auditoria informatica
TRANSCRIPT
![Page 1: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/1.jpg)
Auditoría Informática
Curso: 2do Economía “B”
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un sistema de información salvaguarda el activo empresarial, mantiene la
integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza
eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. También
permiten detectar de forma sistemática el uso de los recursos y los flujos de información
dentro de una organización y determinar qué información es critica para el cumplimiento de
su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que
obstaculizan flujos de información eficientes.
Auditar consiste principalmente en estudiar los mecanismos de control que están
implantados en una empresa u organización, determinando si los mismos son adecuados y
cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se
deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser
directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Los objetivos de la auditoría Informática son:
* El control de la función informática
* El análisis de la eficiencia de los Sistemas Informáticos
* La verificación del cumplimiento de la Normativa en este ámbito
* La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
* Eficiencia
* Eficacia
* Rentabilidad
* Seguridad
Generalmente se puede desarrollar en alguna o combinación de las siguientes areas:
* Gobierno corporativo
![Page 2: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/2.jpg)
* Administración del Ciclo de vida de los sistemas
* Servicios de Entrega y Soporte
* Protección y Seguridad
* Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la
auditoría informática ha promovido la creación y desarrollo de mejores prácticas como
COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems
Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que
el proceso de selección consta de un examen inicial bastante extenso y la necesidad de
mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
* Auditoría de la gestión: Referido a la contratación de bienes y servicios,
documentación de los programas, etc.
* Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las
medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de
Protección de Datos.
* Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis
de los flujo gramas.
* Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y
calidad de los datos.
* Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad,
integridad, confidencialidad, autenticación y no repudio.
* Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando
ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También
está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y
protecciones del entorno.
![Page 3: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/3.jpg)
* Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los
sistemas de información.
* Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticación en los sistemas de comunicación.
* Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Perfil del auditor informático
El perfil de un auditor informático es el que corresponde a un Ingeniero e Ingeniero
Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la
especialidad de Gestión. O también a un profesional al que se le presupone cierta formación
técnica en informática y experiencia en el sector, independencia y objetividad, madurez,
capacidad de síntesis, análisis y seguridad en sí mismo.
En España existe un vacío legal por la ausencia de normativas que defina claramente:
* Quien puede realizar auditoría informática.
* Como se debe realizar una auditoría informática.
* En que casos es necesaria una auditoría informática.
Existen diversas materias que están reguladas en materia informática:
* Ley de auditoría de cuentas.
* Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico.
* Ley Orgánica de Protección de Datos.
Ninguna de éstas normas definen quien puede ser auditor informático, aunque debe de
disponer de conocimientos tanto en la normativa aplicable, como en informática, como en la
técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados
por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados
en derecho especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática
![Page 4: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/4.jpg)
En la realización de una auditoría informática el auditor puede realizar las siguientes
pruebas:
* Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se
suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen
analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez
de la información.
* Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante
el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que
son aplicables efectiva y uniformemente.
Las principales herramientas de las que dispone un auditor informático son:
* Observación
* Realización de cuestionarios
* Entrevistas a auditados y no auditados
* Muestreo estadístico
* Flujogramas
* Listas de chequeo
* Mapas conceptuales
El concepto de auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia
y eficiencia de una sección, un organismo, una entidad, etc. La Informática hoy, está dentro
de la gestión integral de la empresa, y por eso, las normas y estándares propiamente
informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado el “management” o
gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa,
ayuda a la toma de decisiones, desde el momento en que es una herramienta adecuada de
colaboración. En este sentido y debido a su importancia en el funcionamiento de una
empresa, existe la Auditoria Informática.
Los principales objetivos que constituyen a la auditoria Informática son el control de la
función informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta,
la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la
revisión de la eficaz gestión de los recursos materiales y humanos informáticos.
![Page 5: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/5.jpg)
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la
empresa pone en juego para disponer de un eficiente y eficaz sistema de Información.
Claro está, que para la realización de una auditoria informática eficaz, se debe entender a
la empresa en su más amplio sentido, ya que una Universidad, un Ministro o un Hospital son
tan empresas como una sociedad anónima o empresa pública. Todos utilizan la informática
para gestionar sus “negocios” de forma rápida y eficiente con el fin de obtener beneficios
económicos y de coste.
Los Sistemas Informáticos están sometidos al control correspondientes. El auditor
informático ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz herramienta de colaboración en el
sistema de información.
FORMAS Y TACTICAS DE PROMOVER LA AUDITORIA INFORMATICA
Como resultado de un análisis previo a la auditoría informática considerando los costos y
efectos, en el proceso de promover la auditoria informática, dividimos al personal de la
auditoria y los sistemas en dos partes, la primera al personal, tratamos de brindarles el
mejor entrenamiento en el área de la informática, enseñarles a usar las computadoras para
auditar, y a aquellas personas que son profesionales en el aspecto de la informática
brindarles un amplio ambiente para construir las redes y sistemas de información para la
ejecución del trabajo de la auditoria.
1. Usando la Computadora para Auditar
Usando la computadora para auditar se necesita que el personal este capacitado en el uso
de la computadora tanto en la parte del disco duro como en la parte de la información y
programas. Para esto el personal tiene que tener los conocimientos de sistemas como ser
MS-WINDOWS 98, tanto su manejo exterior como su uso interior.
Para lograr que cada personal de la auditoria este capacitado con dichos conocimientos,
tratamos de brindar el mejor ambiente, en la actualidad NAO cuenta con sistemas de 586,
cada personal de la Auditoria cuenta con una computadora conectada a la red y al internet
para poder buscar las informaciones necesarias, al año se invierte una cantidad en el
mejoramiento de sistemas, educación para promover el internet, sistema de cuentas de
auditoria ACL ( Audit Command Language ) y otras clases cuales sean necesaria para elevar
el nivel de trabajo en el ámbito de la Auditoria, en los últimos 3 años, el total de cursos que
organizo la Auditoria fueron más de 2500 un porciento que cada personal participa de 4
clases promedio, esto figura el esfuerzo que estamos poniendo para la auditoria
![Page 6: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/6.jpg)
informática , entrenar a cada uno de los personales de la auditoria para que estén
capacitados para hacer un mejor trabajo en la auditoria.
Para un buena auditoria informática se necesita aparte de una buena computadora de mesa
o portátil, excelentes programas también es lo que no puede faltar. Debido al trabajo que
ejecutan los auditores en sus inspecciones de cuentas se encuentran con el problema de
tener que manejar diferentes clases de computadoras, no todas son iguales a la de nuestra
oficina, nuestros auditores tienen que tener la capacidad de hacer sus inspecciones en
cualquier clase de computadoras, lo que si se puede hacer para facilitar el trabajo es de
usar un sistema común de trabajo como la que es ACL, el sistema que esta usando todas las
oficinas de la Auditoria y afíliales. El proceso de inspección se basa en diseñar el sistema
de ACL en las instituciones a los cuales se va a ser las inspecciones de la auditoria
cambiando sus (File Layout) en ACL, de esta forma se puede unificar el trabajo hasta
finalizarlo.
2. Control interno del sistema de informaciones.
Para un mejor control de la auditoria informática no nos podemos olvidar del control
interno y la veracidad que este tiene que tener, como cuando el sistema esta en
funcionamiento su evaluación y control se tienen que hacerse siempre.
Debido a que el procesamiento de lo que se graba o se almacena esta en diferentes
ambientes de trabajo, corremos el riego de obtener informaciones incompletas u
informaciones que es difícil de leer a la vista de los auditores, para evitar esta clase de
problemas y para que la dependencia del hombre a la maquina el control de esta para que la
información no tenga error con la rápida evolución de los programas y sistemas el control
de sistemas se hace cada vez más difícil.
PRINCIPALES RESULTADOS EN LA AUDITORIA
A: Planeamiento, Control y Seguridad del Sistema de Computación
La mayoría de las instituciones depende mucho en computadoras, pero después de un
estudio podemos deducir que se necesita un control de seguridad para que el manejo sea
mucho más fácil de controlar y guardar, si no el de promover la auditoria informativa
tendrá sus dificultades.
B: Control en el almacenamiento de datos
![Page 7: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/7.jpg)
El sueño de un perfecto control seria el de poder registrar cada dato, la persona, fecha y
si este no tuviera la autorización denegarle la entrada, todo esto se esta haciendo pero por
la falta de personal y por el rápido cambio que transcurre nos es difícil el de registrar y
darle un código por ejemplo en un sistema de IBM el RCF es el código de control y
almacenamiento.
C: Cambio en el control de datos
En la creación de sistemas uno no se debe olvidar también la forma de guardar los datos en
casos de revisión.
D: La estabilidad del servicio y mantenimiento
Por el nuevo enfrentamiento a Y2K el mantenimiento y servicio de recuperar las posibles
perdidas de datos es lo que impulsa a un nuevo cambio de sistemas.
E: Control en el uso
En uno de los bancos en su ¨ Sistema de caja de ahorros el personal de la caja de ahorros
tiene acceso directo, pero por falta de control puede ocurrir problemas muy drásticas
también en el caso del seguro medico, más de una persona usando el mismo numero de serie,
también en una transacción privada de moneda extrajera en el banco por no haber
mantenido un récord en el ( Log file ), causo lo perdida de datos de esta transacción para
una revisión futura. Esto son algunos de los casos que tenemos que seguir promoviendo e
impulsando en el futuro.
F: Resultados usando el sistema de NAO para revisiones
En el transcurso del año pasado, las instituciones que utilizaron el sistema de
revisión de la auditoria fueron 8, los resultados fueron muy productivos. Por ejemplo: En
una revisión de una de las Instituciones de auditoria a los impuestos de vivienda se ha dado
el caso de que hay problemas con más de 1000 casos en las cuales los impuestos no se ha
dado conforme a las regulaciones, todo esto gracias al sistema de ACL, si se desarrolla en
el futuro el control y manejo del sistema, problemas como estas no serán más problemas
RESULTADOS DE LA AUDITORIA INFORMATICA
El progreso de la tecnología de la computación y la informática, esta mejorando día a día,
esto a la vez esta causando los problemas de las oportunidades a cometer errores, el
![Page 8: Auditoria informatica](https://reader038.vdocuments.mx/reader038/viewer/2022100603/5596a0931a28ab41718b47cc/html5/thumbnails/8.jpg)
revisar e inspeccionar es el trabajo de la auditoria para poder brindar un mejor trabajo de
control a la sociedad.
La oficina de la auditoria en su trabajo de inspeccionar bajo las regulaciones y leyes de la
auditoria, construir sistemas de control en la auditoria informática no permite el cometer
ningún error en el proceso de control, almacenamiento de datos, revisión. Debido a todo
esto se sugiere a las instituciones bajo inspección que por lo menos al año una vez tengan
clases sobre el control y manejo de sistemas, de esta forma se puede evitar la perdida de
datos por malmanejo y se puede poner también estas regulaciones dentro de las normas de
cada institución, esperando en el futuro obtener un buen manejo y control de sistemas en la
auditoria informática.
CONCLUCIONES
En el proceso de promover la auditoría informática se necesita de un buen planeamiento,
mantenimiento de la ejecución y estar preparados para cualquier cambio que pueda traer
con el pasar del tiempo, el entrenamiento de l personal para nuevos enfrentamientos
también es un labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos que
se ha puesto se han obtenido muy buenos resultados, como meta para el futuro es el de
poner mas esfuerzo en el entrenamiento del personal de la auditoria informática, crear
secciones especialmente encargadas de la auditoria informática, también a la vez crear un
Sistema de Soporte a la Tecnología de la Información ( Information Technology Support )
y reglamentos para el progreso de la auditoria informática, todo esto son metas para
entrar al año 2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que
se debe en el trabajo de la Auditoria.
Web grafía:
http://www.audit.gov.tw/span/span2-2.htm