INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos
se convirtieron en las herramientas más poderosas para
materializar uno de los conceptos más vitales y necesarios
para cualquier organización empresarial como son los
sistemas de información de una empresa.
La evolución tecnológica hoy en
día, está subsumida en la gestión integral
de la empresa y por eso las normas y estándares
propiamente informáticos deben estar presentes en ella. En
consecuencia, las organizaciones informáticas forman parte
de lo que se ha denominado el "management" o gestión de la
empresa. Cabe aclarar que la tecnología no gestiona
propiamente la empresa, sino que ayuda a la toma de decisiones,
pero no decide por sí misma, sin embargo, actúa
como un apoyo dentro de la organización, debido a que a
través de una auditoria se monitorea el cumplimiento de
los procesos y por ende las normas y procedimientos, en los
cuales se basa cada proceso, bien sea administrativo, financiero
o de sistema. Permitiendo así cotejar una
información veraz, pues esta basada en el resultado del
cumplimiento de ciertas normas establecidas dentro de la empresa.
Es por eso, que debido a su importancia en el funcionamiento
correcto de los procesos dentro de una empresa, existe lo que
conocemos hoy en día, como Auditoria de sistemas, basado
en el uso de la tecnología informática, para hacer
más efectiva y rápida la
información.
Las empresas dependen, cada día más, de
las computadoras en el logro de sus objetivos y estrategias de
negocio. La competencia y el cambio siguen afectando a las
empresas y aunque el uso de las Tecnologías de
Información les provee competencia, su evolución
obliga a su cambio constante para que las empresas mantengan la
ventaja competitiva de los avances tecnológicos en el
manejo del negocio.
Es por eso, que muchas empresas deben tener como
prioridad la auditoría y seguridad informática. Por
tratarse de "algo que no se ve a simple vista", las empresas hoy
en día destinan presupuesto para mantener niveles
mínimos de seguridad en sus instalaciones
informáticas. Ya que es mejor invertir a tiempo que hacer
"algo" sólo cuándo tienen el problema encima y se
deben entregar resultados inmediatos; ya que de lo contrario,
cuando se den cuenta que "algo" no funcionó o
funcionó mal y no lo previnieron, se les viene encima
muchos problemas. No se puede esperar actuar cuando se dan cuenta
que alguien violó sus instalaciones y con
ello la confidencialidad de su información por no cumplir
con los parámetros mínimos de seguridad e
integridad. Debido a que no previnieron el hecho, que en
ocasiones puede ser tan lamentable al resultar dañada su
imagen y su información, ya que se verían afectadas
en algunos de los puntos importantes como: Evaluación de
controles, Cumplimiento de la metodología.,
Evaluación de la seguridad en el área
informática, Evaluación de suficiencia en los
planes de contingencia (Respaldos, prever qué va a pasar
si se presentan fallas), utilización de los recursos
informáticos (Resguardo y protección de activos),
Control de modificación a las aplicaciones existentes
(Fraudes y Control a las modificaciones de los programas) entre
otros.
AUDITORIA
Evolución de la auditoria
La auditoria es una de las aplicaciones de los
principios científicos de la contabilidad, basada en la
verificación de los registros patrimoniales de las
haciendas, para observar su exactitud; no obstante, este no es su
único objetivo.
Su importancia es reconocida desde los tiempos
más remotos, teniéndose conocimientos de su
existencia ya en las lejanas épocas de la
civilización sumeria.
Acreditase, todavía, que el termino auditor
evidenciando el titulo del que practica esta técnica,
apareció a finales del siglo XVIII, en Inglaterra durante
el reinado de Eduardo I.
En diversos países de Europa, durante la edad
media, muchas eran las asociaciones profesionales, que se
encargaban de ejecuta funciones de auditorias,
destacándose entre ellas los consejos Londineses
(Inglaterra), en 1.310, el Colegio de Contadores, de Venecia
(Italia), 1.581.
La revolución industrial llevada a cabo en la
segunda mitad del siglo XVIII, imprimió nuevas direcciones
a las técnicas contables, especialmente a la auditoria,
pasando a atender las necesidades creadas por la aparición
de las grandes empresas (donde la naturaleza es el servicio es
prácticamente obligatorio).
Se preanuncio en 1.845 o sea, poco después de
penetrar la contabilidad de los dominios científicos y ya
el "Railway Companies Consolidation Act" obligada la
verificación anual de los balances que debían hacer
los auditores.
También en los Estados Unidos de
Norteamérica, una importante asociación cuida las
normas de auditoria, la cual publicó diversos reglamentos,
de los cuales el primero que conocemos data de octubre de 1.939,
en tanto otros consolidaron las diversas normas en diciembre
de 1.939, marzo de 1.941, junio de 1942 y diciembre
de 1.943.
El futuro de nuestro país se prevé para la
profesión contable en el sector auditoria es realmente muy
grande, razón por la cual deben crearse, en nuestro
circulo de enseñanza cátedra para el estudio de la
materia, incentivando el aprendizaje y asimismo organizarse
cursos similares a los que en otros países se
realizan.
Definición de auditoria
Holmes escribe la auditoria como:
"… El examen de las demostraciones y registros
administrativos. El auditor observa la exactitud, integridad y
autenticidad de tales demostraciones, registros y
documentos."
Objetivo de la auditoria
El objetivo de la Auditoria consiste en apoyar a los
miembros de la empresa en el desempeño de sus actividades.
Para ello la Auditoria les proporciona análisis,
evaluaciones, recomendaciones, asesoría e
información concerniente a las actividades
revisadas.
Finalidad de la auditoria
Los fines de la auditoria son los aspectos bajo los
cuales su objeto es observado. Podemos señalar los
siguientes:
1. Indagaciones y determinaciones sobre el
estado patrimonial.
2. Indagaciones y determinaciones sobre los
estados financieros.
3. Indagaciones y determinaciones sobre el
estado reditual.
4. Descubrir errores y fraudes.
5. Prevenir los errores y
fraudes.
6. Estudios generales sobre casos
especiales, tales como:
a. Exámenes de aspectos fiscales y
legales.
b. Examen para compra de una empresa(
cesión patrimonial).
c. Examen para la determinación de
bases de criterios de prorrateo, entre otros.
Clasificación de la auditoria
Auditoria externa
Es el examen crítico, sistemático y
detallado de un sistema de información de una unidad
económica, realizado por un Contador Público sin
vínculos laborales con la misma, utilizando
técnicas determinadas y con el objeto de emitir una
opinión independiente sobre la forma como opera el
sistema, el control interno del mismo y formular sugerencias para
su mejoramiento.
Auditoria interna
Es el examen crítico, sistemático y
detallado de un sistema de información de una unidad
económica, realizado por un profesional con
vínculos laborales con la misma, utilizando
técnicas determinadas y con el objeto de emitir informes y
formular sugerencias para el mejoramiento de la misma. Estos
informes son de circulación interna y no tienen
trascendencia a los terceros pues no se producen bajo la figura
de la Fe Publica.
AUDITORIA
ADMINISTRATIVA
Evolución de la auditoria
administrativa
Con el propósito de ubicar como se ha ido
enriqueciendo a través del tiempo, es conveniente revisar
las contribuciones de los autores que han incidido de manera
más significativa a lo largo de la historia de la
administración.
En el año de 1935, James O. McKinsey, en el seno
de la American Economic Association sentó las bases para
lo que él llamó "auditoria administrativa", la
cual, en sus palabras, consistía en "una evaluación
de una empresa en todos sus aspectos, a la luz de su ambiente
presente y futuro probable."
Más adelante, en 1953, George R. Terry, en
Principios de Administración, señala que "La
confrontación periódica de la planeación,
organización, ejecución y control administrativos
de una compañía, con lo que podría llamar el
prototipo de una operación de éxito, es el
significado esencial de la auditoría
administrativa."
Dos años después, en 1955, Harold Koontz y
Ciryl O´Donnell, también en sus Principios de
Administración, proponen a la auto-auditoría, como
una técnica de control del desempeño total, la cual
estaría destinada a "evaluar la posición de la
empresa para determinar dónde se encuentra, hacia
dónde va con los programas presentes, cuáles
deberían ser sus objetivos y si se necesitan planes
revisados para alcanzar estos objetivos."
El interés por esta técnica llevan en 1958
a Alfred Klein y Nathan Grabinsky a preparar El Análisis
Factorial, obra en cual abordan el estudio de "las causas de una
baja productividad para establecer las bases para mejorarla" a
través de un método que identifica y cuantifica los
factores y funciones que intervienen en la operación de
una organización.
Transcurrido un año, en 1959, ocurren dos hechos
relevantes que contribuyen a la evolución de la
auditoría administrativa: 1) Víctor Lazzaro publica
su libro de Sistemas y Procedimientos, en el cual presenta la
contribución de William P. Leonard con el nombre de
auditoría administrativa y, 2) The American Institute of
Management, en el Manual of Excellence Managements integra un
método para auditar empresas con y sin fines de lucro,
tomando en cuenta su función, estructura, crecimiento,
políticas financieras, eficiencia operativa y
evaluación administrativa.
El atractivo por el tema se extiende al ámbito
académico y, en 1960, Alfonso Mejía
Fernández, de la Escuela Nacional de Comercio y
Administración de la Universidad Nacional Autónoma
de México, en su tesis profesional La Auditoria de las
Funciones de la Gerencia de las Empresas, realiza un recuento de
los aspectos estructurales y funcionales que el nivel gerencial
de las empresas debe contemplar para aplicar una auditoria
administrativa.
Para 1962, Roberto Macías Pineda, de la Escuela
Superior de Comercio y Administración del Instituto
Politécnico Nacional, dentro del programa de doctorado en
ciencias administrativas, en la asignatura Teoría de la
Administración, destina un espacio para presentar un
trabajo de auditoría administrativa.
Por otra parte, en 1964, Manuel D´Azaola S., de la
Escuela Nacional de Comercio y Administración de la
Universidad Nacional Autónoma de México, en su
tesis profesional La Revisión del Proceso Administrativo,
considera la necesidad de que las empresas analicen su
comportamiento a partir de la revisión de las funciones de
dirección, financiamiento, personal, producción,
ventas y distribución, así como registro contable y
estadístico.
A finales de 1965, Edward F. Norbeck da a conocer su
libro Auditoria Administrativa, en donde define el concepto,
contenido e instrumentos para aplicar la auditoria. Asimismo,
precisa las diferencias entre la auditoría administrativa
y la auditoria financiera, y desarrolla los criterios para la
integración del equipo de auditores en sus diferentes
modalidades.
En 1966, José Antonio Fernández Arena,
presenta la primera versión de su texto "La Auditoria
Administrativa", en la cual desarrolla un marco comparativo entre
diferentes enfoques de la auditoría administrativa,
presentando una propuesta a partir de su propia visión de
la técnica.
Más adelante, en 1971, se generan dos nuevas
contribuciones: Agustín Reyes Ponce, en
Administración de Personal, dedica un apartado para
tratar el tema, ofreciendo una visión general
de la auditoría administrativa, en tanto que William P.
Leonard publica Auditoria Administrativa: Evaluación de
los Métodos y Eficiencia Administrativos, en donde
incorpora los conceptos fundamentales y programas para la
ejecución de la auditoría
administrativa.
Para 1977, se suman las aportaciones de dos autores en
la materia. Patricia Diez de Bonilla en su Manual de Casos
Prácticos sobre Auditoria Administrativa, propone
aplicaciones viables de llevar a la práctica y, Jorge
Álvarez Anguiano, en Apuntes de Auditoria Administrativa
incluye un marco metodológico que permite entender la
auditoría administrativa de manera por demás
accesible.
En 1978, la Asociación Nacional de Licenciados en
Administración, difunde el documento Auditoria
Administrativa, el cual reúne las normas para su
implementación en organizaciones públicas y
privadas.
Poco después, en 1984, Robert J. Thierauf
presenta Auditoria Administrativa con Cuestionarios de Trabajo,
trabajo que introduce a la auditoria administrativa y a la forma
de aplicarla sobre una base de preguntas para evaluar las
áreas funcionales, ambiente de trabajo y sistemas de
información.
En 1988, la oficina de la Contraloría General de
los Estados Unidos de Norteamérica prepara las Normas de
Auditoría Gubernamental, que son revisadas por la
Contraloría Mayor de Hacienda (entidad de la
Secretaría de Hacienda y Crédito Público),
las cuales contienen los lineamientos generales para la
ejecución de auditorias en las oficinas
públicas.
Al iniciarse la década de los noventa, la
Secretaría de la Contraloría General de la
Federación se dio a la tarea de preparar y difundir
normas, lineamientos, programas y marcos de actuación para
las instituciones, trabajo que, en su situación actual,
como Secretaría de Contraloría y Desarrollo
Administrativo, continúa ampliando y
enriqueciendo.
Según Williams P. Leonard la auditoria
administrativa se define como:
"Un examen completo y constructivo de la estructura
organizativa de la empresa, institución o departamento
gubernamental; o de cualquier otra entidad y de sus
métodos de control, medios de operación y empleo
que de a sus recursos humanos y materiales".
Objetivos de la auditoria
administrativa
Entre los objetivos prioritarios para instrumentarla de
manera consistente tenemos los siguientes:
De control.- Destinados a orientar los esfuerzos
en su aplicación y poder evaluar el comportamiento
organizacional en relación con estándares
preestablecidos.
De productividad.- Encauzan las acciones para
optimizar el aprovechamiento de los recursos de acuerdo con la
dinámica administrativa instituida por la
organización.
De organización.- Determinan que su curso
apoye la definición de la estructura, competencia,
funciones y procesos a través del manejo efectivo de la
delegación de autoridad y el trabajo en equipo.
De servicio.- Representan la manera en que se
puede constatar que la organización está inmersa en
un proceso que la vincula cuantitativa y cualitativamente con las
expectativas y satisfacción de sus clientes.
De calidad.- Disponen que tienda a elevar los
niveles de actuación de la organización en todos
sus contenidos y ámbitos, para que produzca bienes y
servicios altamente competitivos.
De cambio.- La transforman en un instrumento que
hace más permeable y receptiva a la
organización.
De aprendizaje.- Permiten que se transforme en un
mecanismo de aprendizaje institucional para que la
organización pueda asimilar sus experiencias y las
capitalice para convertirlas en oportunidades de
mejora.
De toma de decisiones.- Traducen su puesta en
práctica y resultados en un sólido instrumento de
soporte al proceso de gestión de la
organización.
EL
AUDITOR
Es aquella persona profesional, que se dedica a trabajos
de auditoria habitualmente con libre ejercicio de una
ocupación técnica.
Funciones generales del auditor:
Para ordenar e imprimir cohesión a su labor, el
auditor cuenta con un una serie de funciones tendientes a
estudiar, analizar y diagnosticar la estructura y funcionamiento
general de una organización.
Las funciones tipo del auditor son:
• Estudiar la normatividad,
misión, objetivos, políticas, estrategias, planes y
programas de trabajo.
• Desarrollar el programa de trabajo
de una auditoria.
• Definir los objetivos, alcance y
metodología para instrumentar una auditoria.
• Captar la información
necesaria para evaluar la funcionalidad y efectividad de los
procesos, funciones y sistemas utilizados.
• Recabar y revisar
estadísticas sobre volúmenes y cargas de
trabajo.
• Diagnosticar sobre los
métodos de operación y los sistemas de
información.
• Detectar los hallazgos y evidencias
e incorporarlos a los papeles de trabajo.
• Respetar las normas de
actuación dictadas por los grupos de filiación,
corporativos, sectoriales e instancias normativas y, en su caso,
globalizadoras.
• Proponer los sistemas
administrativos y/o las modificaciones que permitan elevar la
efectividad de la organización
• Analizar la estructura y
funcionamiento de la organización en todos sus
ámbitos y niveles
• Revisar el flujo de datos y
formas.
• Considerar las variables ambientales
y económicas que inciden en el funcionamiento de la
organización.
• Analizar la distribución del
espacio y el empleo de equipos de oficina.
• Evaluar los registros contables e
información financiera.
• Mantener el nivel de
actuación a través de una interacción y
revisión continua de avances.
• Proponer los elementos de
tecnología de punta requeridos para impulsar el cambio
organizacional.
• Diseñar y preparar los
reportes de avance e informes de una auditoria.
AUDITORIA DE
SISTEMAS
La palabra auditoria viene del latín
auditorius y de esta proviene auditor, que tiene la
virtud de oír y revisar cuentas, pero debe estar
encaminado a un objetivo específico que es el de evaluar
la eficiencia y eficacia con que se está operando para
que, por medio del señalamiento de cursos alternativos de
acción, se tomen decisiones que permitan corregir los
errores, en caso de que existan, o bien mejorar la forma de
actuación.
La auditoria en informática es la revisión
y la evaluación de los controles, sistemas, procedimientos
de informática; de los equipos de cómputo, su
utilización, eficiencia y seguridad, de la
organización que participan en el procesamiento de la
información, a fin de que por medio del
señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la
información que servirá para una adecuada toma de
decisiones.
La auditoria en informática deberá
comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico,
sino que además habrá de evaluar los sistemas de
información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de
información.
La auditoria en informática es de vital
importancia para el buen desempeño de los sistemas de
información, ya que proporciona los controles necesarios
para que los sistemas sean confiables y con un buen nivel de
seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y
software).
Objetivos generales de una auditoria de
sistemas
• Buscar una mejor relación
costo-beneficio de los sistemas automáticos o
computarizados diseñados e implantados por el
PAD
• Incrementar la satisfacción
de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad,
confidencialidad y confiabilidad de la información
mediante la recomendación de seguridades y
controles.
• Conocer la situación actual
del área informática y las actividades y esfuerzos
necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos,
hardware, software e instalaciones
• Apoyo de función
informática a las metas y objetivos de la
organización
• Seguridad, utilidad, confianza,
privacidad y disponibilidad en el ambiente
informático
• Minimizar existencias de riesgos en
el uso de Tecnología de información
• Decisiones de inversión y
gastos innecesarios
• Capacitación y
educación sobre controles en los Sistemas de
Información
Objetivos específicos de la
auditoria de sistemas:
1. Participación en el desarrollo de
nuevos sistemas:
a. Evaluación de
controles
b. Cumplimiento de la
metodología.
2. Evaluación de la seguridad en el
área informática.
3. Evaluación de suficiencia en los
planes de contingencia.
a. Respaldos, prever qué va a pasar
si se presentan fallas.
4. Opinión de la utilización
de los recursos informáticos.
a. Resguardo y protección de
activos.
5. Control de modificación a las
aplicaciones existentes.
a. Fraudes
b. Control a las modificaciones de los
programas.
6. Participación en la
negociación de contratos con los proveedores.
7. Revisión de la utilización
del sistema operativo y los programas
a. Utilitarios.
b. Control sobre la utilización de
los sistemas operativos
c. Programas utilitarios.
8. Auditoría de la base de
datos.
a. Estructura sobre la cual se desarrollan
las aplicaciones.
9. Auditoría de la red de
teleprocesos.
10. Desarrollo de software de
auditoría.
Es el objetivo final de una auditoria de sistemas bien
implementada, desarrollar software capaz de estar ejerciendo un
control continuo de las operaciones del área de
procesamiento de datos.
Fines de la auditoria de sistemas:
1. Fundamentar la opinión del
auditor interno (externo) sobre la confiabilidad de los sistemas
de información.
2. Expresar la opinión sobre la
eficiencia de las operaciones en el área de TI.
Tipos de auditoria
La auditoria se clasifica en Auditoria Financiera y
Operativa. Los servicios de auditoría pueden ser de
distinta índole:
Auditoría de seguridad interna. En este
tipo de auditoría se contrasta el nivel de seguridad y
privacidad de las redes locales y corporativas de carácter
interno
Auditoría de seguridad perimetral. En este
tipo de análisis, el perímetro de la red local o
corporativa es estudiado y se analiza el grado de seguridad que
ofrece en las entradas exteriores
Test de intrusión. El test de
intrusión es un método de auditoría mediante
el cual se intenta acceder a los sistemas, para comprobar el
nivel de resistencia a la intrusión no deseada. Es un
complemento fundamental para la auditoría
perimetral.
Análisis forense. El análisis
forense es una metodología de estudio ideal para el
análisis posterior de incidentes, mediante el cual se
trata de reconstruir cómo se ha penetrado en el sistema, a
la par que se valoran los daños ocasionados. Si los
daños han provocado la inoperabilidad del sistema, el
análisis se denomina análisis
postmortem.
Auditoria de páginas web. Entendida como
el análisis externo de la web, comprobando
vulnerabilidades como la inyección de código sql,
Verificación de existencia y anulación de
posibilidades de Cross Site Scripting (XSS), etc.
Auditoria de código de aplicaciones.
Análisis del código tanto de aplicaciones
páginas Web como de cualquier tipo de aplicación,
independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura
la integridad de los controles de seguridad aplicados a los
sistemas de información. Acciones como el constante cambio
en las configuraciones, la instalación de parches,
actualización de los softwares y la adquisición de
nuevo hardware hacen necesario que los sistemas estén
continuamente verificados mediante auditoría.
Justificativos para efectuar una auditoria de
sistemas
• Aumento considerable e injustificado
del presupuesto del PAD (Departamento de
Procesamiento de Datos).
• Desconocimiento en el nivel
directivo de la situación informática de la
empresa.
• Falta total o parcial de seguridades
lógicas y físicas que garanticen la integridad del
personal, equipos e información.
• Descubrimiento de fraudes efectuados
con el computador.
• Falta de una planificación
informática.
• Organización que no funciona
correctamente, falta de políticas, objetivos, normas,
metodología, asignación de tareas y adecuada
administración del Recurso Humano.
• Descontento general de los usuarios
por incumplimiento de plazos y mala calidad de los
resultados.
• Falta de documentación o
documentación incompleta de sistemas que revela la
dificultad de efectuar el mantenimiento de los sistemas en
producción.
Pasos a seguir para implementar auditoría en
un sistema de información
Se requieren varios pasos para realizar una auditoria.
El auditor de sistemas debe evaluar los riesgos globales y luego
desarrollar un programa de auditoria que consta de objetivos de
control y procedimientos de auditoria que deben satisfacer esos
objetivos. El proceso de auditoria exige que el
auditor de sistemas reúna evidencia, evalúe
fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoria que
presente esos temas en forma objetiva a la gerencia. Asimismo, la
gerencia de auditoria debe garantizar una disponibilidad y
asignación adecuada de recursos para realizar el trabajo
de auditoria además de las revisiones de seguimiento sobre
las acciones correctivas emprendidas por la gerencia.
Estándares de auditoria informática y
de seguridad
Una auditoría se realiza con base a un
patrón o conjunto de directrices o buenas practicas
sugeridas. Existen estándares orientados a servir como
base para auditorias de informática. Uno de ellos es COBIT
(Objetivos de Control de la Tecnologías de la
Información), dentro de los objetivos definidos como
parámetro, se encuentra el "Garantizar la Seguridad de los
Sistemas". Adicional a este estándar podemos encontrar el
estándar ISO 27002, el cual se conforma como un
código internacional de buenas prácticas de
seguridad de la información, este puede constituirse como
una directriz de auditoria apoyándose de otros
estándares de seguridad de la información que
definen los requisitos de auditoria y sistemas de gestión
de seguridad, como lo es el estándar ISO 27001.
Aspectos del medio ambiente informático que
afectan el enfoque de la auditoria y sus
procedimientos.
• Complejidad de los
sistemas.
• Uso de lenguajes.
• Metodologías, son parte de
las personas y su experiencia.
• Departamento de sistemas que
coordina y centraliza todas las operaciones relaciones los
usuarios son altamente dependientes del área de
sistemas.
• Controles del computador.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO
ORIGINAL.
PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION
DESCARGAR DEL MENU SUPERIOR.