INDICE BLOQUE I: INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA... 4

Transcripción

1 Nombre: Grupo:

2 INDICE BLOQUE I: INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA EC01: LA INFORMACIÓN DE LAS COMPUTADORAS... 5 CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA... 8 Introducción Concepto de auditoría Tipos de auditoría Auditoría interna: Auditoría informática de sistemas: Auditoría a los planes de desarrollo empresarial: Auditoría administrativa: Auditoría financiera: Auditoría de gestión: Auditoría de gestión de ambiental: Auditoría de gestión y resultados: Auditoría integral: Auditoría en informática Objetivos de la auditoría informática EC02: CONCEPTO DE AUDITORÍA EC03: AUDITORÍA INFORMÁTICA EC04: NORMAS Y PROCEDIMIENTO DE AUDITORÍA CONTROL INTERNO EC05: CONTROL INTERNO EL AUDITOR Introducción EC06: LOS AUDITORES EC07: CÓDIGO DE ÉTICA DE LOS AUDITORES EC08: ACTIVIDAD INTEGRADORA DEL BLOQUE BLOQUE II: PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA FASES DE LA AUDITORIA INFORMÁTICA Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles... 39

3 Fase V: Evaluación de Controles Fase VI: Informe de Auditoria Fase VII: Seguimiento de Recomendaciones EC09: FASES DE LA AUDITORIA INFORMÁTICA... ERROR! MARCADOR NO DEFINIDO. EC10: PLANEACIÓN DE LA AUDITORÍA EC11: REVISIÓN PRELIMINAR EC12: REVISIÓN DETALLADA EC13: AUDITORÍA FÍSICA BLOQUE III: AUDITORÍA INFORMÁTICA POR ÁREAS EC14: ORGANIGRAMAS DE LA AUDITORÍA... ERROR! MARCADOR NO DEFINIDO. EC15: EVALUACIÓN DE LOS RECURSOS HUMANOS... ERROR! MARCADOR NO DEFINIDO. EC16: AUDITORÍA FÍSICA... ERROR! MARCADOR NO DEFINIDO. EC17: EVALUACIÓN DE AUDITORIA FÍSICA... ERROR! MARCADOR NO DEFINIDO. EC18: AUDITORIA DE APLICACIONES... ERROR! MARCADOR NO DEFINIDO. EC19: AUDITORIA DE REDES Y COMUNICACIÓN... ERROR! MARCADOR NO DEFINIDO. EC20: AUDITORIA A LA SEGURIDAD INFORMÁTICA... ERROR! MARCADOR NO DEFINIDO. INFORME FINAL DE AUDITORIA El informe final EC21: EL INFORME FINAL ANEXOS... 59

4 Bloque I: Introducción a la auditoría informática. El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informática, así como sus conceptos básicos y principios éticos para identificar su utilidad en las organizaciones. M.C. Gabriel Huesca Aguilar Página 4

5 EC01: La información de las computadoras Fecha: / /201 Nombre: Grupo: Instrucciones: Lee con atención la siguiente situación didáctica, analiza el problema y elabora una reflexión acerca de qué hacer para evitarlo, en la que expreses tus opiniones y experiencias para enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social. En el hospital El paciente impaciente han desaparecido dos computadoras una en el servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado algunos problemas que conllevan a subsanar dicha perdida. 1. Qué debe hacer el encargado para sustituir las computadoras? 2. Cuánto tiempo crees que es necesario para tener una computadora que haga el mismo trabajo que hacia la que robaron? 3. Qué harías tú para arreglar el problema? 4. Qué debes saber para conectarlo en la red y con los archivos necesarios para trabajar correctamente? M.C. Gabriel Huesca Aguilar Página 5

6 EC01: Ideas sobre Auditoria Informática Nombre: Fecha: / /2011 Grupo: Instrucciones: Participado en la lluvia de ideas sobre los conceptos básico acerca de la Auditoria Informática completa el siguiente cuadro: Para crear una definición que te permita entender de lo que estás hablando es necesario: 1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc) 2. Actividad que realiza el objeto de estudio (única para el objeto). 3. Contexto en el que lo realiza 4. Referentes del objeto (ejemplos, comparaciones etc, si es posible). Forma concreta AUDITORIA Actividad que realiza Contexto Referentes Forma concreta AUDITORIA INFORMATICA Actividad que realiza Contexto Referentes M.C. Gabriel Huesca Aguilar Página 6

7 Forma concreta AUDITOR Actividad que realiza Contexto Referentes Forma concreta NORMA Actividad que realiza Contexto Referentes Forma concreta ESTANDAR Actividad que realiza Contexto Referentes M.C. Gabriel Huesca Aguilar Página 7

8 CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA 1 Introducción El concepto de auditoría informática ha estado siempre ligado al de auditoría en general y al de auditoría interna en particular, y éste ha estado unido desde tiempos históricos al de contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Yeras of progress). Hago este referencia histórica a fin de explicar la evolución de la corta pero intensa historia de la auditoría informática, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad. Si analizamos el nacimiento y la existencia de la auditoría informática desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve. Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las organizaciones actuales, los sistemas de información y la arquitectura que los soporta desempeñan un importante papel como uno de los soportes básicos para la gestión y el control del negocio, siendo así unos de los requerimientos básicos de cualquier organización. Esto da lugar a los sistemas de información de una organización. La auditoria se desarrolla con base a normas, procedimientos y técnicas definidas formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se expondrán algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en la bibliografía, así como la participación directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad. Por lo anterior, en este capítulo se incluyen lecturas que analizan en diferentes tipos de auditoría, así como lo expuesto por Mario Piattini y Emilio del Peso en su obra Auditoría Informática: un enfoque practico en lo relativo a la auditoría informática y su alcance. 1.1 Concepto de auditoría Con frecuencia la palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoría" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoría. El concepto de auditoría es más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del 1 M.C. Gabriel Huesca Aguilar Página 8

9 señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletín "C" de Normas de Auditoría del Instituto Mexicano de Contadores nos dice: "La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos. Así como existen normas y procedimientos específicos para la realización de auditorías contables, debe haber también normas y procedimientos para la realización de auditorías en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre guiándose por el concepto de que la auditoría debe ser más amplia que la simple detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. A continuación se presentan diversos conceptos de auditoría. Es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos y definidos formalmente, con objeto de que cada individuo o función de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas. [Hernández, 1997]. Examen metódico de una situación relativa a un producto, proceso u organización en materia de calidad, realizada en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado. Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión de los mismos y la eficiencia de su implantación. Es la investigación, consulta, revisión, verificación, comprobación y evidencia. Aplicada la empresa es el examen del estado financiero de una empresa realizada por personal cualificado e independiente, de acuerdo con normas de contabilidad, con el fin de esperar una opinión con que tales estados contables muestran lo acontecido en el negocio. Requisito fundamental es la independencia. Se define como la acumulación y la evaluación de las evidencias sobre la información cuantificable de una entidad económica para determinar y opinar sobre el grado de correspondencia que hay entre la información y el criterio establecido. [Zamarripa, 2002]. M.C. Gabriel Huesca Aguilar Página 9

10 Es un proceso sistemático para obtener y evaluar evidencias de una manera objetiva respecto a las afirmaciones correspondientes a actos económicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados.[kell-ziegler]. En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema de computo con la finalidad de evaluar la situación del mismo. Los auditores deben tener la capacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y la información que se maneja. [González]. Representa el examen de los estados financieros de una entidad, con el objeto de que el contador público independiente emita una opinión profesional si dichos estados representan la situación financiera, los resultados de las operaciones, las variaciones en el capital contable y los cambios en la situación financiera de una empresa, de acuerdo a los principios de la contabilidad generalmente aceptados. 1.2 Tipos de auditoría La auditoría, como cualquier disciplina toma características diferentes de acuerdo al campo de acción en que se desenvuelven. Sin embargo, el objetivo final debe responder a la definición general de auditoría. De acuerdo a las personas que la realizan se pueden reconocer dos tipos de auditoría. Fuente: ( Marin Calv Hugo Armando. Auditoría interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e Informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático. M.C. Gabriel Huesca Aguilar Página 10

11 En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo. en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. De acuerdo al objetivo de la auditoría, tenemos: Auditoría de cumplimiento: Es la comprobación o examen de operaciones financieras, administrativas, económicas y de otra índoie de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Esta auditoría se practica mediante la revisión de documentos que soportan legal, técnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno están de acuerdo con las normas que le son aplicables y si dichos procedimientos están operando de manera efectiva y son adecuados para et logro de los objetivos de la entidad. Auditoría operativa: Es el examen posterior, profesional, objetivo y sistemático de la totalidad o parte de las operaciones o actividades de una entidad, proyecto, programa, inversión o contrato en particular, sus unidades integrantes u operacionales específicas. Su propósito es determinar los grados de efectividad, economía y eficiencia alcanzados por la organización y formular recomendaciones para mejorar las operaciones evaluadas. Relacionada básicamente con los objetivos de eficacia, eficiencia y economía. M.C. Gabriel Huesca Aguilar Página 11

12 Auditoría informática de sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones. Líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas. Su finalidad es el examen y análisis de los procedimientos administrativos y de los sistemas de control interno de la compañía auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos débiles que hayan podido detectar, así como las recomendaciones sobre los cambios convenientes a introducir, en su opinión, en la organización de la compañía. Normalmente, las empresas funcionan con políticas generales, pero hay procedimientos y métodos, que son términos más operativos. Los procedimientos son también sistemas; si están bien hechos, la empresa funcionará mejor. La auditoría de sistemas analiza todos los procedimientos y métodos de la empresa con la intención de mejorar su eficacia. Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básicos adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. Software Básico es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al software desarrollado por el personal informático de la empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el esfuerzo en términos de costes, por si hubiera alternativas más económicas. Auditoría a los planes de desarrollo empresarial: La acción de planear 'las actividades permite al individuo fijarse metas, delinear los cursos de las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las políticas que deban normar las operaciones y reglamentándolas en sistemas, métodos y procedimiento, que allanen el camino para el buen logro de esos objetivos, colocándolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayoría de los casos son desagradables. La auditoría, al igual que cualquier otra actividad, requiere de una buena planeación, que le permita desarrollarse eficientemente y oportunamente. M.C. Gabriel Huesca Aguilar Página 12

13 Auditoría administrativa: Es el revisar y evaluar Si los métodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con políticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operación de los reportes y asegurar que la organización los este cumpliendo y respetando. Es el examen metódico y ordenado de los objetivos de una empresa de su estructura orgánica y de la utilización del elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de que proporciona a los directivos de una organización un panorama sobre la forma como está siendo administrada por los diferentes niveles jerárquicos y operativos, señalando aciertos y desviaciones de aquellas áreas cuyos problemas administrativos detectados exigen una mayor o pronta atención. Auditoría financiera: Es un proceso cuyo resultado final es la emisión de un informe, en el que el auditor da a conocer su opinión sobre la situación financiera de la empresa, este proceso solo es posible IIevarlo a cabo a través de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. La Auditoría Financiera es la más conocida de todas, pues es la requerida por las empresas y es la que ha presentado el máximo desarrollo. Auditoría de gestión: La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es si se quiere de igualo mayor importancia que esta última, pues sus efectos tienen consecuencias que mejoran en forma apreciable el desempeño de la organización. La denominación auditoría de gestión funde en una, dos clasificaciones que tradicionalmente se tenían: auditoría administrativa y auditoría operacional. Auditoría de gestión de ambiental: La creciente necesidad de controlar el impacto ambiental que generan las actividades humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la sensibilización respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurar el cumplimiento legislativo han dado paso a sistemas de gestión medioambiental que permiten estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momento todos los factores de contaminación que generan las actividades de la empresa, y por este motivo será necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el posible impacto que se derive de los vectores ambientales. Establecer una forma sistemática de realizar esta evaluación es una herramienta básica para que las conclusiones de las mismas aporten mejoras al sistema de gestión establecido. La aplicación permanente del concepto mejora continua es un referente que en el campo medioambiental tiene una incidencia práctica constante, y por este motivo la revisión de todos los aspectos relacionados con la minimización del impacto ambiental tiene que ser una acción realizadas sin interrupción. M.C. Gabriel Huesca Aguilar Página 13

14 Auditoría de gestión y resultados: Tiene por objeto el examen de la gestión de una empresa con el propósito de evaluar la eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros y técnicos utilizados, la organización y coordinación de dichos recursos y los controles establecidos sobre dicha gestión. Es una herramienta de apoyo efectivo a la gestión empresarial, donde se puede conocer las variables y los distintos tipos de control que se deben producir en la empresa y que estén en condiciones de reconocer y valorar su Importancia como elemento que repercute en la competitividad de la misma. Se tiene en cuenta la descripción y análisis del control estratégico, el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecución y un análisis del control como factor clave de competitividad. La auditoría integral se ha desarrollado en los países industrializados, especialmente en el Canadá, teniendo una gran aplicación en el ámbito del control gubernamental. En sí la auditoría integral no es más que la integración de la auditoría financiera con la auditoría de gestión y la auditoría de cumplimiento. La auditoría de cumplimiento es la que hasta la vigencia de la anterior Constitución, venia ejecutando la Contraloría General de la República, y que consistía en el simple control numérico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Técnico de la Contaduría Pública en su pronunciamiento No. 7 define así la Auditoría de Cumplimiento: La auditoría de cumplimiento consiste en la comprobación o examen de las operaciones financieras, administrativas, económicas y de otra índole de una entidad para establecer que se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son aplicables. La integración de estos tres tipos de auditoría implica que examen se debe realizar sobre tres grandes sistemas de información de la organización: sistema de información financiera, sistema de información de gestión y sistema de información legal. El concepto de auditoría integral realmente no es nuevo en nuestro país y por el contrario es si se quiere el más antiguo, pues si se considera la figura de la institución de la Revisarla Fiscal, ésta cumple con los requerimientos de una auditoría integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta última. Por lo dicho anteriormente se podría construir el siguiente concepto de auditoría integral: Auditoría integral: Es el examen crítico, sistemático y detallado de los sistemas de información financiero, de gestión y legal de una organización, realizado con independencia y utilizando técnicas especificas, con el propósito de emitir un informe profesional sobre la razonabilidad de la información financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones económicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma. M.C. Gabriel Huesca Aguilar Página 14

15 EC02: Concepto de Auditoría Fecha: / /201 Nombre: Grupo: Instrucciones: Después de haber leído con atención los conceptos de auditoría elabora un es esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la información presentada. M.C. Gabriel Huesca Aguilar Página 15

16 1.3 Auditoría en informática Auditoría en informática Fuente: Piattini, Mario G y del peso, Emilio Auditoria Informática: un enfoque practico computec RAMA. Madrid, España. La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría en informática es: A. Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento de las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se lleve a cabo de una manera oportuna y eficiente. B. Las actividades ejecutadas por los profesionales del área de Informática y de auditoría encaminada a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta direcci6n, etc.). Dicha evaluaci6n deberá ser la pauta para la entrega del informe de auditoría en informática, el cual ha de contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y la optimización permanente de la tecnología de informática en el negocio. C. El conjunto de acciones" que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que todos los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que pasa por el área se manejan con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc. D. Proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con un criterio de integración y desempeños de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización.(hernández, 1997). La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoria informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoria: Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por ordenador. M.C. Gabriel Huesca Aguilar Página 16

17 El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informático: Participar en las revisiones durante y después del diseño, realización, implantación y explotación de las aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. Auditoría informática: Es un examen metódico del servicio informático, o de un sistema informático en particular, realizado de- una forma puntual y objetiva, a instancias de 1a dirección y con la intención de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informático. En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual" y "objetivo": La auditoría informática es un examen, pues se verifica o comprueba el sistema informático actualmente en uso. Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo petición de la dirección. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informática para buscar la objetividad requerida. El servicio de auditoría cubre una serie de actividades (controles, verificaciones, pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de acción. La elaboración de este plan de acción es una de las características que verdaderamente diferencia la auditoría informática del resto de tipos de auditorías. Objetivos de la auditoría informática. La definición de los objetivos de la auditoría informática es un tema difícil y complejo. No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informático. Para precisar esta situación sería necesario: Definir el campo de actuación del auditor informático. Definir los objetivos de la auditoría informática. Para el campo de actuación del auditor, seria preciso reflexionar sobre los siguientes aspectos: Organización en la que se desenvolverá el auditor. Estructura. Tipo de actividad de la empresa. M.C. Gabriel Huesca Aguilar Página 17

18 Departamento de informática objeto de la auditoría. Grado de sofisticación. Tamaño. Recursos del departamento Relaciones con la auditoría financiera. las propias limitaciones técnicas del auditor. De un modo general los objetivos de la auditoría informática podrían ser: Elaborar un informe sobre los aspectos que afecten al alcance de una auditoría y señalar riesgos de errores o fraudes de un sistema informático. Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de los datos y a las informaciones tratadas. Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad física y lógica. Evaluar la dependencia de una organización respecto a sus sistemas informáticos, revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan asegurar la continuidad de las actividades normales. Emisión de informes con la evaluación independiente de los sistemas informáticos. sintetizando riesgos, deficiencias, sugerencias y recomendaciones. Análisis de la calidad y eficacia del servicio de atención a los usuarios. Participación y seguimiento de proyectos de investigación. Te quedaron dudas?, revisa estas fuentes de información: M.C. Gabriel Huesca Aguilar Página 18

19 EC03: Auditoría Informática Fecha: / /201 Nombre: Grupo: Instrucciones: Después de haber leído con atención los conceptos de auditoría informática elabora un resumen que contenga las características de la auditoria informática, y una reflexión acerca de la importancia de la misma en las organizaciones. M.C. Gabriel Huesca Aguilar Página 19

20 EC04: Normas y procedimiento de auditoría Fecha: / /201 Nombre: Grupo: Instrucciones: Después de leer y analizar la información contenida en el anexo 01, contesta las siguientes preguntas: 1. Menciona el origen de las normas y procedimientos de auditoría. 2. Menciona los objetivos de las normas y procedimientos de auditoría. 3. Qué requisitos de calidad deben reunir los miembros de la auditoria? 4. Qué son las normas de auditoría?, menciona su clasificación 5. Qué son los procedimientos de auditoría y para qué sirven? 6. Qué es el monitoreo? Y describe los 4 tipos brevemente. 7. Qué es el ISO y para qué sirve? 8. Qué es y para qué sirve el ISO 27000? 9. Elige uno de los siguientes estándares internacionales ISO 27001, ISO 27002, ISO e ISO y desarrolla: A. Origen y actualizaciones B. Características de la norma C. Campo de aplicación D. Referencias 10. Explica con tus propias palabras los beneficios de utilizar normas internacionales. 11. Explica brevemente el proceso de adaptación. 12. Escribe una reflexión acerca del uso de las normas y las ventajas de utilizarlas. Evalúa: M.C. Gabriel Huesca Aguilar M.C. Gabriel Huesca Aguilar Página 20

21 Control interno 2 Básicamente todos los cambios que se realizan en una organización someten a una gran tensión a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana; para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se empieza a trabajar internamente. La mayoría de las organizaciones han acometido varias iniciativas en tal sentido tales como: La reestructuración de los procesos empresariales. La gestión de la calidad total. El redimensionamiento por reducción y/o por aumento de tamaño hasta el nivel correcto. La contratación externa. La descentralización. CONTROL INTERNO INFORMATICO El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados. La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos. SIMILITUDES DIFERENCIAS CONTROL INFORMATICO INTERNO AUDITOR INFORMATICO PERSONAL INTERNO Conocimientos especializados en tecnologías de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección informática y la dirección general para los sistemas de información. Análisis de los controles en el día a día Análisis de un momento informático determinado 2 M.C. Gabriel Huesca Aguilar Página 21

22 Informa a la dirección del departamento de informática sólo personal interno el enlace de sus funciones es únicamente sobre el departamento de informática Informa a la dirección general de la organización Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de información de la organización DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: Entorno de red:esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red. Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc. Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes. Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados. M.C. Gabriel Huesca Aguilar Página 22

23 EC05: Control interno Fecha: / /201 Nombre: Grupo: Instrucciones: Escucha con atención las indicaciones de tu maestro, realiza las intervenciones que te ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que contenga la información del equipo de trabajo para exponer acerca de control interno, de acuerdo al orden establecido por el maestro. 1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividades que cada uno deberá realizar en la muestra. Equipo: Integrantes Jefe: Actividades: Nombre del equipo (opcional) M.C. Gabriel Huesca Aguilar Página 23

24 Tipos de control interno La función de auditoría informática se aplica en diferentes entornos o áreas, cada una de las cuales tiene sus propios objetivos y estándares de aplicación, estas áreas son: Recursos informáticos Función informática Seguridad Informática Desarrollo de Aplicaciones Función operacional Redes y comunicación Bases de Datos Por consiguiente tenemos lo siguientes tipos de controles internos Control interno de la función informática: Control interno del desarrollo de sistemas: Control interno de la operación Control interno de la seguridad informática Control interno de los recursos informáticos Control interno de las redes y comunicación. M.C. Gabriel Huesca Aguilar Página 24

25 Información para otorgar calificación del control interno Datos de Identificación: Alumno Grupo Evidencia Asignatura Bloque Evalúa Ev02: Control interno Auditoria Informática I I: Introducción a la auditoria informática M.C. Gabriel Huesca Aguilar Criterios Escala de 0 a 10 Presentación Contenido Tiempo de entrega Presentación en Microsoft Power point 2007 en adelante Presenta márgenes adecuados, pie de página, orientación de la hoja, formato a fuentes, imágenes, gráficos, ortografía, formatos para el control. La explicación es clara, sencilla y responde a las preguntas de sus compañeros. La información tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compañeros de grupo opinan que es buena. El día que se pide Evaluación: Observaciones y comentarios: M.C. Gabriel Huesca Aguilar Página 25

26 El auditor 3 Introducción El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos necesarios para evaluar la eficacia de una empresa a la vez de poseer Una ética profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un mejor servicio en el campo en que se desempeña e integridad de la información de los métodos empleados para identificar, medir, clasificar y reportar dicha información. El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las políticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las operaciones e informes y deben determinar si la organización cumple con ellos. Así mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas están cumpliendo con los requerimientos apropiados. También deben revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se planearon. El Auditor Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para evaluar la eficacia de una empresa. El auditor debe reunir, para el buen desempeño de su profesión características como: sólida cultura general, conocimiento técnico, actualización permanente, capacidad para trabajar en equipo multidisciplinario, creatividad, independencia, mentalidad y visión integradora, objetividad, responsabilidad, entre otras. Además de esto, este profesional debe tener una formación integral y progresiva. Ética Profesional La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer. A tal fin, existen cinco (5) conceptos generales, llamados también Principios de Ética las cuales son: Independencia, integridad y objetividad. Normas generales y técnicas. Responsabilidades con los clientes. Responsabilidades con los colegas. Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contaduría pública, ser independiente de aquellos a quienes sirve. Los conceptos de la ética profesional, sección ET define la independencia como: La capacidad para actuar con integridad y objetividad. Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisión del auditor. El auditor debe expresar su opinión imparcialmente, en atención a hechos reales comprobables, según su propio criterio y con perfecta autonomía y, para tal fin, estar desligado a todo vínculo con los dueños, administradores e intereses de la empresa u organización que audite. Su independencia mental y su imparcialidad de criterio y de opinión deben serlo, no solamente de hecho, sino en cuanto a las apariencias también, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades. 3 M.C. Gabriel Huesca Aguilar Página 26

27 Normas Generales y Técnicas: El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente por mejorar su competencia y la calidad de sus servicios. Las normas generales y técnicas son reglas de conducta que exigen la observancia de las normas relacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestión técnica contable o de auditoría, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles. Responsabilidades con los clientes: El contador público debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con interés profesional por los intereses de ellos, consecuente con sus responsabilidades para con el público y todo esto lo pondrá de manifiesto a través de independencia, integridad y objetividad. Una responsabilidad fundamental del contador público es la que se refiere a la confidencialidad y al conflicto de intereses. La regla 301 (sección ET ) dice que un miembro...no revelará información confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el cliente dé su consentimiento. Necesidad de confidencialidad: Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no el cliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esa decisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria para ser sumamente franco al proporcionar información. Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es decir, el auditor no debe revelar la información contenida en la comunicación sin el permiso del cliente. Normalmente, sin embargo, esa información no es privilegiada. La información es privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella mediante un citatorio u orden de comparecencia. Información Confidencial: Los auditores y su personal tienen iguales responsabilidades que la administración en cuanto al manejo de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienes pudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulaciones generales del código de ética profesional. Conflicto de intereses: El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con más de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre información que tenga valor competitivo es sumamente bajo. Responsabilidades con los colegas: Aunque no hay actualmente reglas de conducta específicas que gobiernan la responsabilidad de un contador público con sus colegas, los conceptos de ética profesional establecen el principio fundamental de cooperación y buenas relaciones entre los miembros de la profesión. La sección ET expresa que un contador debe tratar con sus colegas en forma de que no disminuya su M.C. Gabriel Huesca Aguilar Página 27