Monografias.com > Administración y Finanzas > Contabilidad
Descargar Imprimir Comentar Ver trabajos relacionados

La Auditoría (Definiciones, métodos, tipos y ejemplos)




Enviado por Rojas E. Antonio



    1. La Auditoría
      interna y externa
    2. Alcances de la
      Auditoría informática
    3. Síntomas de necesidad de
      una Auditoría informática
    4. Objetivo fundamental de la
      Auditoría informática
    5. Auditoria
      informática de desarrollo de proyectos o
      aplicaciones
    6. Auditoria
      informática de sistemas
    7. Auditoria informática
      de comunicaciones y redes
    8. Auditoría de la
      seguridad informática
    9. Estudio
      inicial
    10. Entorno
      operacional
    11. Aplicaciones bases de datos y
      ficheros
    12. CRMR (Computer Resource Management
      Review)
    13. Ciclo de vida y
      seguridad
    14. Bibliografía
    15. Conclusiones

    Introducción

    Inicialmente, la auditoria se limito a las
    verificaciones de los registros
    contables, dedicándose a observar si los mismos eran
    exactos. Por lo tanto esta era la forma primaria: Confrontar lo
    escrito con las pruebas de lo
    acontecido y las respectivas referencias de los registros. Con el
    tiempo, el
    campo de acción
    de la auditoria ha continuado extendiéndose; no obstante
    son muchos los que todavía la juzgan como portadora
    exclusiva de aquel objeto remoto, o sea, observar la veracidad y
    exactitud de los registros. En forma sencilla y clara, escribe
    Holmes

    "… la auditoria es el examen de las
    demostraciones y registros administrativos. El auditor observa
    la exactitud, integridad y autenticidad de tales
    demostraciones, registros y documentos."

    A finales del siglo XX, los Sistemas
    Informáticos han constituido las herramientas
    más poderosas para materializar uno de los conceptos
    más vitales y necesarios para cualquier organización empresarial, los Sistemas de
    Información de la Empresa. Ya lo
    decía Holmes profesor de
    estudios avanzados de auditoria de Harvard.

    La Informática hoy, está subsumida en
    la gestión
    integral de la empresa, y por
    eso las normas y
    estándares propiamente informáticos deben estar,
    sometidos a los generales de la misma. En consecuencia, los
    sistemas informáticos forman parte de lo que se ha
    denominado el "Management" o gestión de la empresa.
    Cabe aclarar que la Informática no gestiona propiamente a
    la empresa, más bien ayuda a la toma de
    decisiones, pero no decide por sí misma. Por ende,
    debido a su importancia en el funcionamiento de una empresa,
    existe la Auditoria Informática.

    El término de Auditoria se ha empleado
    incorrectamente con frecuencia ya que se ha considerado como una
    evaluación cuyo único fin es
    detectar errores y señalar fallas. A causa de esto, se han
    tomado las frases "Tiene Auditoria" "Es Auditable" como
    sinónimo de que, en dicha entidad, antes de realizarse la
    auditoria, ya se habían detectado fallas.

    El concepto de
    auditoria es mucho más que esto. Es un examen
    crítico que se realiza con el fin de evaluar la eficacia y
    eficiencia de
    una sección, un organismo, una entidad, etcétera.
    La palabra auditoria proviene del latín auditorius,
    y de esta proviene la palabra auditor, que se refiere a todo
    aquel que tiene la virtud de oír.

    Si consultamos el boletín de normas de auditorias del
    Instituto Venezolano de contadores nos dice: "La auditoria es una
    actividad meramente mecánica (en algunos casos), que implica la
    aplicación de ciertos procedimientos
    cuyos resultados, una vez llevado a cabo son de carácter indudable." Para que una
    sección o sistema sea
    auditable o auditado debe poseerse mecanismos de contrapartes
    para que sea efectivo. De todo esto sacamos como deducción que la auditoria es un examen
    crítico pero no mecánico, que no implica la
    preexistencia de fallas en la entidad auditada y que persigue el
    fin de evaluar y mejorar la eficacia y eficiencia de una
    sección o de un organismo.

    Los principales objetivos que
    constituyen a la auditoria Informática son el control de la
    función
    informática, el análisis de la eficiencia de los Sistemas
    Informáticos que comporta, la verificación del
    cumplimiento de la normativa general de la empresa en este
    ámbito y la revisión de la eficaz gestión de
    los recursos materiales y
    humanos informáticos.

    1. La auditoria interna, es la realizada con recursos
      materiales y personas que pertenecen a la empresa auditada.
      Los empleados que realizan esta tarea son remunerados
      económicamente. La auditoria interna existe por
      expresa decisión de la empresa, o sea, que puede optar
      por su disolución en cualquier momento.

      Por otro lado, la auditoria externa es realizada por
      personas afines a la empresa auditada; es siempre remunerada.
      Se presupone una mayor objetividad que en la auditoria
      interna, debido al mayor distanciamiento entre auditores y
      auditados.

      La auditoria informática interna cuenta con
      algunas ventajas adicionales muy importantes respecto de la
      auditoria externa, las cuales no son tan perceptibles como en
      las auditorias convencionales. La auditoria interna tiene la
      ventaja de que puede actuar periódicamente realizando
      revisiones globales, como parte de su plan anual y
      de su actividad normal. Los auditados conocen estos planes y
      se habitúan a las auditorias, especialmente cuando las
      consecuencias de las recomendaciones habidas benefician su
      trabajo.
      En una empresa, los responsables de Informática
      escuchan, orientan e informan sobre las posibilidades
      técnicas y los costos de
      tal sistema, con voz, pero a menudo sin voto, La
      informática trata de satisfacer lo más
      adecuadamente posible aquellas necesidades de la empresa, y
      esta necesita controlar su informática ya que su
      propia gestión esta sometida a los mismos
      procedimientos y estándares que el resto de aquella.
      La conjunción de ambas necesidades cristaliza en la
      figura del auditor interno informático.

      En cuanto a empresas se
      refiere, solamente las más grandes pueden poseer una
      auditoria propia y permanente, mientras que el resto acuden a
      las auditorias externas. Puede ser que algún
      profesional informático sea trasladado desde su puesto
      de trabajo a la auditoria interna de la empresa cuando
      ésta existe. Finalmente, la propia informática
      requiere de su propio grupo de
      control
      interno, con implantación física en su
      estructura, puesto que si se ubicase dentro de
      la estructura informática ya no sería
      independiente. Hoy, ya existen varias organizaciones informáticas dentro de
      la misma empresa, y con diverso grado de autonomía,
      que son coordinadas por órganos corporativos de
      Sistemas de Información de las Empresas.

    2. LA
      AUDITORIA INTERNA Y EXTERNA.

      El alcance ha de definir con precisión el
      entorno y los límites en que va a desarrollarse la
      auditoria informática, se complementa con los
      objetivos de ésta. El alcance ha de figurar
      expresamente en el Informe
      Final, de modo que quede perfectamente determinado no
      solamente hasta que puntos se ha llegado, sino cuales
      materias fronterizas han sido omitidas. Para esto se
      necesitan evaluar dos puntos convergentes que evalúen
      el alcance.

      Control de integridad de registros:
      Hay Aplicaciones que comparten registros, son registros
      comunes. Si una Aplicación no tiene integrado un
      registro
      común, cuando lo necesite utilizar no lo va encontrar
      y, por lo tanto, la aplicación no funcionaría
      como debería.

      Control de validación de
      errores:
      Se corrobora que el sistema que se
      aplica para detectar y corregir errores sea
      eficiente.

    3. Alcances de la
      Auditoria Informática.
    4. Síntomas
      de Necesidad de una Auditoría
      Informática.

    Las empresas acuden a las auditorias externas ó
    internas cuando existen síntomas bien perceptibles de
    debilidad. Estos síntomas pueden agruparse en
    clases:

    • Síntomas de descoordinación y
      desorganización.
    • No coinciden los objetivos de la informática
      de la compañía.
    • Los estándares de productividad
      se desvían sensiblemente de los promedios conseguidos
      habitualmente.

    Puede ocurrir con algún cambio masivo
    de personal, o en
    una reestructuración fallida de alguna área o en la
    modificación de alguna norma importante.

    • Síntomas de mala imagen e
      insatisfacción de los usuarios.
    • No se atienden las peticiones de cambios de los
      usuarios. Ejemplos: cambios de Software en los
      terminales de usuario, resfrecamiento de paneles,
      variación de los ficheros que deben ponerse diariamente
      a su disposición, etc.
    • No se reparan las averías de Hardware ni se
      resuelven incidencias en plazos razonables. El usuario percibe
      que está abandonado y desatendido
      permanentemente.
    • No se cumplen en todos los casos los plazos de
      entrega de resultados periódicos. Pequeñas
      desviaciones pueden causar importantes desajustes en la
      actividad del usuario, en especial en los resultados de
      Aplicaciones críticas y sensibles.
    • Síntomas de debilidades económico –
      financiero.
      • Incremento desmesurado de costes.
      • Necesidad de justificación de Inversiones Informáticas (la empresa
        no está absolutamente convencida de tal necesidad y
        decide contrastar opiniones).
      • Desviaciones Presupuestarias
        significativas.
      • Costes y plazos de nuevos proyectos (deben auditarse
        simultáneamente a Desarrollo de Proyectos y al órgano
        que realizó la petición).
    • Síntomas de Inseguridad. (Evaluación de nivel de
      riesgos)
      • Seguridad Lógica.
      • Seguridad Física.
      • Confidencialidad.

    Los datos son
    propiedad
    inicialmente de la
    organización que los genera. Los datos de personal son
    especialmente confidenciales. Continuidad del Servicio, es
    un concepto aún más importante que la seguridad,
    establece las estrategias de
    continuidad entre fallos mediante Planes de Contingencia
    (*) totales y locales.

    Centro de proceso de
    datos fuera de control, si tal situación llegara a
    percibirse, sería prácticamente inútil la
    auditoria. Esa es la razón por la cual, en este caso, el
    síntoma debe ser sustituido por el mínimo
    indicio.

    (*) Planes de Contingencia: Por
    ejemplo, la empresa sufre un corte total de energía o
    explota, ¿Cómo sigo operando en otro lugar? Lo que
    generalmente se pide es que se hagan Backups de la
    información diariamente y que aparte, sea doble, para
    tener un Backup en la empresa y otro afuera de ésta. Una
    empresa puede tener unas oficinas paralelas que posean servicios
    básicos (luz, teléfono, agua)
    distintos de los de la empresa principal, es decir, si a la
    empresa principal le proveía teléfono Telecom, a
    las oficinas paralelas, Telefónica. En este caso, si se
    produce la inoperancia de Sistemas en la empresa principal, se
    utilizaría el Backup para seguir operando en las oficinas
    paralelas. Los Backups se pueden acumular durante dos meses, o el
    tiempo que estipule la empresa, y después se van
    reciclando.

    1. La operatividad es una función de
      mínimos consistente en que la organización y
      las maquinas funcionen, siquiera mínimamente. No es
      admisible detener la maquinaria informática para
      descubrir sus fallos y comenzar de nuevo. La auditoria debe
      iniciar su actividad cuando los sistemas están
      operativos, es el principal objetivo
      el de mantener tal situación. Tal objetivo debe
      conseguirse tanto a nivel global como parcial. La
      operatividad de los sistemas ha de constituir entonces la
      principal preocupación del auditor
      informático.

      Los Controles Técnicos Generales, son los que
      se realizan para verificar la compatibilidad de
      funcionamiento simultáneo del Sistema
      Operativo y el Software de base con todos los subsistemas
      existentes, así como la compatibilidad del Hardware y
      del Software instalados. Estos controles son importantes en
      las instalaciones que cuentan con varios competidores, debido
      a que la profusión de entornos de trabajo muy
      diferenciados obliga a la contratación de diversos
      productos
      de software básico, con el consiguiente riesgo de
      abonar más de una vez el mismo producto o
      desaprovechar parte del software abonado.

      Puede ocurrir también con los productos de
      software básico desarrollados por el personal de
      Sistemas Interno, sobre todo cuando los diversos equipos
      están ubicados en centros de proceso de datos
      geográficamente alejados. Lo negativo de esta
      situación es que puede producir la inoperatividad del
      conjunto. Cada centro de proceso de datos tal vez sea
      operativo trabajando independientemente, pero no será
      posible la interconexión e intercomunicación de
      todos los centros de proceso de datos si no existen productos
      comunes y compatibles. Los Controles Técnicos
      Específicos, de modo menos acusado, son igualmente
      necesarios para lograr la Operatividad de los Sistemas. Un
      ejemplo de lo que se puede encontrar mal son
      parámetros de asignación automática
      de espacio en disco (*) que dificulten o impidan su
      utilización posterior por una Sección distinta
      de la que lo generó. También, los periodos de
      retención de ficheros comunes a varias Aplicaciones
      pueden estar definidos con distintos plazos en cada una de
      ellas, de modo que la pérdida de información es
      un hecho que podrá producirse con facilidad, quedando
      inoperativa la explotación de alguna de las
      Aplicaciones mencionadas.

      (*) Parámetros de
      asignación automática de espacio en
      disco:
      Todas las aplicaciones que se desarrollan son
      super-parametrizadas, es decir, que tienen un montón
      de parámetros que permiten configurar cual va a ser el
      comportamiento del sistema. Una
      Aplicación va a usar para fin y tal cosa posee cierta
      cantidad de espacio en disco. Si uno no analizó cual
      es la operatoria y el tiempo que le va a llevar ocupar el
      espacio asignado, y se pone un valor muy
      chico, puede ocurrir que un día la Aplicación
      reviente, se caiga. Si esto sucede en medio de la operatoria
      y la aplicación se cae, el volver a levantarla, con la
      nueva asignación de espacio, si hay que hacer
      reconversiones o lo que sea, puede llegar a demandar
      muchísimo tiempo, lo que significa un riesgo
      enorme.

      a) Control de Entrada de Datos

      Se analizará la captura de la
      información en soporte compatible con los sistemas, el
      cumplimiento de plazos y calendarios de tratamientos y
      entrega de datos; la correcta transmisión de datos
      entre entornos diferentes. Se verificará que los
      controles de integridad y calidad de
      datos se realizan de acuerdo a Norma.

      b) Planificación y Recepción de
      Aplicaciones.

      Se auditarán las normas de entrega de
      Aplicaciones por parte de Desarrollo, verificando su
      cumplimiento y su calidad de interlocutor único.
      Deberán realizarse muestreos selectivos de la documentación de las aplicaciones
      explotadas. Se inquirirá sobre la anticipación
      de contactos con desarrollo para la planificación a
      medio y largo plazo.

      c) Centro de Control y Seguimiento de
      Trabajos.

      Se analizará cómo se prepara, se lanza
      y se sigue la producción diaria. Básicamente,
      la explotación Informática ejecuta procesos
      por cadenas o lotes sucesivos "Batch (*)", o en
      tiempo real "Tiempo Real (*)". Mientras que las
      Aplicaciones de Teleproceso están permanentemente
      activas y la función de Explotación se limita a
      vigilar y recuperar incidencias, el trabajo
      Batch absorbe una buena parte de los efectivos de
      explotación. En muchos centros de proceso de datos,
      éste órgano recibe el nombre de Centro de
      Control de Batch. Este grupo determina el éxito de la explotación, en
      cuanto que es uno de los factores más importantes en
      el mantenimiento de la
      producción.

      (*) Batch y Tiempo Real: Las
      aplicaciones que son Batch son aplicaciones que cargan mucha
      información durante el día y durante la noche
      se corre un proceso enorme que lo que hace es relacionar toda
      la información, calcular cosas y obtener como salida,
      por ejemplo, reportes. Es decir, recolecta información
      durante el día, pero todavía no procesa nada.
      Es solamente un tema de "Data Entry" que recolecta
      información, corre el proceso Batch (por lotes), y
      calcula todo lo necesario para arrancar al día
      siguiente. Por el contrario las aplicaciones que son Tiempo
      Real u Online, son las que, luego de haber ingresado la
      información correspondiente, inmediatamente procesan y
      devuelven un resultado. Son Sistemas que tienen que responder
      en Tiempo Real.

    2. Objetivo
      fundamental de la auditoría
      informática.
    3. AuditorIa Informática de Desarrollo
      de Proyectos o Aplicaciones.

    La función de desarrollo es una evolución del llamado análisis y
    programación de sistemas y aplicaciones. A
    su vez, engloba muchas áreas, tantas como sectores tiene
    la empresa. Muy concisamente, una Aplicación recorre las
    siguientes fases:

    • Animaciones (Periquitos, Adornos), del Usuario
      (único o plural) y del entorno.
    • Análisis funcional.
    • Diseño.
    • Análisis orgánico
      (Pre-programación y Programación).
    • Pruebas.
    • Entrega a Explotación y alta para el
      Proceso.

    Estas fases deben estar sometidas a un exigente control
    interno, caso contrario, además del disparo de los costes,
    podrá producirse la insatisfacción del usuario.
    Finalmente, la auditoria deberá comprobar la seguridad de
    los programas en el
    sentido de garantizar que los ejecutados por la maquina sean
    exactamente los previstos y no otros.

    Una auditoria de Aplicaciones pasa indefectiblemente por
    la observación y el análisis de cuatro
    consideraciones:

    1. Revisión de las metodologías
      utilizadas
      : Se analizaran éstas, de modo que se
      asegure la modularidad de las posibles futuras ampliaciones de
      la Aplicación y el fácil mantenimiento de las
      mismas.
    2. Control interno de las aplicaciones: se
      deberán revisar las mismas fases que presuntamente han
      debido seguir el área correspondiente de
      Desarrollo:

    • Estudio de Vialidad de la
      Aplicación.
    • Diseño de Programas.
    • Definición Lógica de la
      Aplicación.
    • Métodos de Pruebas.
    • Desarrollo Técnico de la
      Aplicación.
    • Documentación.
    • Equipo de Programación
     
    1. Satisfacción de usuarios: Una
      Aplicación técnicamente eficiente y bien
      desarrollada, deberá considerarse fracasada si no sirve
      a los intereses del usuario que la solicitó. La
      aquiescencia del usuario proporciona grandes ventajas
      posteriores, ya que evitará reprogramaciones y
      disminuirá el mantenimiento de la
      Aplicación.
    2. Control de procesos y ejecuciones de programas
      críticos:
      El auditor no debe descartar la
      posibilidad de que se esté ejecutando un módulo
      que no se corresponde con el programa fuente
      que desarrolló, codificó y probó el
      área de Desarrollo de Aplicaciones.
    1. AuditorIa Informática de
      Sistemas.

    Se ocupa de analizar la actividad que se conoce como
    técnica de sistemas en todas sus facetas. Hoy, la
    importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones, líneas y redes de las instalaciones
    informáticas, se auditen por separado, aunque formen parte
    del entorno general de Sistemas.

    Sistemas Operativos

    Engloba los subsistemas de teleproceso, entrada/salida,
    etc. Debe verificarse en primer lugar que los sistemas
    están actualizados con las últimas versiones del
    fabricante, indagando las causas de las omisiones si las hubiera.
    El análisis de las versiones de los sistemas
    operativos permite descubrir las posibles incompatibilidades
    entre otros productos de software básico adquiridos por la
    instalación y determinadas versiones de aquellas. Deben
    revisarse los parámetros variables de
    las librerías más importantes de los sistemas, por
    si difieren de los valores
    habituales aconsejados por el constructor.

    Software Básico

    Es fundamental para el auditor conocer los productos de
    software básico que han sido facturados aparte de la
    propia computadora.
    Esto, por razones económicas y por razones de
    comprobación de que la computadora
    podría funcionar sin el producto adquirido por el cliente. En
    cuanto al software desarrollado por el personal
    informático de la empresa, el auditor debe verificar que
    éste no agreda ni condiciona al sistema. Igualmente, debe
    considerar el esfuerzo realizado en términos de costes,
    por si hubiera alternativas más
    económicas.

    Software de Teleproceso (Tiempo Real)

    No se incluye en software básico por su
    especialidad e importancia. Las consideraciones anteriores son
    válidas para éste también.

    Tunning

    Es el conjunto de técnicas de observación
    y de medidas encaminadas a la evaluación del
    comportamiento de los subsistemas y del sistema en su conjunto.
    Las acciones de
    tunning deben diferenciarse de los controles habituales que
    realiza el personal de técnica de sistemas. El tunning
    posee una naturaleza
    más revisora, estableciéndose previamente planes y
    programas de actuación según los síntomas
    observados. Se pueden realizar:

    • Cuando existe sospecha de deterioro del
      comportamiento parcial o general del Sistema.
    • De modo sistemático y periódico, por ejemplo cada 6 meses. En
      este caso sus acciones son repetitivas y están
      planificados y organizados de antemano.

    El auditor deberá conocer el número de
    Tunning realizados en el último año, así
    como sus resultados. Deberá analizar los modelos de
    carga utilizados y los niveles e índices de confianza de
    las observaciones.

    Optimización de los Sistemas y
    Subsistemas

    Técnica de sistemas debe realizar acciones
    permanentes de optimización como consecuencia de la
    realización de tunning’s preprogramados o
    específicos. El auditor verificará que las acciones
    de optimización* fueron efectivas y no
    comprometieron la operatividad de los Sistemas ni el plan
    crítico de producción diaria de
    explotación.

    (*) Optimización, Por ejemplo:
    cuando se instala una aplicación, normalmente está
    vacía, no tiene nada cargado adentro. Lo que puede suceder
    es que, a medida que se va cargando, la aplicación se va
    poniendo cada vez más lenta; porque todas las referencias
    a tablas es cada vez más grande, la información que
    está moviendo es cada vez mayor, entonces la
    aplicación se tiende a poner lenta. Lo que se tiene que
    hacer es un análisis de performance, para luego
    optimizarla, mejorar el rendimiento de dicha
    aplicación.

    Administración de Base de Datos

    El diseño
    de las Bases de Datos,
    sean relaciones o jerárquicas, se ha convertido en una
    actividad muy compleja y sofisticada, por lo general desarrollada
    en el ámbito de técnica de sistemas, y de acuerdo
    con las áreas de desarrollo y usuarios de la empresa. Al
    conocer el diseño y arquitectura de
    éstas por parte de sistemas, se les encomienda
    también su administración. Los auditores de sistemas
    han observado algunas disfunciones derivadas de la
    relativamente escasa experiencia que técnica de sistemas
    tiene sobre la problemática general de los usuarios de
    bases de datos.

    La administración tendría que estar a
    cargo de explotación. El auditor de base de datos
    debería asegurarse que explotación conoce
    suficientemente las que son accedidas por los procedimientos que
    ella ejecuta. Analizará los sistemas de salvaguarda
    existentes, que competen igualmente a explotación.
    Revisará finalmente la integridad y consistencia de los
    datos, así como la ausencia de redundancias entre
    ellos.

    Investigación y Desarrollo

    Como empresas que utilizan y necesitan de
    informáticas desarrolladas, saben que sus propios
    efectivos están desarrollando aplicaciones y utilidades
    que, concebidas inicialmente para su uso interno, pueden ser
    susceptibles de adquisición por otras empresas, haciendo
    competencia a las
    compañías del ramo.

    La auditoria informática deberá cuidar de
    que la actividad de investigación y desarrollo no interfiera ni
    dificulte las tareas fundamentales internas. La propia existencia
    de aplicativos para la obtención de estadísticas desarrollados por los
    técnicos de sistemas de la empresa auditada, y su calidad,
    proporcionan al auditor experto una visión bastante exacta
    de la eficiencia y estado de
    desarrollo de los sistemas.

    1. Para el informático y para el auditor
      informático, el entramado conceptual que constituyen
      las redes nodales, líneas, concentradores, multiplexores, redes locales, etcétera.
      No son sino el soporte físico-lógico del tiempo
      real. El auditor tropieza con la dificultad técnica
      del entorno, pues ha de analizar situaciones y hechos
      alejados entre sí, y está condicionado a la
      participación del monopolio
      telefónico que presta el soporte.

      Como en otros casos, la auditoria de este sector
      requiere un equipo de especialistas, expertos
      simultáneamente en comunicaciones y en redes locales
      (no hay que olvidarse que en entornos geográficos
      reducidos, algunas empresas optan por el uso interno de redes
      locales, diseñadas y cableadas con recursos
      propios).

      El auditor de comunicaciones deberá inquirir
      sobre los índices de utilización de las
      líneas contratadas con información abundante
      sobre tiempos de desuso. Deberá proveerse de la
      topología de la red de comunicaciones,
      actualizada, ya que la des-actualización de esta
      documentación significaría una grave
      debilidad.

      La inexistencia de datos sobre la cuantas
      líneas existen, cómo son y donde están
      instaladas, supondría que se bordea la Inoperatividad
      Informática. Sin embargo, las debilidades más
      frecuentes o importantes se encuentran en las disfunciones
      organizativas. La contratación e instalación de
      líneas va asociada a la instalación de los
      puestos de trabajo correspondientes (Pantallas, Servidores de
      Redes Locales, Computadoras con tarjetas de
      Comunicaciones, impresoras, etc.), todas estas actividades
      deben estar muy coordinadas y a ser posible, dependientes de
      una sola organización.

    2. Auditoria
      Informática de Comunicaciones y Redes.
    3. Auditoría de la Seguridad
      informática.

    La computadora es un instrumento que estructura gran
    cantidad de información, la cual puede ser confidencial
    para individuos, empresas o instituciones,
    y puede ser mal utilizada o divulgada a personas que hagan mal
    uso de esta. También pueden ocurrir robos, fraudes o
    sabotajes que provoquen la destrucción total o parcial de
    la actividad computacional. Esta información puede ser de
    suma importancia, y el no tenerla en el momento preciso puede
    provocar retrasos sumamente costosos.

    En la actualidad y principalmente en las computadoras
    personales, se ha dado otro factor que hay que considerar: el
    llamado "virus" de las
    computadoras, el cual, aunque tiene diferentes intenciones, se
    encuentra principalmente para paquetes que son copiados sin
    autorización ("piratas") y borra toda la
    información que se tiene en un disco.

    Al auditar los sistemas se debe tener cuidado que no se
    tengan copias "piratas" o bien que, al conectarnos en red con
    otras computadoras, no exista la posibilidad de
    transmisión del virus. El uso inadecuado de la computadora
    comienza desde la utilización de tiempo de máquina
    para usos ajenos de la organización, la copia de programas
    para fines de comercialización sin reportar los derechos de
    autor hasta el acceso por vía telefónica a
    bases de datos a fin de modificar la información con
    propósitos fraudulentos.

    La seguridad en la informática abarca los
    conceptos de seguridad física y seguridad lógica.
    La seguridad física se refiere a la protección del
    Hardware y de los soportes de datos, así como a la de los
    edificios e instalaciones que los albergan. Contempla las
    situaciones de incendios,
    sabotajes, robos, catástrofes naturales, etcétera.
    La seguridad lógica se refiere a la seguridad de uso del
    software, a la protección de los datos, procesos y
    programas, así como la del ordenado y autorizado acceso de
    los usuarios a la información.

    "… Ejemplo: Existe una
    Aplicación de Seguridad que se llama SEOS, para Unix, que lo
    que hace es auditar el nivel de Seguridad en todos los
    servidores, como ser: accesos a archivos,
    accesos a directorios, que usuario lo hizo, si tenía o
    no tenía permiso, si no tenía permiso porque
    falló, entrada de usuarios a cada uno de los servidores,
    fecha y hora, accesos con password equivocada, cambios de
    password, etc. La Aplicación lo puede graficar, tirar en
    números, puede hacer reportes,
    etc.…"

    Con el incremento de agresiones a instalaciones
    informáticas en los últimos años, se han ido
    originando acciones para mejorar la Seguridad Informática
    a nivel físico. Los accesos y conexiones indebidos a
    través de las Redes de Comunicaciones, han acelerado el
    desarrollo de productos de Seguridad lógica y la
    utilización de sofisticados medios
    criptográficos.

    El sistema integral de seguridad debe
    comprender:

    • Elementos administrativos
    • Organización y división de
      responsabilidades
    • Seguridad física y contra catástrofes
      (incendio, terremotos,
      etc.)
    • Prácticas de seguridad del
      personal
    • Elementos técnicos y
      procedimientos
    • Sistemas de seguridad (de equipos y de sistemas,
      incluyendo todos los elementos, tanto redes como
      terminales.
    • Aplicación de los sistemas de seguridad,
      incluyendo datos y archivos
    • El papel de los auditores, tanto internos como
      externos
    • Planeación de programas de desastre y su
      prueba.
    1. ESTUDIO
      INICIAL.

    Para realizar dicho estudio ha de examinarse las
    funciones y
    actividades generales de la informática. Para su
    realización el auditor debe conocer lo
    siguiente:

    Organización.

    Para el equipo auditor, el
    conocimiento de quién ordena, quién
    diseña y quién ejecuta es fundamental. Para
    realizar esto en auditor deberá fijarse en:

    • Organigrama
    • Departamentos
    • Relaciones Jerárquicas y funcionales entre
      órganos de la Organización
    • Flujos de Información:
      • Número de Puestos de trabajo
      • Número de personas por Puesto de
        Trabajo
    1. Entorno
      Operacional.

    El equipo de auditoria informática debe poseer
    una adecuada referencia del entorno en el que va a desenvolverse.
    Este conocimiento
    previo se logra determinando, fundamentalmente, los siguientes
    extremos:

    1. Se determinará la ubicación
      geográfica de los distintos Centros de Proceso de
      Datos en la empresa. A continuación, se
      verificará la existencia de responsables en cada unos
      de ellos, así como el uso de los mismos
      estándares de trabajo.

      b) Arquitectura y configuración de
      Hardware y Software:

      Cuando existen varios equipos, es fundamental la
      configuración elegida para cada uno de ellos, ya que
      los mismos deben constituir un sistema compatible e
      intercomunicado. La configuración de los sistemas esta
      muy ligada a las políticas de seguridad lógica de
      las compañías.

      Los auditores, en su estudio inicial, deben tener en
      su poder la
      distribución e interconexión de
      los equipos.

    2. Situación geográfica de los
      Sistemas:
    3. Inventario de Hardware y
      Software:

    El auditor recabará información
    escrita, en donde figuren todos los elementos físicos
    y lógicos de la instalación. En cuanto a
    Hardware figurarán las CPU’s, unidades de control local y
    remotas, periféricos de todo tipo, etc. El
    inventario de
    software debe contener todos los productos lógicos del
    Sistema, desde el software básico hasta los programas
    de utilidad
    adquiridos o desarrollados internamente. Suele ser habitual
    clasificarlos en facturables y no facturables.

    d) Comunicación y Redes de
    Comunicación:

    En el estudio inicial los auditores
    dispondrán del número, situación y
    características principales de las líneas,
    así como de los accesos a la red pública de
    comunicaciones. Igualmente, poseerán
    información de las Redes Locales de la
    Empresa.

    1. Aplicaciones
      bases de datos y ficheros.

    El estudio inicial que han de realizar los auditores se
    cierra y culmina con una idea general de los procesos
    informáticos realizados en la empresa auditada. Para ello
    deberán conocer lo siguiente:

    1. Volumen, antigüedad y complejidad de las
      Aplicaciones,
      deberán revisar las aplicaciones
      según complejidad, tamaño y antigüedad esto
      para tomar las medidas necesarias de seguridad y control de la
      aplicación, de esta manera la documentación de la
      misma nos permitiría administrar eficientemente la
      seguridad de la misma.
    2. Metodología del Diseño, se
      clasificará globalmente la existencia total o parcial de
      metodología en el desarrollo de las
      aplicaciones. Si se han utilizados varias a lo largo del tiempo
      se pondrá de manifiesto.
    3. Documentación, la existencia de una
      adecuada documentación de las aplicaciones proporciona
      beneficios tangibles e inmediatos muy importantes. La
      documentación de programas disminuye gravemente el
      mantenimiento de los mismos.
    4. Cantidad y complejidad de Bases de Datos y
      Ficheros,
      el auditor recabará información de
      tamaño y características de las Bases de Datos,
      clasificándolas en relación y jerarquías.
      Hallará un promedio de número de accesos a ellas
      por hora o días. Esta operación se
      repetirá con los ficheros, así como la frecuencia
      de actualizaciones de los mismos. Estos datos proporcionan una
      visión aceptable de las características de la
      carga informática.
    1. CRMR (Computer
      resource management review).

    Definición de la metodología
    CRMR.

    CRMR son las siglas de <<Computer resource
    management review>>; su traducción más adecuada,
    Evaluación de la gestión de recursos
    informáticos. En cualquier caso, esta terminología
    quiere destacar la posibilidad de realizar una evaluación
    de eficiencia de utilización de los recursos por medio del
    management.

    Una revisión de esta naturaleza no tiene en
    sí misma el grado de profundidad de una auditoria
    informática global, pero proporciona soluciones
    más rápidas a problemas
    concretos y notorios.

    Estrategia y logística del ciclo de
    Seguridad

    Constituye la FASE 1 del ciclo de seguridad y se
    desarrolla en las actividades 1, 2 y 3:

    Fase 1. Estrategia y logística del ciclo de
    seguridad

    1. Designación del equipo auditor.
    2. Asignación de interlocutores, validadores y
      decisores del cliente.
    3. Complementación de un formulario general por
      parte del cliente, para la realización del estudio
      inicial.

    Con las razones por las cuales va a ser realizada la
    auditoria (Fase 0), el equipo auditor diseña el proyecto de Ciclo
    de Seguridad con arreglo a una estrategia
    definida en función del volumen y
    complejidad del trabajo a realizar, que constituye la Fase 1 del
    punto anterior.

    Para desarrollar la estrategia, el equipo auditor
    necesita recursos materiales y humanos. La adecuación de
    estos se realiza mediante un desarrollo logístico, en el
    que los mismos deben ser determinados con exactitud. La cantidad,
    calidad, coordinación y distribución de los
    mencionados recursos, determina a su vez la eficiencia y la
    economía
    del Proyecto. Los planes del equipo auditor se desarrollan de la
    siguiente manera:

    1. Eligiendo el responsable de la auditoria su propio
      equipo de trabajo. Este ha de ser heterogéneo en cuanto
      a especialidad, pero compacto.
    2. Recabando de la empresa auditada los nombres de las
      personas de la misma que han de relacionarse con los
      auditores, para las peticiones de información,
      coordinación de entrevistas, etc.

      Según los planes marcados, el equipo auditor,
      cumplidos los requisitos 1, 2 y 3, estará en
      disposición de comenzar la "tarea de campo", la
      operativa auditora del Ciclo de Seguridad.

      Ponderación de los Sectores
      Auditados

      Este constituye la Fase 2 del Proyecto y engloba las
      siguientes actividades; Ponderación de sectores del
      ciclo de seguridad.

    3. Mediante un estudio inicial, del cual forma parte el
      análisis de un formulario exhaustivo, también
      inicial, que los auditores entregan al cliente para su
      complementación.
    4. Asignación de pesos técnicos. Se
      entienden por tales las ponderaciones que el equipo auditor
      hace de los segmentos y secciones, en función de su
      importancia.
    5. Asignación de pesos políticos. Son las
      mismas ponderaciones anteriores, pero evaluadas por el
      cliente.
    6. Asignación de pesos finales a los Segmentos y
      Secciones. El peso final es el promedio del peso técnico
      y del peso político. La Subsecciones se calculan pero no
      se ponderan.

    Se pondera la importancia relativa de la seguridad en
    los diversos sectores de la organización
    informática auditada.

    Supuestos de aplicación.

    En función de la definición dada, la
    metodología abreviada CRMR es aplicable más a
    deficiencias organizativas y gerenciales que a problemas de tipo
    técnico, pero no cubre cualquier área de un Centro
    de Procesos de Datos. El método
    CRMR puede aplicarse cuando se producen algunas de las
    situaciones que se citan:

    • Se detecta una mala respuesta a las peticiones y
      necesidades de los usuarios.
    • Los resultados del Centro de Procesos de Datos no
      están a disposición de los usuarios en el momento
      oportuno.
    • Se genera con alguna frecuencia información
      errónea por fallos de datos o proceso.
    • Existen sobrecargas frecuentes de capacidad de
      proceso.
    • Existen costes excesivos de proceso en el Centro de
      Proceso de Datos.

    Efectivamente, son éstas y no otras las
    situaciones que el auditor informático encuentra con mayor
    frecuencia. Aunque pueden existir factores técnicos que
    causen las debilidades descritas, hay que convenir en la mayor
    incidencia de fallos de gestión. Caso Práctico de
    una auditoria de Seguridad Informática <<Ciclo de
    Seguridad>>

    A continuación, un caso de auditoria de
    área general para proporcionar una visión
    más desarrollada y amplia de la función auditora.
    Es una auditoria de Seguridad Informática que tiene como
    misión
    revisar tanto la seguridad física del Centro de Proceso de
    Datos en su sentido más amplio, como la seguridad
    lógica de datos, procesos y funciones informáticas
    más importantes de aquél.

    1. Ciclo de Vida y
      Seguridad.

    El objetivo de esta auditoria de seguridad es revisar la
    situación y las cuotas de eficiencia de la misma en los
    órganos más importantes de la estructura
    informática. Para ello, se fijan los supuestos de
    partida:

    El área auditada es la Seguridad. El
    área a auditar se divide en:
    Segmentos.

    Los segmentos se dividen en:
    Secciones.

    Las secciones se dividen en:
    Subsecciones.

    De este modo la auditoria se realizara en 3
    niveles.

    Los segmentos a auditar, son:

    • Segmento 1: Seguridad de cumplimiento de normas y
      estándares.
    • Segmento 2: Seguridad de Sistema
      Operativo.
    • Segmento 3: Seguridad de Software.
    • Segmento 4: Seguridad de Comunicaciones.
    • Segmento 5: Seguridad de Base de Datos.
    • Segmento 6: Seguridad de Proceso.
    • Segmento 7: Seguridad de Aplicaciones.
    • Segmento 8: Seguridad Física.

    Se darán los resultados globales de todos los
    segmentos y se realizará un tratamiento exhaustivo del
    Segmento 8, a nivel de sección y subsección.
    Conceptualmente la auditoria informática en general y la
    de Seguridad en particular, ha de desarrollarse en seis fases
    bien diferenciada.

    Conclusiones

    El auditar, es el proceso de acumular y evaluar
    evidencia, realizando por una persona
    independiente y competente acerca de la información
    cuantificable de una entidad económica especifica, con el
    propósito de determinar e informar sobre el grado de
    correspondencia existente entre la información
    cuantificable y los criterios establecidos.

    Su importancia es reconocida desde los tiempos
    más remotos, teniéndose conocimientos de su
    existencia ya en las lejanas épocas de la
    civilización sumeria. El factor tiempo obliga a cambiar
    muchas cosas, la industria, el
    comercio, los
    servicios
    públicos, entre otros. Al crecer las empresas,
    la
    administración se hace más complicada,
    adoptando mayor importancia la comprobación y el control
    interno, debido a una mayor delegación de autoridades y
    responsabilidad de los funcionarios.

    Debido a todos los problemas administrativos sé
    han presentado con el avance del tiempo nuevas dimensiones en el
    pensamiento
    administrativo.

    Una de estas dimensiones es la auditoria administrativa
    la cual es un examen detallado de la administración de un
    organismo social, realizado por un profesional (auditor), es
    decir, es una nueva herramienta de control y evaluación
    considerada como un servicio
    profesional para examinar integralmente un organismo social con
    el propósito de descubrir oportunidades para mejorar su
    administración.

    Tomando en consideración todas las investigaciones
    realizadas, podemos concluir que la auditoria es dinámica, la cual debe aplicarse
    formalmente toda empresa, independientemente de su magnitud y
    objetivos; aun en empresas pequeñas, en donde se llega a
    considerar inoperante, su aplicación debe ser secuencial
    constatada para lograr eficiencia.

    La principal conclusión a la que hemos podido
    llegar, es que toda empresa, pública o privada, que posean
    Sistemas de Información medianamente complejos, deben de
    someterse a un control estricto de evaluación de eficacia
    y eficiencia. Hoy en día, el 90 por ciento de las empresas
    tienen toda su información estructurada en Sistemas
    Informáticos, de aquí, la vital importancia que los
    sistemas de información funcionen correctamente. La
    empresa hoy, debe/precisa informatizarse.

    El éxito de una empresa depende de la eficiencia
    de sus sistemas de información. Una empresa puede tener un
    staff de gente de primera, pero tiene un sistema
    informático propenso a errores, lento, vulnerable e
    inestable; si no hay un balance entre estas dos cosas, la empresa
    nunca saldrá a adelante. En cuanto al trabajo de la
    auditoria en sí, podemos remarcar que se precisa de gran
    conocimiento de Informática, seriedad, capacidad,
    minuciosidad y responsabilidad; la auditoria de Sistemas debe
    hacerse por gente altamente capacitada, una auditoria mal hecha
    puede acarrear consecuencias drásticas para la empresa
    auditada, principalmente económicas.

    Bibliografía

    "La Auditoria." Microsoft® Encarta®
    2006 [DVD]. Microsoft
    Corporation, 2005.

    Microsoft ® Encarta ® 2006. © 1993-2005
    Microsoft Corporation. Reservados todos los derechos.

    "Auditoria Informática." www.monografías.com
    ® MONOGRAFIAS
    VENEZUELA,
    2006.

    Monografías.com ® MONOGRAFIAS VENEZUELA ® Todos los
    derechos reservados.

    "Auditoria a Smartmatic." www.smartmatic.com
    Noticias >
    Sala de prensa, 2000 –
    2005.

    Smartmatic, All Things Connected © Todos los
    derechos reservados

    "Auditoria a Auto Mercado
    Superior."
    Informe de Auditoria, prestado a Antonio
    Rojas.

    Auto Mercado Superior C.A, 1972 – 2006. Auditoria
    (Interna) 2005 Derechos reservados.

     

    Parra, Hogo

    Pérez, Miguel

    Rojas E. Antonio

    Sarli, Erick

    Ciudad Bolívar,
    Abril de 2006

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter