AUDITORIA INFORMÁTICA

src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js">

INTRODUCCIÓN

Este tema relata sobre la auditoria informática, y algunos aspectos que la engloban tales como: áreas de aplicación, que trata de los diferentes procedimientos que se van a emplear en el área informática, así como también el procesamiento electrónico de datos, puesto que el auditor debe conocer el programa que va a utilizar.

src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js">

También se observará cuales son los objetivos primordiales de una auditoria de sistemas, pues son de mucha importancia centrarse en ellos debido a que se evalúa la operatividad del sistema y el control de la función informática, que influyen mucho en los resultados obtenidos (informe final); los procedimientos que se realizan en la auditoria consiste en la metodología que se va a aplicar para realizar el análisis correspondiente.

En la actualidad la informática se encuentra evidentemente vinculada con la gestión de las empresas y es por esto que es de vital importancia que exista la auditoria informática, para analizar el desempeño y funcionamiento de los sistemas de información, de los cuales depende la organización.

Cabe aclarar que la informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma.

ANTECEDENTES Y TERMINOLOGÍA DE AUDITORIA INFORMÁTICA

La auditoria, nace antes de la teneduría de libros a finales del siglo XV, para verificar las actividades de los administradores y evitar fraudes en las empresas. En un principio se considero como una rama de la contaduría publica que solo se dedicaba a examinar registros, pero posteriormente se extendió a otras Áreas como la administración, ingeniería, medicina, sistemas, etc. Así la Auditoría Informática es la encargada de verificar que los sistemas y procesos informáticos funcionen adecuadamente para las funciones que han sido programados y sus activos digitales se encuentren debidamente protegidos.

La auditoria es considerada como una actividad que consiste en la emisión de una opinión profesional que presenta adecuada y razonablemente el auditor. La auditoría fundamentalmente tiene cuatro elementos que son conclusion, justificación, objeto, finalidad. Con la opinión profesional que sustenta los determinados procedimientos para un correcto análisis.

Las normas y procedimientos básicos que se encuentra en una auditoria es la Planificación y supervisión es decir todo será sumamente bien planificado y luego supervisado, después se estudiara y evaluara el sistema de control interno y por ultimo se obtendrá las evidencias que se encuentran el papel de trabajo.

El objetivo primordial de la auditoria consiste en evaluar el cumplimiento de planes, políticas, normas y lineamientos, así como las actividades que se desarrollan.

La informática es un proceso que se desarrolla de manera permanente en las organizaciones para el análisis, evaluación selección implantación, y actualización de los recursos humanos, tecnológicos y financieros.

La auditoria informática es un proceso para ejecutar por especialistas del área de auditoria y de informática. la auditoria se clasifica en dos por el lugar de origen y por el área de aplicación, por el lugar témenos interna y externa y por el origen son financiera, administrativa, e informática.

La auditoria financiera es aquella que existe en el ámbito comercial mientras que la administrativa se encuentra en el área contable , la auditoria informatica es la revisión a los sistemas computacionales software e información.

La auditoria informatica sirve para indicarnos el estado real de una empresa por su tecnologia en informatica, las áreas a auditar serán; control interno, ciclo de desarrolo e implantacion de sistemas de información entre otros.

La dirección y niveles ejecutivos

Seguimientos de la función de informatica por la dirección, comunicacion e integracion y apoyo a toma de decisiones.

Puedo concluir diciendo que el éxito o fracaso de una entidad depende principalmente de la eficiencia de sus sistemas de información.

Estructura de un programa de auditoría orientado a la informática o uso tecnológico

La Auditoría Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes, valor y barreras, que obstaculizan flujos de información eficientes. En si la auditoría informática tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajena, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Los mecanismos de control pueden ser en el área de Informática son:

  • Directivos
  • Preventivos
  • Detección
  • Correctivos
  • Recuperación

Tipos de auditoria de informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

  • Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.
  • Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
  • Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujos gramas.
  • Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
  • Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
  • Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
  • Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
  • Auditoría de las comunicaciones. Se refiere a la auditoría de los procesos de autenticación en los sistemas de comunicación.
  • Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

  • Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
  • Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Áreas a auditar en informática

Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:

  • A toda la entidad
  • A una función
  • A una subfuncion

Se pueden aplicar los siguientes tipos de auditoría:

  • Auditoría al ciclo de vida del desarrollo de un sistema
  • Auditoría a un sistema en operación
  • Auditoría a controles generales (gestión)
  • Auditoría a la administración de la función informática
  • Auditoría a microcomputadoras aisladas
  • Auditoría a redes

IMPORTANCIA DE LA AUDITORÍA EN INFORMÁTICA.

Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo por lo que respecta a la tecnología de informática, es decir, software, hardware, Sistemas de información, investigación tecnológica, redes locales, bases de datos, ingeniería de software, telecomunicaciones, etc. esta representa una Herramienta estratégica que representa rentabilidad y ventaja competitiva  frente a sus similares en el mercado, en el ámbito de los sistemas de información y tecnología un alto porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que almacena, procesa y distribuye.

El propósito de la revisión de la auditoría en informática, es el verificar que los recursos, es decir, información, energía, dinero, equipo, personal, programas de cómputo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.

Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente en informática, se ha mostrado interés por llegar por llegar a la meta sin importar el costo y los problemas de productividad.

Las principales herramientas de las que dispone un auditor informático son:

  • Observación
  • Realización de cuestionarios
  • Entrevistas a auditados y no auditados
  • Muestreo estadístico
  • Flujo gramas
  • Listas de chequeo
  • Mapas conceptuales

El programa de auditoría es un enunciado, lógicamente ordenado y clasificado, de los procedimientos de auditoría que han de emplearse, la extensión que se les ha de dar y la oportunidad en que se han de aplicar. Dado que los programas de auditoría se preparan anticipadamente en la etapa de planeación, estos pueden ser modificados en la medida en que se ejecute el trabajo, teniendo en cuenta los hechos concretos que se vayan observando.

El programa de auditoría

1. El auditor deberá desarrollar y documentar un programa de auditoría que exponga la naturaleza, oportunidad y alcance de los procedimientos de auditoría planeados que se requieren para implementar el plan de auditoría global. El programa de auditoría sirve como un conjunto de instrucciones a los auxiliares involucrados en la auditoría y como medio para el control y registro de la ejecución apropiada del trabajo. El programa de auditoría puede también contener los objetivos de la auditoría para cada área y un presupuesto de tiempos en el que son presupuestadas las horas para las diversas áreas o procedimientos de auditoría. [NIA, 1998]

Se acostumbra a elaborar un programa por cada sección a examinar, el cual debe incluir por lo menos el programa de trabajo en un sentido estricto y el programa adscrito al personal del trabajo a realizar. Cada programa de Auditoría permite el desarrollo del plan de trabajo general, pero a un nivel más analítico, aplicado a un área en particular.

El programa de auditoría contiene prácticamente la misma información que el plan de trabajo, pero difiere de este en que se le han adicionado columnas para el tiempo estimado, el tiempo real, la referencia al papel de trabajo donde quedó plasmada la ejecución del programa, la rúbrica de quien realizó cada paso y la fecha del mismo.

Generalmente el programa de auditoría comprenderá una sección por cada área de los estados financieros que se examinan. Cada sección del programa de auditoría debe comprender:

  • Una introducción que describa la naturaleza de las cuentas examinadas y resuma los procedimientos de contabilidad de la compañía.
  • Una descripción de los objetivos de auditoría que se persiguen en la revisión de la sección.
  • Una relación de los pasos de auditoría que se consideran necesarios para alcanzar los objetivos señalados anteriormente.

Esta sección debe tener columnas para indicar la persona que efectúa el trabajo, el tiempo empleado y referencias cruzadas a las planillas o cédulas donde se realiza el trabajo.

OBJETIVOS DE LA AUDITORIA INFORMÁTICA

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

Alcance de la Auditoría Informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

  • Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? • ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*?
  • La definición de los alcances de la auditoria compromete el éxito de la misma.
    Características de la Auditoría Informática
  • La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.
  • Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.
  • Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.
  • Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial.

De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Tipos y clases de Auditorías

El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al “exterior”. Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección.

  • Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro Áreas Generales de la Auditoría Informática más importantes.
  • Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes Auditoria Informática de Explotación. La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.
  • La explotación informática se puede considerar como una fabrica con ciertas peculiaridades que la distinguen de las reales. Para realizar la Explotación Informática se dispone de una materia prima, los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad.
    Auditoría Informática de Desarrollo de Proyectos o Aplicaciones .
    Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales:
  • Revisión de las metodologías utilizadas: Se analizaran éstas, de modo que se asegure la modularidad de las posibles futuras ampliaciones de la Aplicación y el fácil mantenimiento de las mismas

Control Interno de las Aplicaciones: Se deberán revisar las mismas fases que presuntamente han debido seguir el área correspondiente de Desarrollo:

  • Estudio de Vialidad de la Aplicación
  • Definición Lógica de la Aplicación.
  • Desarrollo Técnico de la Aplicación.
  • Diseño de Programas.
  • Métodos de Pruebas.
  • Documentación.
  • Equipo de Programación

Satisfacción de usuarios: Una Aplicación técnicamente eficiente y bien desarrollada, deberá considerarse fracasada si no sirve a los intereses del usuario que la solicitó. La aquiescencia del usuario proporciona grandes ventajas posteriores, ya que evitará reprogramaciones y disminuirá el mantenimiento de la Aplicación.

  • Control de Procesos y Ejecuciones de Programas Críticos:

Se ha de comprobar la correspondencia biunívoca y exclusiva entre el programa codificado y su compilación. Si los programas fuente y los programa módulo no coincidieran podría provocar graves y altos costos de mantenimiento, hasta fraudes, pasando por acciones de sabotaje, espionaje industrial informativo, etc.

Auditoría Informática de Sistemas
Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.

  • Sistemas Operativos: Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones si las hubiera.
  • Software Básico:

Es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. En cuanto al Software desarrollado por el personal informático de la empresa, el auditor debe verificar que éste no agreda ni condiciona al Sistema.

Software de Teleproceso (Tiempo Real) No se incluye en Software Básico por su especialidad e importancia.

Tunning: Es el conjunto de técnicas de observación y de medidas encaminadas a la evaluación del comportamiento de los Subsistemas y del Sistema en su conjunto.

Administración de Base de Datos: El diseño de las Bases de Datos, sean relaciones o jerárquicas, se ha convertido en una actividad muy compleja y sofisticada. La administración tendría que estar a cargo de Explotación. El auditor de Base de Datos debería asegurarse que Explotación conoce suficientemente las que son accedidas por los Procedimientos que ella ejecuta. Analizará los Sistemas de salvaguarda existentes, que competen igualmente a Explotación. Revisará finalmente la integridad y consistencia de los datos, así como la ausencia de redundancias entre ellos.

Auditoría Informática de Comunicaciones y Redes:

Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización

Herramientas y Técnicas para la Auditoría Informática

• Cuestionarios

Conjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Características:

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Entrevistas

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente

• Checklist

El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

• Trazas y/o Huellas

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Las trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.

CONCLUSIÓN

Las auditorias informáticas se conforman obteniendo información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes medios. El trabajo del auditor consiste en lograr obtener toda la información necesaria para emitir un juicio global objetivo, siempre amparando las evidencias comprobatorias.

El auditor debe estar capacitado para comprender los mecanismos que se desarrollan en un procesamiento electrónico. También debe estar preparado para enfrentar sistemas computarizados en los cuales se encuentra la información necesaria para auditar.

Toda empresa, pública o privada, que posean Sistemas de Información medianamente complejos, deben de someterse a un control estricto de evaluación de eficacia y eficiencia. Hoy en día, la mayoría de las empresas tienen toda su información estructurada en Sistemas Informáticos, de aquí, la vital importancia que los sistemas de información funcionen correctamente.. El éxito de una empresa depende de la eficiencia de sus sistemas de información. Una empresa puede contar con personal altamente capacitado, pero si tiene un sistema informático propenso a errores, lento, frágil e inestable; la empresa nunca saldrá a adelante.

La auditoria de Sistemas debe hacerse por profesionales expertos, una auditoria mal hecha puede acarrear consecuencias drásticas para la empresa auditada, principalmente económicas.

En conclusión la auditoria informática es la indicada para evaluar de manera profunda, una determinada organización a través de su sistema de información automatizado, de aquí su importancia y relevancia.

src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js">