Indice
1.
Auditoría
2. La función de la
auditoría en la organización
3. Tipos y clases de
auditoría
4. Sistemas De
Información
5. Tendencias que afectan a os sistemas de
información
6. Base Conceptual
7. Proceso De
Implementación
Papel Del Auditor Informático.-
Si se entiende que la auditoria informática comprende las tareas de
evaluar, analizar los procesos
informáticos, el papel de
auditor debe estar encaminado hacia la búsqueda de
problemas
existentes dentro de los sistemas
utilizados, y a la vez proponer soluciones
para estos problemas.
Además que auditor Informático debe estar
capacitado en los siguientes aspectos:
- Deberá ver cuando se puede conseguir la
máxima eficacia y
rentabilidad
de los medios
informáticos de la empresa
auditada, estando obligado a presentar recomendaciones acerca
del reforzamiento del sistema y del
estudio de las soluciones mas idóneas, según los
problemas detectados en el sistema informático, siempre
y cuando las soluciones que se adopten no violen la ley ni los
principios
éticos. (Ej. Por que está mal el
reporte) - Una vez estudiado el sistema informático a
auditar, el auditor deberá establecer los requisitos
mínimos, aconsejables y óptimos para su
adecuación con la finalidad de que cumpla para lo que
fue diseñado, determinando en cada clase su
adaptabilidad, su fiabilidad, limitaciones, posibles mejoras,
costos. - El auditor deberá lógicamente
abstenerse de recomendar actuaciones innecesariamente onerosas,
dañina, o que genere riesgo in
justificativo para el auditado e igualmente de proponer
modificaciones carentes de bases científicas
insuficientemente probadas o de imprevisible
futuro. - El auditor al igual que otros profesionales (Ej.
Médicos, abogados, educadores, etc.) pueden incidir en
la toma de
decisiones en la mayoría de sus clientes con un
elevado grado de autonomía, dado la dificultad
práctica de los mismos, de constatar su capacidad
profesional y en desequilibrio de desconocimientos
técnicos existente entre al auditor y los auditados
(Puede pesar gravemente). - El auditor deberá prestar sus servicios de
acuerdo a las posibilidades de la ciencia y
a los medios a su alcance con absoluta libertad,
respecto a la utilización de dichos medios y en unas
condiciones técnicas
adecuadas para el idóneo cumplimiento de su labor. En
los casos en que precariedad de los medios puestos a su
disposición, impidan o dificulten seriamente la
realización de la auditoria deberá negarse
realizar hasta que se le garantice un mínimo de
condiciones técnicas que no comprometan la calidad de sus
servicios o dictámenes. - Cuando durante la ejecución de la auditoria,
el auditor considere conveniente recabar informe de
otros mas calificados, sobre un aspecto o incidencia que
superase su capacidad profesional para analizarlo en
idóneas condiciones deberá remitir el mismo a un
especialista en la materia o
recabar su dictamen para reforzar la calidad y viabilidad
global de la auditoria. - El auditor debe actuar con cierto grado de humildad
evitando dar la impresión de estar al corriente de una
información privilegiada sobre nuevas
tecnologías a fin de actuar en de previsiones rectas
y un porcentaje de riesgo debidamente fundamentado. (Si
conocemos alguna tecnología de primer orden debemos tener
un cierto grado de humildad, que no se salga de la realidad
[decir que ya sabemos esto…]. - El auditor tanto en sus relaciones con el auditado
como con terceras personas deberá en todo momento,
deberá actuar conforme a las normas
implícitas o explícitas de dignidad de la
profesión y de corrección en el trato personal. (Que
en todo momento, como cuando estamos en el bar,
cafetería, o fiesta por que los auditores tienen la
responsabilidad) - El auditor deberá facilitar e incrementar la
confianza de auditado en base a una actuación de
transparencia, en su actividad profesional sin alardes
científico- técnico, que, por su
incomprensión, pueden restar credibilidad a los
resultados obtenidos y a las directrices
aconsejadas.
2. La función de
la auditoría en la
organización
Concepto De Auditar
Conjunto de procedimientos y
técnicas para evaluar y controlar total o parcialmente un
sistema informático con el fin de proteger sus activos y
recursos,
verificar si sus actividades se desarrollan eficientemente de
acuerdo con las normas informáticas y gener5ales
existentes en cada empresa y para
conseguir la eficacia exigida en el marco de la
organización correspondiente.
Al igual que los demás órganos de la empresa los
sistemas informáticos están sometidos a un control. La
importancia de llevar un control, se puede deducir de varios
aspectos, así tenemos:
Las computadoras y
los centros de procesos de datos se pueden
convertir en blancos apetecibles no solo para el espionaje no
para la delincuencia y
el terrorismo.
Las computadoras creadas para procesar y difundir resultados
pueden en cierto momento generar resultados o información
errónea (Virus, tc). (La
máquina suele arrojar resultados erróneos cuando es
alimentada con datos erróneos).
Un sistema informático mal diseñado puede
convertirse en una herramienta peligrosa para la persona, puesto
que las máquinas
obedecen las órdenes recibidas y la modelización de
la empresa está determinada por las computadoras que
materializan los sistemas de
información, por lo tanto la gestión
y la organización de la empresa no pueden
depender de un SOFTWARE o un HARDWARE mal
diseñado.
Auditoría Interna Y Auditoría Externa
La auditoria es realizada en recursos materiales y
personas que perteneces a la empresa auditada.
Auditoría
Interna
Existe por expresa decisión de la empresa, es decir que
también se puede optar por su disolución en
cualquier momento.
Auditoría Externa
Es realizada por personas afines a la empresa se presupone una
mayor objetividad que en la auditoria interna debido Al mayor
distanciamiento entre auditor y auditado.
La auditoria informática tanto interna como externa debe
ser una actividad exenta de cualquier contenido o matiz
político ajena a la propia estrategia y
política
general de la empresa.
Areas De La Planificación De La Auditoría
Las empresas acuden a
las auditorias
cuando existen algunos síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en algunas
clases:
Síntomas De Descoordinación Y
Desorganización
¨ ¨
No coinciden los objetivos de
la informática de la
compañía
¨ ¨
Los estándares de productividad se
desvían sencillamente de los promedios habituales.
Síntomas De Mala Imagen O
Insatisfacción De Los Usuarios
¨ ¨ No se atienden a las peticiones de
cambio de los
usuarios
¨
¨ No se reparan las
averías de HARDWARE ni se resuelven problemas en plazos
razonables
¨
¨ No se cumplen los
plazos de entregas de resultados
Síntomas De Debilidades Económico –
Financiero
¨
¨ Incremento
desmesurado de costos
¨ ¨
Necesidad de justificación de inversiones
informáticas
¨ ¨
Desviaciones presupuestarias
significativas
¨ ¨
Costos y plazos nuevos para proyectos
Síntomas De Inseguridad
(Evaluación
Del Nivel De Riesgo)
¨ ¨
Seguridad
lógica
¨
¨ Seguridad
física
¨
¨
Confidencialidad.- Los datos son de propiedad de
la organización que nos genera, los datos de personal son
especialmente confidenciales.
¨ ¨
Continuidad del servicio.
(Establecer las estrategias de
continuidad para fallos mediante planes de
configuración).
Ubicación Y Organización De La
Auditoría
La ubicación de los procesos auditores dentro de un
área de sistemas depende del tipo de auditoria que se
desee implementar, Así tenemos que en muchas ocasiones la
auditoria depende exclusivamente de la parte directriz o
gerencial y en otras ocasiones de acuerdo a las necesidades de la
empresa. La auditoria informática nace de los niveles
medios bajos de la empresa . (A nivel de organización la
ubicación es medio bajo, medios bajos son los Usuarios,
con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de
auditoría
Auditoria Informática De Explotación
La explotación informática se ocupa de producir
resultados, tales como listados, archivos
soportados magnéticamente, ordenes automatizadas,
modificación de procesos, etc. Para realizar la
explotación informática se dispone de datos, las
cuales sufren una transformación y se someten a controles
de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los
datos, pero pueden que no sirvan; estos dos juntos realizan una
información buena)
Auditoria Informática De Desarrollo De
Proyectos O
Aplicaciones
La función de desarrollo es una
evaluación del llamado Análisis de programación y sistemas. Así por
ejemplo una aplicación podría tener las siguientes
fases
¨
Prerrequisitos del usuario y del
entorno
¨
Análisis funcional
¨ Diseño
¨ Análisis
orgánico (preprogramación y
programación)
¨ Pruebas
¨ Explotación
Todas estas fases deben estar sometidas a un exigente control
interno, de lo contrario, pueden producirse
insatisfacción del cliente,
insatisfacción del usuario, altos costos, etc. Por lo
tanto la auditoria deberá comprobar la seguridad de los
programas, en
el sentido de garantizar que el servicio ejecutado por la
máquina, los resultados sean exactamente los previstos y
no otros (El nivel organizativo es medio por los usuarios, se da
cuenta el administrador
Ejm. La contabilidad
debe estar cuadrada)
Auditoria Informática De Sistemas
Se ocupa de analizar la actividad que se conoce como
técnica de sistemas, en todos sus factores. La importancia
creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones
informáticas se auditen por separado, aunque formen parte
del entorno general del sistema (Ejm. De auditar el cableado
estructurado, ancho de banda de una red
LAN)
Auditoria Informática De Comunicación Y Redes
Este tipo de auditoria deberá inquirir o actuar sobre los
índices de utilización de las líneas
contratadas con información sobre tiempos de uso y de no
uso, deberá conocer la topología de la red de comunicaciones, ya
sea la actual o la desactualizada. Deberá conocer cuantas
líneas existen, como son, donde están instaladas, y
sobre ellas hacer una suposición de inoperatividad
informática. Todas estas actividades deben estar
coordinadas y dependientes de una sola organización
(Debemos conocer los tipos de mapas actuales y
anteriores, como son las líneas, el ancho de banda,
suponer que todas las líneas están mal, la
suposición mala confirmarlo).
Auditoria De La Seguridad
Informática
Se debe tener presente la cantidad
de información almacenada en el computador, la
cual en muchos casos puede ser confidencial, ya sea para los
individuos, las empresas o las instituciones,
lo que significa que se debe cuidar del mal uso de esta
información, de los robos, los fraudes, sabotajes y sobre
todo de la destrucción parcial o total. En la actualidad
se debe también cuidar la información de los
virus
informáticos, los cuales permanecen ocultos y
dañan sistemáticamente los datos.
Los Sistemas De Información Y Su Alcance
Se entiende por un sistema de
información al conjunto de normas, procedimientos y
demás parámetros que forman la información
general de una empresa o
institución.
En un sistema de información se pueden visualizar algunos
componentes tales como:
- El nombre del sistema,
- Nombre de macros del
sistema - Software base
- Lenguajes de programación
- Paquetes,
- Unidades o departamentos que utilizan la
información, - Volúmenes de archivos que se utilizan
diariamente (Semanal, mensual, etc.) - Requerimientos mínimos de los equipos (En
muchos de los casos sí es un software) - Fechas críticas
- Ingreso de información
- Flujo de información
- Egresos de información
5. Tendencias que afectan a
os sistemas de información
Al considerar un Sistema de Información como un
conjunto de normas y procesos generales de una determinada, se
deben considerar algunos puntos negativos y positivos que afectan
directamente al sistema así por ejemplo:
- Actualizaciones: Se refiere a que los sistemas de
información de cualquier empresa, debe ser revisado
periódicamente; no con una frecuencia continua, si no
mas bien espaciada, se recomienda las revisiones bi –
anuales (No se recomienda que se actualice en una empresa
paulatinamente, por ejemplo el software, cuadros
estadísticos, es recomendable dentro de un año
cambiarlo, todo lo que es máquinas y software; por que
si no realizaríamos esto, se cambiaría toda la
estructura
organizacional de la misma). - Reestructuración Organizacional (Puede ser una
reestructuración con los mismos puestos)
Una reestructuración organizacional con cualquier
empresa, implica cambios siempre en vista a buscar un mejor
funcionamiento, evitar la burocracia,
agilitar trámites o procesos, la reestructuración
puede ser de varios tipos, así por ejemplo. Aumentar o
disminuir departamentos, puestos, reestructuración de
objetivos, etc. Siempre la reestructuración afecta a los
sistemas de información de la empresa. - Revisión y Valorización del
escalafón (No es para bien si no también para
mal)
La revisión y la revalorización del
escalafón se espera que afecte a favor de los sistemas
de información de las empresas, si el efecto es
contrario el auditor informático deberá emitir un
informe del empleado a los empleados (Específicamente de
departamentos), que están boicoteando la
información de la empresa. - Cambios en el flujo de Información (Datos para
el sistema de Información)
Se refiere al cambio de flujo de datos exclusivamente en el
área informática, esto afecta directamente en
sistema informático y por tanto al sistema de
información. En lo que respecta a la Auditoría
informática, el efecto puede ser positivo y
negativo, dependiendo a los resultados obtenidos en cuanto al
proceso de
datos (menos seguridad, mas seguridad, backup). Así por
ejemplo:
Se ha cambiado el flujo de información en el área
contable, para generar los roles mensuales (De inicio del rol
era realizado por la secretaria, la cual ingresaba las
existencias, fallas, atrasos, etc.; determinando un monto a
descontar. Un monto bruto y un salario
final, esto pasaba a la contadora para que justifique
especialmente multas, se rectificaba en algunos casos, y se
mandaba a imprimir el rol. Se considera un nuevo flujo de
información, en el cual se ingresan los datos a un
sistema informático, y de acuerdo a los
parámetros y normas de la empresa el sistema arroja un
sueldo líquido a cobrarse, genera automáticamente
el reporte, los cheques y el
contador solo aprueba este reporte).
(Un ejemplo es cuando existe migración
de datos, la información migra o se cambia a otro sistema
más sofisticado )
En base al sistema de información el auditor
informático realizará su estudio y análisis
siguiendo cualquier metodología de trabajo, pero sin desviarse
de la base conceptual del sistema de información de la
empresa auditada.
Si por cualquier circunstancia el auditor informático
percibe y por lo menos tiene la idea de que tomó
parámetros de que no están presentes en el sistema
de información necesariamente deberá volver a
empezar (Por ejemplo en el área de redes abarca muchas
otras facetas que un auditor no podría conocerlas por lo
que se necesita ayuda externa para realizar una buena
Auditoría)
Conceptualmente los Sistemas de Información, tienen sus
base en algunos aspectos de importancia dentro de cualquier
empresa: Así por ejemplo:
- Aspectos económicos
Se deben considerar los recursos de la empresa, las crisis, el
control, etc. - Aspectos tecnológicos
Se refiere al equipo físico dentro de la empresa, se
debe considerar el incremento, los cambios, ya sea de software
o hardware - Aspectos sociales
Se refiere a mejoras orientadas hacia los empleados de la
empresa, así por ejemplo, cursos,
capacitación, etc. - Aspecto político legal
Se refiere a
las normas y leyes vigentes
para las empresas, tanto internas como externas, se debe
cuidar, el aspecto legal, especialmente en el
Software - Aspecto Administrativo
Se refiere a la
relación a nivel de gerencias, mayor confianza en la
tona de posiciones, decisiones o fortunas, siempre a favor de
las empresas
Simbología En Los Sistemas De
Información
Todo sistema de información puede ser representado
mediante diagramas,
mediante los cuales depende de la complejidad de cada empresa, un
ejemplo sencillo puede ser:
Para implementar un sistema de información se
puede seguir varios pasos, o metodologías o inclusive se
lo puede hacer empíricamente. E n la implementación
se considera siempre la implementación del software (es
decir dentro de la implementación del sistema de
información siempre deberá implementar el software
a utilizarse esta empresa).
Así por ejemplo se podrían seguir los
siguientes pasos:
a.- Recopilación y análisis de datos
b.- Selección
de datos idóneos a ingresarse o utilizarse
c.- Ingreso y manipulación de datos
d.- Procesamiento
e.- Análisis de resultados
Seguridad De Los Sistema Informáticos
Para realizar o evaluar la seguridad en los sistemas, es
importante conocer como: desarrollar, ejecutar e implantar un
sistema de seguridad.
Desarrollar un sistema de seguridad significa planear, organizar,
coordinar, dirigir y controlar actividades relacionadas para
garantizar la integridad física de los
recursos implicados en el departamento informático,
así como el resguardo de los activos de la empresa.
Un sistema integral de seguridad debe contemplar los siguientes
aspectos:
- Definir elementos administrativos
- Definir políticos de seguridad
- Definir elementos a nivel departamental
- Definir elementos a nivel institucional
- Organizar y dividir las responsabilidades
- Prever desastres
naturales y causas de descuido del personal de mantenimiento equipo cableado, etc.
Además se debe considerar algunos aspectos extras
así por ejemplo:
Motivación.-En la cual es conveniente
desarrollar métodos de
participación reflexionando lo que significa la seguridad
y el riesgo, el impacto a nivel empresarial, las
responsabilidades individuales, etc.
Capacitación general.- Se debe empezar con los ejecutivos
de la empresa a fin que conozca la relación entre riesgo,
seguridad y la información y su impacto en la empresa.
El objetivo debe
ser detectar las debilidades y potencialidades de la
organización frente al riesgo, en este proceso debe
incluir la implantación y la ejecución de planes de
contingencia y la simulación
de posibles delitos.
Capacitación de técnicos.- Es importante formar
técnicos encargados de mantener la seguridad como parte
fundamental de su trabajo y que este capacitado para capacitar a
otras personas, en lo que es la ejecución de medidas
preventivas y correctivas.
Beneficios de un sistema de seguridad.- Los beneficios de
seguridad son inmediatos ya que la organización
trabajará sobre una plataforma confiable que se puede
reflejar los siguientes aspectos:
- Aumento de la
motivación de personal - Compromiso de la misión y
visión - Aumento de la productividad
- Mejora de las relaciones
laborales - Mejora en los equipos de la
institución
Estrategias de protección
Toda empresa dentro de su plan anual de
actividades debe contemplar un plan
estratégico de protección o plan de
contingencia sobre su sistema informatico, entendiendose a dicho
plan como un conjunto de pasos que se realizan con el
propósito de salvaguardar los recursos de la empresa,
tanto físico como a nivel lógico.
Se puede mencionar algunos puntos importantes que debe contemplar
el plan de contingencia, así por ejemplo:
- Actividades antes de un desastre
- Actividades durante el desastre
- Actividades después del desastre
Actividades antes de un desastre
- Planificación de un plan de contingencia (debe
contener aspectos relacionados a la prevención de un
desastre de cualquier tipo, así por ejemplo sacar
respaldos, lugares de evacuación, buscar sitios seguros,
prevención contra cortes eléctricos, asignar
responsabilidades. - Simulacros de desastre, se refiere a simular en cada
computadora
un buen anti virus (actualizable que cubra la mayor cantidad de
virus conocidos, que detecte limpie y vacune, que posea un
manual de
procedimiento,
versatilidad residente en memoria). - Preparar personal calificado de las distintas
áreas de seguridad - Area informatica se refiere a designar 1 o 2
personas para realizar respaldos diarios de la
información una o dos personas diferentes para
enviar los resultados a sitios seguros.
- Area informatica se refiere a designar 1 o 2
Area social se refiere a preparar personal que este
capacitado para socorrer a loa compañeros en caso de
desastre ( debe tener especial cuidado en las personas de la
tercera edad).
Este personal también deberá capacitarse en el uso
de dispositivos o elementos físicos para casos de
emergencia (así por ejemplo uso de alarmas contra fuego,
uso de bombas de
agua , uso de
switch de
seguridad).
Actividades después del desastre
- Seguir el plan de contingencia
- Sujetarse a las disposiciones dadas por elpersonal
calificado para desastres - Tratar de rescatar la mayor cantidad de
información posible en el acto
Actividades después del desastre
- Verificar la calidad e integridad de la
información existente (hacer las pruebas
sobre los programas que antes del desastre funcionaban
correctamente). - Verificar la calidad e integridad de la
información de respaldo - Verificar la parte física o
hadware - En lo posible volver al estado
original de la información antes del
desastre
Tipos y clases de auditorias
Para cada uno delos tipos de auditoria se pueden especificar
áreas especificas en las culaes siempre se debe realizar
una auditoria informatica, así tenemos: área
interna, área de dirección, área de nivel de usuario
y área de seguridad.
Área interna – cuando se realiza cualquier tipo de
auditoria en el área interna se debe tener presente que
solamente se debe auditar al departamento o área en
mención sin fijarse en sus correlaciones con otros
departamentos.
Area de dirección –Se refiere a realizar la
auditoria en cualquier tipo a nivel gerencial o de
dirección ya sea el departamento o de los departamentos
con sus respectivos Inter.-relaciones.
Area de usuario – Se refiere a realizar la auditoria a
nivel de usuario con todas las Inter.-relaciones que el usuario
tenga dentro del departamento o fuera con otros
departamentos.
Area de seguridad – Cualquiera sea el tipo de auditoria que
esta realizando siempre debe fijarse en el área de
seguridad la cual constituye pilar fundamental para aprobar o
reprobar una auditoria.
Autor:
Wilmer Rolando Zurita Lara