trabajo que los gerentes pueden poner a disposición de sus empleados. Los más populares son las conferencias en salones de clase, los videos y los ejercicios de simulación. Las conferencias en salones de clase son apropiadas para proporcionar información específica. Pueden ser utilizadas de manera efectiva para desarrollar habilidades técnicas y de solución de problemas. Los vídeos también pueden ser utilizados para demostrar explícitamente las habilidades técnicas que no pueden mostrarse con facilidad por otros métodos. Las habilidades interpersonales y de solución de problemas podrían aprenderse mejor a través de ejercicios de simulación como el análisis del uso de ejercicios experimentales, la adopción de papeles y sesiones de interacción en algunos modelos complejos por computadora, como los utilizados por las aerolíneas en el Entrenamiento de pilotos, son otra clase de ejercicios de simulación. El Entrenamiento fuera del trabajo puede estar a cargo de consultores externos, profesores de una universidad local o personal de la propia empresa. Entrenamiento de Vestíbulo En este tipo de Entrenamiento, los empleados aprenden sus trabajos en el mismo equipo que están utilizando, solo que el Entrenamiento es llevado a cabo fuera del puesto de trabajo. Por tanto, el Entrenamiento vestibular busca obtener las ventajas del Entrenamiento en el trabajo sin colocar realmente en el puesto a la persona en Entrenamiento. Así mismo, Robín (1998), menciona ciertas habilidades para el desarrollo del personal: “Las Habilidades Conceptuales, es decir, la capacidad mental para analizar y diagnosticar situaciones complejas. Las Habilidades Humanas siendo la capacidad de trabajar con otros, comprenderlos y motivarlos, tanto en lo individual como en grupo. Las Habilidades Técnicas que es la capacidad de aplicar conocimientos o experiencia especializada"(p. 8). En este sentido, sí como, encontrarle un significado a las Página 14


Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información ElEl Perfil delyAdministrador de Base Datos Metadatos la Gestión de Información Digital

el entrenamiento en el desarrollo de estas habilidades instruye a los empleados acerca de administrar y valorar la diversidad, así como, encontrarle un significado a las diferencias culturales en el lugar de trabajo. El entrenamiento requiere tiempo, pero si se imparte correctamente ahorra tiempo, dinero y evita errores costosos de los subordinados; por lo tanto, a largo plazo, beneficiará a todos: al superior, a los subordinados y a la empresa. El desarrollo de la administración necesita adoptar un enfoque de sistema abierto que responda a las necesidades y a las exigencias del ambiente externo. Muchas empresas han realizado esfuerzos especiales para entrenar a estas personas, con el fin de que puedan utilizar todo su potencial, al mismo tiempo que contribuyen a los propósitos de la empresa. En tal sentido, existe la imperiosa necesidad de adoptar una nueva filosofía en las organizaciones, con apertura a las exigencias que impone el mundo globalizado y que incluya el uso de las NTI como valiosa herramienta, que permita obtener el más adecuado entrenamiento del personal y la optimización en el uso de dichas tecnologías, a fin de garantizar la calidad de los procesos administrativos en la organización. En este mismo orden de ideas, la tecnología ha estimulado amplios análisis y el perfeccionamiento de los procedimientos. Se necesita hacer un esfuerzo intenso para asegurar que el procedimiento es operable y claro antes de automatizarlo. Existe una gran necesidad de expertos que comprendan la naturaleza de los procedimientos como herramientas de administración y su importancia para el logro de los objetivos de la empresa. El análisis de sistema y procedimientos al igual que la TI es un trabajo de alto nivel, difícil y lleno de desafíos. Entrenamiento y Capacidad Profesional Según Rodríguez (2005), "La Auditoria debe ser efectuada por personal que tiene el entrenamiento técnico y pericia como Auditor". Como se aprecia de esta norma, no sólo basta ser Contador Público para ejercer la función de Auditor, sino que además se requiere tener entrenamiento técnico adecuado y pericia como auditor. Es decir, además de los conocimientos técnicos obtenidos en los estudios universitarios, se requiere la aplicación práctica en el campo con una buena dirección y supervisión. Este adiestramiento, capacitación y práctica constante forma la madurez del juicio del auditor, a base de la experiencia acumulada en sus diferentes

Por Ing. Johs Barreto

intervenciones, encontrándose recién en condiciones de ejercer la auditoría como especialidad. Lo contrario, sería negar su propia existencia por cuanto no garantizará calidad profesional a los usuarios, esto a pesar de que se multiplique las normas para regular su actuación. Independencia Según Rodríguez (2005), "En todos los asuntos relacionados con la Auditoría, el auditor debe mantener independencia de criterio". La independencia puede concebirse como la libertad profesional que le asiste al auditor para expresar su opinión libre de presiones (políticas, religiosas, familiares, etc.) y subjetividades (sentimientos personales e intereses de grupo). Se requiere entonces objetividad imparcial en su actuación profesional. Si bien es cierto, la independencia de criterio es una actitud mental, el auditor no solamente debe "serlo", sino también "parecerlo", es decir, cuidar, su imagen ante los usuarios de su informe, que no solamente es el cliente que lo contrató sino también los demás interesados (bancos, proveedores, trabajadores, estado, pueblo, etc.). En Venezuela, se encuentran en vigencia una diversidad de normas que tratan de garantizar la independencia del auditor, así tenemos: • Reglamento para la información financiera auditada (Artículo 5º), aprobada por la Resolución CONASEV (Nº 014-82-efc/94.10). • Ley de profesionalización del Contador Público (Decreto Ley Nº 13253). • Código de Ética Profesional del Contador Público • Ley del Sistema Nacional de Control (Decreto Ley 26162). • Reglamento de Designación de Sociedades de Auditoría, aprobado por Resolución de Contraloría Nº 162-93-CG. • Normas de Auditoría Gubernamental – NAGU, aprobadas por Resolución de • Contraloría Nº 162-95-CG. • Lineamientos generales para cautelar el adecuado fortalecimiento e independencia de los Órganos de Auditoría Interna, aprobado por Resolución de Contraloría Nº 189-93-CG, etc. El Proceso de Desarrollo Según Dessler (1996), “Es cualquier intento por mejorar el desempeño actual o futuro de los empleados mediante la impartición de conocimiento, el cambio de actitudes o el mejoramiento de las habilidades”. (p.105). Página 15


El Perfil delyAdministrador de Base Datos El Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información Metadatos la Gestión de Información Digital

Por lo tanto, se trata de programas internos como son cursos, asesoramientos en el trabajo y rotación de asignaciones, programas profesionales y programas universitarios. Además, se busca mejorar el desempeño futuro de la organización para cubrir todas sus necesidades en cuanto a la calidad del Auditor y facilitar la continuidad organizacional hacia el éxito competitivo. Weihrich y Koontz (1994), señala que "Los buenos ejecutivos miran hacia el futuro y se preparan para él. Una forma importante de hacerlo es desarrollar y capacitar administradores que puedan hacer frente a nuevas demandas, problemas y retos. Ciertamente, los ejecutivos tienen la responsabilidad de proporcionar capacitación y oportunidades de desarrollo a sus empleados para que éstos puedan desarrollar todo su potencial". (p.398). En este sentido se hace referencia a la implantación de programas orientados hacia el futuro, a largo plazo y al progreso que realiza una persona cuando aprende a administrar. Por otra parte, la capacitación de auditoría se refiere a los planes que facilitan el proceso de aprendizaje y es, en su mayor parte, una actividad a corto plazo para que los empleados realicen mejor sus trabajos. Por su parte, Gutiérrez (2000), sostiene que el aprendizaje no tiene que ser un accidente. Las organizaciones deben crear condiciones, estructuras y sistemas que promuevan y maximicen el aprendizaje, ya que lo más impresionante es que pasar de la productividad a la competitividad representa en realidad un salto cuántico, soportado por uso tanto de tecnologías duras como blandas, relacionados directamente con el desempeño. Antes de seleccionar plan específico de capacitación y desarrollo, se debe considerar tres clases de necesidades. Las necesidades de la organización incluyen aspectos tales como los objetivos de la empresa y la disponibilidad de los auditores. Las necesidades relacionadas con las operaciones y con el trabajo en sí se pueden determinar a partir de las descripciones de funciones y de los estándares de desempeño. La información sobre las necesidades individuales de capacitación se puede recopilar de evaluaciones del desempeño, entrevistas con el auditor, pruebas, encuestas y planes de carrera para los mismos. Tecnología de la Información En décadas pasadas, los auditores no necesitaban saber mucho sobre cómo la información se obtenía, se procesaba y distribuía en sus organizaciones y la tecnología utilizada era

Por Ing. Johs Barreto

mínima. La información en sí no se consideraba como un activo de importancia para la empresa. En la mayoría de las organizaciones, la información era considerada como un subproducto y caro resultado de los negocios. Se consideraba que el proceso de administración era cara a cara, personal y no un proceso acelerado globalmente coordinado. Pero en la actualidad pocos administradores pueden darse el lujo de ignorar cómo se maneja la información en sus organizaciones. La evolución de las tecnologías y su incidencia sobre el mercado de trabajo, externo e interno, tanto en términos cualitativos como cuantitativos, demandando nuevas calificaciones profesionales, hace que éste deba ser un sector ambiental de especial interés desde la perspectiva de los Auditores. Así, habrá que prestar atención tanto a la evolución tecnológica de los conocimientos como a las tecnologías de las operaciones. Ello permitirá determinar, en que grado están capacitados para introducir nuevos procesos que permitan reducir costos, diferenciarse de otros competidores, innovar y en definitiva, mejorar la posición competitiva. Como la productividad del personal dependerá de la calidad de los sistemas que empleen, las decisiones administrativas sobre las NTI son de importancia capital para la prosperidad y sobrevivencia de una empresa. En este sentido, Laudon y Laudon (1996), definen al sistema de información “como un conjunto de componentes interrelacionados que permiten capturar, procesar, almacenar y distribuir la información para apoyar la toma de decisiones, la coordinación y el control. Los sistemas de información pueden también ayudar a los administradores y al personal a analizar problemas, visualizar cuestiones complejas y crear nuevos productos”. (p.340). La tecnología de los sistemas de información es una de muchas herramientas a la disposición de los auditores para enfrentar los cambios. De mayor importancia, hoy en día, las NTI son el enlace que mantienen unida a la información. Son los instrumentos a través del cual la administración crea y controla reportes, que facilitan el desempeño de la función del auditor en el logro de las metas de la organización. El cambio tecnológico se mueve más aprisa que los cambios de los seres humanos o las organizaciones. De allí que lo ideal sería que muchas organizaciones rediseñen sus procesos y logren la competitividad a través del uso de la NTI, para simplificar la comunicación y la coordinación, eliminar el trabajo innecesario y las ineficiencias Página 16


El Perfil delyAdministrador Base Datos El Entrenamiento del Auditor en eldeUso de las Nuevas Tecnologías de Información Metadatos la Gestión de de Información Digital

de las estructuras organizacionales obsoletas. Es decir, repensar y rediseñar la manera de producir, entregar y mantener los bienes y servicios. Aunque no se han hecho progresos suficientes para cumplir con estas necesidades, la computadora, junto con la investigación de operaciones, ha conducido a una enorme ampliación de la información administrativa disponible. Esto se observa en particular en relación con los datos sobre mercadotecnia, competencia, producción y distribución, costos de los productos, cambios y avances tecnológicos, productividad de la mano de obra y consecución de metas. Las necesidades de información son diferentes en los diversos niveles organizacionales, lo mismo sucederá con el efecto de las computadoras. En el nivel de supervisión las actividades por lo general son altamente programables y repetitivas. Los auditores de nivel medio, como los jefes de departamento o los gerentes de planta, por lo general son responsables de la administración, verificación y la coordinación. Sin embargo, la mayor parte de la información importante para ellos, también está disponible para la alta dirección si la compañía tiene un sistema amplio de información. Los auditores de alto nivel son responsables de la estrategia y la política global de la organización, además de determinar la dirección general de la compañía, deben lograr una interacción apropiada entre la empresa y su ambiente. Con frecuencia el amplio uso de las computadoras independientes provoca duplicación de esfuerzos. Por ejemplo, la base de datos de la computadora central o de la mini computadora puede no ser accesible desde la computadora de escritorio. Por ello se han desarrollado redes de computación que vinculan las estaciones de trabajo entre sí, con computadoras mayores y con el equipo periférico. Existen otras muchas aplicaciones de las redes de computadoras, como son el correo electrónico y la recopilación y distribución de datos de la industria y de tendencias futuras. Aunque la creación de redes de trabajo de computación se encuentra aún en su infancia, los nuevos avances tecnológicos transforman rápidamente el sistema de manejo de información. Asimismo, las NTI, desde hace más de una década, permiten a la función del auditor integrarse a la productividad de los procesos administrativos, en estándares de confiabilidad, rapidez y en especial dejar en el siglo pasado, las montañas de papel, los archivos muertos y la lentitud del proceso burocrático.

Por Ing. Johs Barreto

El Auditor puede proporcionar a la empresa importantes aportaciones en las áreas que la estructuran, en función del giro de la empresa y sus principales objetivos a lograr. Las empresas en general tienen la oportunidad de competir en el mercado en que se encuentran, con procesos, productos, servicios y en general con lo que la gente haga, con lo que el personal transforme y para ello, la función moderna del auditor es una buena oportunidad. En este sentido, según Goycochea (2002), menciona que “La estructura organizacional es la estrategia de actuación de la dirección general, pero de poco sirve una descripción de puesto, si la persona que lo ocupa no satisface los requerimientos del puesto, o no se le informa de sus objetivos mensuales o trimestrales, o peor aún, si no se conocen sus resultados en el tiempo adecuado” (P.1). Es decir, poco sirven los buenos resultados de producción, si los vendedores no conocen el producto, o si las cuotas de ventas están infladas. Los resultados de la empresa, que presenta la función de finanzas, lo podrán comprobar. La oportunidad es emplear Tecnología de Información con auditoría y ejecutivos en las NTI de calidad, para ello se tiene que planear la modernización de los sistemas de la empresa. Tener auditorias con tecnologías modernas, con auditores capacitado y una filosofía de empresa que incluya a todas las funciones, en el logro de los objetivos predominantes de la empresa, no es suficiente que el gerente de ventas se encargue de vender y el ejecutivo de manufactura en elaborar productos. El reto de Auditor es conducir la conducta para formar en la empresa un gran equipo, que compita con todos sus elementos para satisfacer los mercados, la rentabilidad de la empresa y la satisfacción en el trabajo de todos los niveles de la organización. La base principal de la Tecnología con auditoría está basada en la filosofía de la empresa, para evolucionar de un sistema gerencial de grupos de personas y objetivos, a un equipo de trabajo con metas y responsabilidades compartidas, no es solo adquirir un sistema de proceso e información e datos de personal. Estar a la última en tecnología implica que las empresas requieran auditores cada vez más preparados, capaces, flexibles y especializados. Dada la velocidad de los cambios de las NTI, todas estas exigencias se hacen insostenibles a no ser que se tomen medidas. Actualmente, existen dos soluciones para conseguir la idoneidad de los auditores: la superespecialización de los mismos o el acceso rápido a una preparación externa. Página 17


Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información ElElPerfil dely Administrador de Base Datos Metadatos la Gestión de Información Digital

La primera solución, la superespecialización es enemiga del reciclaje y al final el auditor termina saturado e inflexible ante tanto cambio de ocupación, con formaciones rápidas, e improvisadas y muchas veces apresuradas. Cuando comienza a dominar un aspecto, se debe dedicar a otro. Para la segunda solución, se necesita una organización de las NTI mucho más intuitiva y rápida desde una base de especialistas generales sobre campos muy amplios que se pueden convertir rápidamente en superespecialistas durante un corto periodo de tiempo. El ambiente competitivo que existe hoy en día se ha generado en gran parte al uso constante de NTI basadas en Internet. Esto ha llevado a las empresas a desarrollar nuevas estratégicas de negocio, para no solamente adaptarse a este ambiente, sino para lograr una ventaja competitiva en este ambiente. Es por esto, que la información es la base fundamental con que las empresas coordinan y evalúan sus actividades y decisiones para alcanzar sus objetivos comerciales y financieros, ya que esta es de gran relevancia a la hora de tomar decisiones, la disponibilidad y confiabilidad de los contenidos de ésta, les permite tomar acciones acertadas para el futuro de la empresa. Una organización amplifica estas habilidades para controlar aquellos recursos, al dividir el trabajo en múltiples individuos para alcanzar un objetivo común. Una importante razón para compartir información dentro de una organización es la consistencia y coordinación de aquellos objetivos y tareas. Esto no será eficiente si la existencia, ubicación o disponibilidad de información importante queda en desconocimiento para un individuo o grupo que las necesita. Sistema de Información Según, Chapa (2002) “Es el conjunto de elementos interrelacionados que recoge datos, los procesa y convierte en información, que almacena para posteriormente distribuir entre usuarios. Como todo sistema, incluye también un ciclo de retroalimentación a manera de mecanismo de control mediante el cual se puede saber si se cumple con las expectativas y requerimientos de los usuarios”. Es decir, un sistema de información captura, procesa, almacena y distribuye un tipo de datos que sirven como apoyo para los encargados de tomar decisiones en la empresa. Actualmente la principal fuente de esta información son las computadoras y es por esta razón por la que es importante saber cómo funciona.

Por PorIng. Ing. Johs JohsBarreto Barreto

Los sistemas de información tienen tres 3 objetivos primordiales: • Automatizar los procesos operativos. • Proporcionar información que apoye la toma de decisiones. • Lograr ventajas competitivas a través de su uso. El primero de estos objetivos se logra a través de los llamados sistemas tradicionales que se encargan de registrar todas las operaciones diarias del negocio con los cuales se lograr ahorros en mano de obra. Ejemplos de este tipo de sistemas son: los de nómina, de cuentas por cobrar, entre otros. Los sistemas de apoyo a las decisiones son los que se implantan después de los transaccionales, toman la información directamente de éstos y con esa base proporcionan reportes que ayudan a evaluar decisiones. Algunos ejemplos son: los sistemas de apoyo a las decisiones y los sistemas de información para ejecutivos. Para finalizar los sistemas estratégicos pueden ser transaccionales o sistemas de apoyo a las decisiones, lo que los hace ser estratégicos son las ventajas que se obtienen mediante su uso, lo que representa una barrera de entrada a la competencia y que al momento de que los competidores desarrollen sistemas similares se convierten en estándares de la industria. De esta manera, es importante seguir este orden, ya que el principal problema en la adaptación de los sistemas en las empresas es que se comienza comprando el equipo y luego se tratan de adaptar a él. El Entrenamiento del Auditor El entrenamiento ha cobrado mayor importancia para el éxito de las organizaciones modernas y desempeña una función central en la organización, por lo cual se ha convertido en parte de la columna vertebral de la instrumentación de estrategias. Además, las tecnologías en rápido cambio, las fusiones y adquisiciones requieren que los auditores se ajusten a las nuevas culturas y formas de hacer negocios, y afinen de manera continúa su conocimiento, aptitudes y habilidades, a fin de mejorar los nuevos procesos y sistemas. En la actualidad, el Entrenamiento en el Puesto de Trabajo tiene la ventaja de proporcionar experiencia directa en condiciones normales de trabajo; asimismo, da una oportunidad para que el instructor desarrolle buenas relaciones con los empleados. De lo anteriormente expuesto se menciona lo siguiente: Página 18


Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información ElEl Perfil delyAdministrador de Base Datos Metadatos la Gestión de Información Digital

Preparación del Auditor Realizar actividades de relajación al auditor a través de actividades. Descubrir qué sabe el auditor con respecto al puesto o a las tecnologías en uso. Propiciar que el auditor tenga interés y deseos de aprender el nuevo puesto o el desempeño a seguir. Presentación de las operaciones y el conocimiento Decir, mostrar, ilustrar y preguntar, a fin de transferir el nuevo conocimiento y operaciones. Dar instrucciones despacio, claras, completas y pacientes; abordar un aspecto a la vez. Comprobar, preguntar y repetir. Asegurarse de que el auditor realmente tenga el conocimiento. Permitir que el auditor evalúe el conocimiento adquirido. Ensayo de Desempeño Revisar y valorar al auditor haciendo que realice el trabajo. Platear preguntas que comiencen con: por qué, cómo, cuándo y dónde. Observar el desempeño, corregir errores y, en caso necesario, repetir las instrucciones. Continuar hasta que se advierta que el auditor ha aprendido. Seguimiento Dejar solo al auditor. Efectuar comprobaciones frecuentes para asegurarse de que el auditor sigue las instrucciones. Realizar actividades de realimentación del auditor para compartir experiencias y proponer ideas. Disminuir de manera gradual la supervisión adicional y el seguimiento estrecho hasta que el auditor esté calificado para trabajar bajo supervisión normal. Evaluación El entrenamiento, al igual que cualquier otra función de la administración, debe evaluarse para determinar su eficacia. Existen varios métodos para evaluar hasta qué punto adquirieron el aprendizaje, afectan el comportamiento en el trabajo e influyen en el desempeño final de la organización. Uno de los enfoques más sencillos y comunes para evaluar el entrenamiento es basarse en las reacciones de los auditores, porque pueden decir si les gustó el programa o no,

Por Por Ing. Ing. Johs Johs Barreto Barreto

a través de la realización de un cuestionario. Tal vez aporten información sobre el contenido y qué técnicas consideran más útiles. Pueden criticar a los instructores o hacer sugerencias sobre la interacción de los participantes, la realimentación y cuestiones similares. Además, debe observarse que las reacciones positivas no garantizan que el entrenamiento haya tenido éxito, es más fácil recabar comentarios o alabanzas de los empleados. En un análisis final, medir las reacciones no debe parar en la evaluación del valor del entrenamiento. Más allá de que los auditores piensen en el entrenamiento, es buena idea ver si en realidad aprendieron algo. Probar el conocimiento y las habilidades antes del Plan de Entrenamiento, proporciona un parámetro básico sobre los auditores, que puede medirse de nuevo después del entrenamiento para determinar la mejora. Es sorprendente, pero gran parte de lo que se aprende en un Plan de Entrenamiento nunca se utiliza en el puesto, esto no significa que el entrenamiento no sea eficaz; de hecho, con base en las medidas de las reacciones y aprendizaje de los auditores, el plan debería tener puntuaciones muy elevadas, pero por diversas razones, el comportamiento de los auditores no cambia una vez que regresan al puesto. Algunos de los criterios basados en resultados que se utilizan para evaluar el entrenamiento incluyen aumento de productividad, menos quejas de los empleados, reducción de costos y desperdicios y rentabilidad. Con relación a los criterios de resultados, se determina la utilidad, la inversión y la recuperación del costo del entrenamiento, que puede ser a corto, mediano o largo plazo, es decir, el logro de los resultados proyectados. Reflexiones Finales El auditor de las organizaciones venezolanas, se ha visto envuelto en cambios organizacionales y tecnológicos que afectan el desempeño de sus funciones e impiden el eficiente resultado de las tareas, ya que no son de su completo conocimiento los deberes, responsabilidades y la naturaleza y alcance de los cargos, perjudicando el cumplimiento de las metas establecidas por la empresa. En cuanto a la necesidad de Entrenamiento del auditor de estas organizaciones, se puede decir que los datos de investigación proporcionan un hallazgo de gran relevancia: la necesidad perentoria de Entrenamiento a el auditor que allí labora.

Página 19


Entrenamiento del Auditor en elde Uso de las Nuevas Tecnologías de Información ElEl Perfil delyAdministrador de Base Datos Metadatos la Gestión de Información Digital

En este sentido, el auditor tiene una responsabilidad muy alta con la organización en virtud a que su rol o cargo dentro de la organización tiene como cliente directo la alta dirección, ya que éste, le delega la función de verificar bajo unos objetivos y alcances precisos si los procesos están realizando las actividades conforme a lo planificado. Para esto el Auditor, debe realizar su actividad basado en los principios de cuidado profesional, ética y presentación justa, manteniendo las buenas prácticas de auditoría. Finalmente, buscar estrategias para realizar actividades de Entrenamiento del auditor, siguiendo dos líneas de acción, el manejo de conocimientos y el crecimiento personal, a través de talleres y seminarios, a fin de crear actitudes que conduzcan al auditor a alcanzar su satisfacción personal y lo prepara para enfrentar con éxito la productividad en el desempeño de sus labores.

Por Por Ing. Ing. Johs Johs Barreto Barreto

Rodríguez, R. (2005). Las Normas De Auditoria Generalmente Aceptadas. [página Web en línea]. Disponible: http://auditoria666.wikispaces.com/file/view/NAGA S.pdf. [Consulta: 2013,07,08]. Weihrich, H. Y Koontz, H. (1994). Administración: Una perspectiva global. (10a. ed.). México: McGraw-Hill.

Referencias Bibliográficas Balestrini, M. (1998). Como se elabora el proyecto de investigación. (2ª. ed). Venezuela: Consultores Asociados, Servicio Editorial. Chapa P., R. (2002). Mejore la administración de su empresa, mediante la comprensión de los sistemas de información. [página Web en línea]. Disponible: http://www.monografias.com/trabajos12/artmejor/a rtmejor.shtml. [Consulta: 2013,07,02]. Dessler, G. (1996). Administración de personal. (6ª. ed). México: Prentice Hall Hispanoamérica. Goycochea G., H. (2002). Tecnología de información para recursos humanos. [página Web en línea]. Disponible: http://www.claveempresarial.com/empresa/notas/n ota000904a.shtml. [Consulta: 2013,07,03]. Gutiérrez, M. (2000). El uso de nuevas herramientas tecnológicas en la educación. Una experiencia de aprendizaje organizacional en la Universidad Nacional Experimental Simón Rodríguez, Barquisimeto. Laudon, K. y Laudon, J. (1996). Administración de los sistemas de información: Organización y tecnología. (3ª. ed.). .México: Prentice Hall Hispanoamericana. Muñoz, C. (2002). Auditoría de Sistemas Computacionales. (4ª. ed.). México: Prentice Hall Hispanoamericana. Robbins, S. (1996). Comportamiento organizacional: Teoría y práctica. (7ª. ed.). México: Pearson. Robbins, S. (1998). La administración en el mundo de hoy. (1ª. ed.). México: Prentice Hall Hispanoamericana. Página 20


La Auditoría de Sistemas El Perfil dely Administrador decomo BaseHerramienta de Datos Metadatos la Gestión de Información Digital de Control Organizacional

Introducción Durante muchos años se han dado a conocer diferentes casos escandalosos referentes a errores y desfalcos en la administración y gestión organizacional, en donde la información es manipulada por personas de la empresa o fuera de ella, y muchos otros fallos en los controles de acceso a la información que han afectado en su medida a las empresas indiferentemente de la actividad o negocios que realicen. Sin embargo a medida que ha pasado el tiempo se han dado pasos importantes como consecuencia de la incorporación y adaptación a procesos de auditoría en las diferentes áreas de la organización, siendo una herramienta poderosa para el control y seguimiento de los procesos en donde se maneja información relevante y privilegiada. En ese sentido, es deber y obligación de las autoridades prestar el mayor grado de atención y compromiso a los hallazgos detectados en el proceso de auditoría, para que se puedan observar cambios importantes en las empresa u organizaciones. Enfatizando que estos cambios son sometidos a una gran tensión de controles internos existentes. Del mismo modo, ante una pronta y rápida respuesta a los cambios, los directivos deben tomar conciencia de que para evitar fallos de control significativos deben evaluar y reestructurar sus sistemas de control interno, mediante actuaciones proactivas antes de que surjan los problemas, tomando medidas audaces para su propia tranquilidad, así como para garantizar a los administradores, accionistas, empleados y público en general que los controles internos de la empresa están adecuadamente diseñados para hacer frente a los retos del futuro y asegurar la integridad de la información. La Auditoría de Sistemas como Herramienta de Control Organizacional La auditoría como herramienta de control Un auditor debe estar suficientemente preparado para manejar la estructura de control interno en las organizaciones, mediante la realización de planificaciones de auditoría que ayuden a determinar la naturaleza de los hechos, objetivos, alcance de las pruebas y diseño de programas que lleven el control periódico de las situaciones detectadas. En tal sentido, es importante mencionar de donde proviene la

Por Ing. Ing. Johs Ismael Ferrer Por Barreto

palabra auditoria, que según el diccionario de la real academia española la define como, “El examen de las operaciones financieras, administrativas y de otro tipo de una entidad pública o de una empresa por especialistas ajenos a ellas y con objeto de evaluar la situación de la misma”, sin embargo el término auditoria resulta del inglés audit, que significa verificar, inspeccionar. En el mismo orden de ideas, según Piatinni Mario la auditoria se fundamentaba en lo teórico muchos años atrás, en donde principalmente se relacionaba con la revisión contable de estados financieros o con la detección de errores o fraudes. Hoy en día el proceso de auditoría se ha modernizado y adaptado a muchas áreas de aplicación. Sin embargo una auditoria está relacionada con actividades secuenciales, que permiten la evaluación del control interno en las organizaciones y la extracción de evidencias válidas y suficientes que permitan determinar el grado de confiabilidad de los procesos y la correlación entre la información sobre criterios establecidos por las organizaciones. De igual manera, debe tenerse en cuenta que existen controles generales y controles específicos, estableciendo que el primero se refiere a aquellos controles que se encuentran en torno a un programa de aplicaciones o paquete de software, realizando tareas universales y en general el desarrollo y compilación de las operaciones del sistema de información, es decir, son externos a la aplicación y no dependen de sus características. Del mismo modo, en el proceso de auditoría en una organización se debe tener en cuenta que existen medios de control muy rigurosos, en donde se conceden responsabilidades para proteger los activos de la compañía, por eso es necesario documentar todas las transacciones y garantizar que los datos registrados en la contabilidad sean correctos, también se debe restringir el uso de la información a las necesidades legitimas de la organización con el fin de evitar filtración de la misma. Diferencia y similitudes entre control interno informático y auditoria informática (Piattini, Mario 2001). Aunque ambas partes tienen objetivos comunes, existen diferencias que es necesario mencionar debido a su importancia en cada proceso de auditoría en el departamento de informática dentro de una organización:

Página 21


La Base Auditoría de Sistemas como Herramienta de Control Organizacional Las Datos como Solución Empresarial Metadatos y de la Gestión de Información Digital

Los sistemas de control a nivel gerencial Cuando hablamos de control interno, se adoptaba un enfoque muy restringido y limitado a los controles internos, ya que este era un tema que interesaba principalmente al personal financiero de la organización y por supuesto que al auditor externo. En sentido podemos decir que el sistema de control interno es una de las herramientas de gestión gerencial, que también es usada en la administración comprendida por controles que deben ser establecidos dentro de las actividades de operación y no fuera de ellos. De acuerdo a lo antes mencionado, en la administración existe un control bien defino para todas las actividades que requieren seguimiento, verificación y evaluación con un grado de conformidad de acuerdo a las acciones realizadas, con el objetivo de cubrir las diferencias que se presenten en un momento dado. Es importan mencionar que el comité de procedimiento IFAC define el control interno de la siguiente forma; “El control interno abarca el plan de organización y los métodos coordinados y medidas adoptadas dentro de la empresa para salvaguardar sus activos, verificar la adecuación de fiabilidad de la información, promoviendo la eficacia operacional”. La definición establece que el sistema de control interno ésta comprendida por herramientas de administración, y que estos deberán ser realizados dentro de las actividades de operación y no fuera de ellas. Implantación y administración de sistemas de control interno Para Piattini Mario 2001, estos controles organizacionales pueden implantarse en diferentes niveles y su evaluación requiere exige elementos interdependientes. Es por ello que se tiene que conocer bien la configuración del sistema, con el fin de identificar estos elementos, productos y herramientas para conocer donde pueden implantarse estos controles, identificando posibles riesgos al instante. En tal sentido, para poder

Por Por Ing. Ing. Ismael Ismael Ferrer Ferrer

conocer la configuración del sistema se es necesario documentar los detalles de la red, así como los distintos niveles de controlo y elementos conjuntamente relacionados: Entorno de red: Se establece la configuración del hardware de comunicaciones, describiendo el software que se utiliza como acceso a al intercambio de información, control de red, situación general de los computadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red. Configuración del computador base: Se refiere a al proceso de configuración del soporte físico, entorno del sistema operativo, software con particiones, entornos (pruebas y lo real), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Es donde se tramitan los procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y herramientas: Implantación de software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del computador base: Define la identificación y verificación de usuarios, control de acceso, registro e información, integridad del sistema, y controles de supervisión. Por otra parte, para la constitución de sistemas de controles internos informáticos se deberá definir los siguientes aspectos: Gestión de sistemas de información: Se deben definir políticas, normas y pautas que sirvan de base para el diseño e implantación de los sistemas de información y controles de acceso a la misma. Administración de sistemas: Se establecen controles sobre actividades de los centros de datos y otras funciones de apoyo. Seguridad: En este aspecto se constituyen tres clases de controles fundamentales que son implantados en el software del sistema y son los siguientes: integridad del sistema, confidencialidad y disponibilidad. Gestión del cambio: Se procede a la separación de pruebas y producción de software, así como también controles de procedimientos para la migración de programas aprobados y probados. Pirámide de implementación de los niveles de control interno en procesos de auditoría.

Página 22


Las dey Datos comode Solución Empresarial Metadatos lade Gestión Información Digital de Control Organizacional LaBase Auditoría Sistemas como Herramienta

Por Ing. Ismael Ferrer

seguridad de los datos, integridad de la información y que los procesos se realicen correctamente utilizando eficientemente los recursos. Referencias Bibliográficas Piattini, Mario. (2001). Auditoria informática un da enfoque práctico” 2 Edición. Ed, Alfaomega RaMa. México Federacion Internacional De Contadores (IFAC). Guía internacional de educación N° 11. Dic. 1995. Tecnología de la información organizacional. De acuerdo a la pirámide que plantea Piattini Mario, es evidente que el control interno referente a procesos de auditoría está definido primeramente por políticas de seguridad bien establecidas para llevar un control constante del manejo de información en la organización, mediante planes de seguridad previamente estudiados de acuerdo a las normas y procedimientos de las medidas tecnológicas implantadas. Reflexiones Finales La informática no es algo neutro en una empresa, sino que tiene un efecto estructurarte que, añadido a su carácter cada vez más intensivo, a la variedad creciente de las aplicaciones y a la de los medios de comunicación organizacional, la hacen estratégica y al mismo tiempo debe contar con procesos de supervisión de la información que se maneja a nivel organizacional. Todo ello con el fin de mejorar de manera sustancial los resultados positivos en cuanto a manejo del control interno. Es por ello, que debe ser responsabilidad de los directivos de organizaciones plantear estrategias y métodos de inversión en recursos informáticos así como sistemas de control interno de manera tal que se garantice en todo momento un grado de eficiencia y seguridad suficiente de la información privilegiada. Por lo tanto es preciso supervisar continuamente los controles internos de los sistemas de control interno para asegurarse de que los procesos funcionan correctamente. Como parte de las consideraciones finales, es debido mencionar que las funciones de auditoría de sistemas como herramienta de control organizacional, prestan un servicio de valor agregado al ayudar a las organizaciones y a sus directivos a cumplir sus obligaciones relativas al control interno mediante el proceso de recolectar, agrupar y evaluar evidencias para determinar así un sistema informático que salvaguarde la

Página 23


Las Base dey Datos comode Soluci贸n Empresarial Metadatos la Gesti贸n Informaci贸n Digital

Audit-Able

Por Ing. Ismael Ferrer

Por Ing.de Ismael Ferrer Revista Digital de Auditoria Sistemas

ISSN 333-333-22-4444-1

1 55555 55555 1


Revistaauditable