Libro+Auditoria informatica
Short Description
Descripción: auditoria informatica...
Description
Nombre: __________________________________ Grupo:
_________
INDICE
BLOQUE I: INTRODUCCIÓN A LA AUDITORÍA INFORMÁTICA. ......................................... 4 EC01: LA INFORMACIÓN DE LAS COMPUTADORAS ................................................................................ 5 CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA......................................................... 8 Introducción .................................................................................................................................. 8 1.1 Concepto de auditoría ............................................................................................................. 8 1.2 Tipos de auditoría ................................................................................................................. 10 Auditoría interna: ........................................................................................................................ 10 Auditoría informática de sistemas: .............................................................................................. 12 Auditoría a los planes de desarrollo empresarial: ........................................................................ 12 Auditoría administrativa:.............................................................................................................. 13 Auditoría financiera: .................................................................................................................... 13 Auditoría de gestión: ................................................................................................................... 13 Auditoría de gestión de ambiental: .............................................................................................. 13 Auditoría de gestión y resultados: ............................................................................................... 14 Auditoría integral: ........................................................................................................................ 14 1.3 Auditoría en informática ........................................................................................................ 16 Objetivos de la auditoría informática. .......................................................................................... 17 EC02: CONCEPTO DE AUDITORÍA ...................................................................................................... 15 EC03: AUDITORÍA INFORMÁTICA ....................................................................................................... 19 EC04: NORMAS Y PROCEDIMIENTO DE AUDITORÍA .............................................................................. 20 CONTROL INTERNO .......................................................................................................................... 21 EC05: CONTROL INTERNO ................................................................................................................ 23 EL AUDITOR ..................................................................................................................................... 26 Introducción ................................................................................................................................ 26 EC06: LOS AUDITORES .................................................................................................................... 29 EC07: CÓDIGO DE ÉTICA DE LOS AUDITORES ..................................................................................... 34 EC08: ACTIVIDAD INTEGRADORA DEL BLOQUE ................................................................................... 35
BLOQUE II: PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA ......................................... 36 FASES DE LA AUDITORIA INFORMÁTICA .............................................................................................. 38 Fase I: Conocimientos del Sistema ............................................................................................. 38 Fase II: Análisis de transacciones y recursos.............................................................................. 38 Fase III: Análisis de riesgos y amenazas .................................................................................... 38 Fase IV: Análisis de controles ..................................................................................................... 39
Fase V: Evaluación de Controles ................................................................................................ 39 Fase VI: Informe de Auditoria ..................................................................................................... 39 Fase VII: Seguimiento de Recomendaciones.............................................................................. 39 EC09: FASES DE LA AUDITORIA INFORMÁTICA ................................... ¡ERROR! MARCADOR NO DEFINIDO. EC10: PLANEACIÓN DE LA AUDITORÍA................................................................................................ 47 EC11: REVISIÓN PRELIMINAR............................................................................................................ 48 EC12: REVISIÓN DETALLADA ............................................................................................................ 49 EC13: AUDITORÍA FÍSICA .................................................................................................................. 50
BLOQUE III: AUDITORÍA INFORMÁTICA POR ÁREAS ...................................................... 54 EC14: ORGANIGRAMAS DE LA AUDITORÍA .......................................... ¡ERROR! MARCADOR NO DEFINIDO. EC15: EVALUACIÓN DE LOS RECURSOS HUMANOS ............................. ¡ERROR! MARCADOR NO DEFINIDO. EC16: AUDITORÍA FÍSICA .................................................................. ¡ERROR! MARCADOR NO DEFINIDO. EC17: EVALUACIÓN DE AUDITORIA FÍSICA ......................................... ¡ERROR! MARCADOR NO DEFINIDO. EC18: AUDITORIA DE APLICACIONES ................................................. ¡ERROR! MARCADOR NO DEFINIDO. EC19: AUDITORIA DE REDES Y COMUNICACIÓN .................................. ¡ERROR! MARCADOR NO DEFINIDO. EC20: AUDITORIA A LA SEGURIDAD INFORMÁTICA .............................. ¡ERROR! MARCADOR NO DEFINIDO. INFORME FINAL DE AUDITORIA ........................................................................................................... 55 El informe final ............................................................................................................................ 55 EC21: EL INFORME FINAL ................................................................................................................. 57
ANEXOS................................................................................................................................. 59
I: Introducción a la auditoría informática
Bloque I: Introducción a la auditoría informática.
El Bloque I, tiene como finalidad conocer los elementos fundamentales de la auditoria informática, así como sus conceptos básicos y principios éticos para identificar su utilidad en las organizaciones. M.C. Gabriel Huesca Aguilar
Página 4
I: Introducción a la auditoría informática EC01: La información de las computadoras
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Lee con atención la siguiente situación didáctica, analiza el problema y elabora una reflexión acerca de qué hacer para evitarlo, en la que expreses tus opiniones y experiencias para enriquecer el tema, mostrando tolerancia y respetando las reglas de convivencia social.
En el hospital “El paciente impaciente” han desaparecido dos computadoras una en el servicio de archivo y otra del servicio de cuidados intensivos. Por lo anterior se han desatado algunos problemas que conllevan a subsanar dicha perdida. 1. ¿Qué debe hacer el encargado para sustituir las computadoras? 2. ¿Cuánto tiempo crees que es necesario para tener una computadora que haga el mismo trabajo que hacia la que robaron? 3. ¿Qué harías tú para arreglar el problema? 4. ¿Qué debes saber para conectarlo en la red y con los archivos necesarios para trabajar correctamente?
M.C. Gabriel Huesca Aguilar
Página 5
I: Introducción a la auditoría informática Fecha: ___/_____/2011
EC01: Ideas sobre Auditoria Informática Nombre: _________________________________________
Grupo: _________
Instrucciones: Participado en la lluvia de ideas sobre los conceptos básico acerca de la Auditoria Informática completa el siguiente cuadro: Para crear una definición que te permita entender de lo que estás hablando es necesario: 1. Definir de una forma concreta (objeto, animal, ciencia, procedimiento, cosa, etc) 2. Actividad que realiza el objeto de estudio (única para el objeto). 3. Contexto en el que lo realiza 4. Referentes del objeto (ejemplos, comparaciones etc, si es posible). AUDITORIA Forma concreta
Actividad que realiza
Contexto
Referentes
AUDITORIA INFORMATICA Forma concreta
Actividad que realiza
Contexto
Referentes
M.C. Gabriel Huesca Aguilar
Página 6
I: Introducción a la auditoría informática AUDITOR Forma concreta
Actividad que realiza
Contexto
Referentes
NORMA Forma concreta
Actividad que realiza
Contexto
Referentes
ESTANDAR Forma concreta
Actividad que realiza
Contexto
Referentes
M.C. Gabriel Huesca Aguilar
Página 7
I: Introducción a la auditoría informática
CONCEPTOS DE AUDITORÍA Y AUDITORÍA INFORMÁTICA1 Introducción El concepto de auditoría informática ha estado siempre ligado al de auditoría en general y al de auditoría interna en particular, y éste ha estado unido desde tiempos históricos al de contabilidad y de control de los registros y de las operaciones. Aun algunos historiadores fijan el nacimiento de la escritura como consecuencia de la necesidad de registrar y controlar operaciones (Dale Flesher, 50 Yeras of progress). Hago este referencia histórica a fin de explicar la evolución de la corta pero intensa historia de la auditoría informática, y para que posteriormente nos sirva de referencia al objeto de entender las diferentes tendencias que existen en la actualidad. Si analizamos el nacimiento y la existencia de la auditoría informática desde un punto de vista empresarial, tendremos que empezar analizando el contexto organizativo y ambiental en el que se mueve. Empezaremos diciendo que tanto dentro del contexto estratégico como del operativo de las organizaciones actuales, los sistemas de información y la arquitectura que los soporta desempeñan un importante papel como uno de los soportes básicos para la gestión y el control del negocio, siendo así unos de los requerimientos básicos de cualquier organización. Esto da lugar a los sistemas de información de una organización. La auditoria se desarrolla con base a normas, procedimientos y técnicas definidas formalmente por institutos establecidos a nivel nacional e internacional; por lo tanto, solo se expondrán algunos aspectos necesarios para su entendimiento; no obstante, se sugiere leer los libros listados en la bibliografía, así como la participación directa y activa en los institutos o asociaciones relacionados con el campo de la especialidad. Por lo anterior, en este capítulo se incluyen lecturas que analizan en diferentes tipos de auditoría, así como lo expuesto por Mario Piattini y Emilio del Peso en su obra Auditoría Informática: un enfoque practico en lo relativo a la auditoría informática y su alcance. 1.1 Concepto de auditoría Con frecuencia la palabra auditoría se ha empleado incorrectamente y se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas; por eso se ha llegado a acuñar la frase "tiene auditoría" como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoría. El concepto de auditoría es más amplio: no sólo detecta errores, sino que es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo. La palabra auditoría viene del latín auditorius, y de ésta proviene auditor, que tiene la virtud de oír, y el diccionario lo define como "revisor de cuentas colegiado". El auditor tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del 1
http://www.oocities.org/mx/acadentorno/aui1.pdf
M.C. Gabriel Huesca Aguilar
Página 8
I: Introducción a la auditoría informática señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. Si consultamos nuevamente el diccionario encontramos que eficacia es: "virtud, actividad, fuerza, para poder obrar"; mientras que eficiencia es: "virtud y facultad para lograr un efecto determinado", por lo que eficiencia es el poder lograr lo planeado con los menores recursos posibles, mientras que eficacia es lograr los objetivos. El Boletín "C" de Normas de Auditoría del Instituto Mexicano de Contadores nos dice: "La auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carácter indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido y maduro, para juzgar los procedimientos que deben de seguirse y estimar los resultados obtenidos” . Así como existen normas y procedimientos específicos para la realización de auditorías contables, debe haber también normas y procedimientos para la realización de auditorías en informática como parte de una profesión. Pueden estar basadas en las experiencias de otras profesiones pero con algunas características propias y siempre guiándose por el concepto de que la auditoría debe ser más amplia que la simple detección de errores, y además la auditoría debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solución. A continuación se presentan diversos conceptos de auditoría. Es un proceso formal y necesario para las empresas con el fin de asegurar que todos sus activos sean protegidos en forma adecuada. Asimismo, la alta dirección espera que de los proyectos de auditoría surjan las recomendaciones necesarias para que se lleven a cabo de manera oportuna y satisfactoria las políticas, controles y procedimientos y definidos formalmente, con objeto de que cada individuo o función de la organización opere de modo productivo en sus actividades diarias, respetando las normas generales de honestidad y trabajo aceptadas. [Hernández, 1997]. Examen metódico de una situación relativa a un producto, proceso u organización en materia de calidad, realizada en cooperación con los interesados para verificar la concordancia de la realidad con lo preestablecido y la adecuación al objetivo buscado. Actividad para determinar, por medio de la investigación, la adecuación de los procedimientos establecidos, instrucciones, especificaciones, codificaciones y estándares u otros requisitos, la adhesión de los mismos y la eficiencia de su implantación. Es la investigación, consulta, revisión, verificación, comprobación y evidencia. Aplicada la empresa es el examen del estado financiero de una empresa realizada por personal cualificado e independiente, de acuerdo con normas de contabilidad, con el fin de esperar una opinión con que tales estados contables muestran lo acontecido en el negocio. Requisito fundamental es la independencia. Se define como la acumulación y la evaluación de las evidencias sobre la información cuantificable de una entidad económica para determinar y opinar sobre el grado de correspondencia que hay entre la información y el criterio establecido. [Zamarripa, 2002]. M.C. Gabriel Huesca Aguilar
Página 9
I: Introducción a la auditoría informática Es un proceso sistemático para obtener y evaluar evidencias de una manera objetiva respecto a las afirmaciones correspondientes a actos económicos y eventos para determinar el grado de correspondencia entre estas afirmaciones y criterios establecidos y comunicar los resultados a los usuarios interesados.[Kell-Ziegler]. En el ambiente de sistemas, los exámenes de las operaciones que realiza un sistema de computo con la finalidad de evaluar la situación del mismo. Los auditores deben tener la capacidad de validar los reportes y de probar la autenticidad y la precisión de los datos y la información que se maneja. [González]. Representa el examen de los estados financieros de una entidad, con el objeto de que el contador público independiente emita una opinión profesional si dichos estados representan la situación financiera, los resultados de las operaciones, las variaciones en el capital contable y los cambios en la situación financiera de una empresa, de acuerdo a los principios de la contabilidad generalmente aceptados. 1.2 Tipos de auditoría La auditoría, como cualquier disciplina toma características diferentes de acuerdo al campo de acción en que se desenvuelven. Sin embargo, el objetivo final debe responder a la definición general de auditoría. De acuerdo a las personas que la realizan se pueden reconocer dos tipos de auditoría. Fuente: (http://www.monografias.com/trabajos12/aufi.shtml) Marin Calv Hugo Armando. Auditoría interna: Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. Por otro lado, la auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados. La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorias, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo. En una empresa, los responsables de Informática escuchan, orientan e Informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.
M.C. Gabriel Huesca Aguilar
Página 10
I: Introducción a la auditoría informática En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser: Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. Contrastar algún Informe interno con el que resulte del externo. en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. La auditoría informática, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente. De acuerdo al objetivo de la auditoría, tenemos: Auditoría de cumplimiento: Es la comprobación o examen de operaciones financieras, administrativas, económicas y de otra índoIe de una entidad para establecer que se han realizado conforme a las normas legales, reglamentarias, estatuarias y de procedimientos que le son aplicables. Esta auditoría se practica mediante la revisión de documentos que soportan legal, técnica, financiera y contablemente las operaciones para determinar si los procedimientos utilizados y las medidas de control interno están de acuerdo con las normas que le son aplicables y si dichos procedimientos están operando de manera efectiva y son adecuados para et logro de los objetivos de la entidad. Auditoría operativa: Es el examen posterior, profesional, objetivo y sistemático de la totalidad o parte de las operaciones o actividades de una entidad, proyecto, programa, inversión o contrato en particular, sus unidades integrantes u operacionales específicas. Su propósito es determinar los grados de efectividad, economía y eficiencia alcanzados por la organización y formular recomendaciones para mejorar las operaciones evaluadas. Relacionada básicamente con los objetivos de eficacia, eficiencia y economía.
M.C. Gabriel Huesca Aguilar
Página 11
I: Introducción a la auditoría informática Auditoría informática de sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas en todas sus facetas. Hoy, la importancia creciente de las telecomunicaciones ha propiciado que las comunicaciones. Líneas y redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de sistemas. Su finalidad es el examen y análisis de los procedimientos administrativos y de los sistemas de control interno de la compañía auditada. Al finalizar el trabajo realizado, los auditores exponen en su informe aquellos puntos débiles que hayan podido detectar, así como las recomendaciones sobre los cambios convenientes a introducir, en su opinión, en la organización de la compañía. Normalmente, las empresas funcionan con políticas generales, pero hay procedimientos y métodos, que son términos más operativos. Los procedimientos son también sistemas; si están bien hechos, la empresa funcionará mejor. La auditoría de sistemas analiza todos los procedimientos y métodos de la empresa con la intención de mejorar su eficacia. Sistemas Operativos. Engloba los Subsistemas de Teleprocesos, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas están actualizados con las últimas versiones del fabricante, indagando las causas de las omisiones. El análisis de las versiones de los Sistemas Operativos permite descubrir las posibles incompatibilidades entre otros productos de Software Básicos adquiridos por la instalación y determinadas versiones de aquellas. Deben revisarse los parámetros variables de las librerías más importantes de los Sistemas, por si difieren de los valores habituales aconsejados por el constructor. Software Básico es fundamental para el auditor conocer los productos de software básico que han sido facturados aparte de la propia computadora. Esto, por razones económicas y por razones de comprobación de que la computadora podría funcionar sin el producto adquirido por el cliente. En cuanto al software desarrollado por el personal informático de la empresa, el auditor debe verificar que este no agreda ni condicione al Sistema Igualmente, debe considerar el esfuerzo en términos de costes, por si hubiera alternativas más económicas. Auditoría a los planes de desarrollo empresarial: La acción de planear 'las actividades permite al individuo fijarse metas, delinear los cursos de las acciones a seguir, establecer las reglas de juego, para que el lugar de estar a la defensiva, reaccionando a las circunstancias y eventualidades, haga que las circunstancias y eventualidades se ajusten a su voluntad mediante el establecimiento de un buen plan que le permita prever todos los posibles factores y elementos que pudieran incidir en las acciones, fijarse objetivos que deseen alcanzar, establecer las políticas que deban normar las operaciones y reglamentándolas en sistemas, métodos y procedimiento, que allanen el camino para el buen logro de esos objetivos, colocándolo a la ofensiva, atacando en vez de esperar a ser atacado; es decir, actuando, en vez de estar reaccionando. Anticiparse a los hechos es evitar sorpresas, que en la mayoría de los casos son desagradables. La auditoría, al igual que cualquier otra actividad, requiere de una buena planeación, que le permita desarrollarse eficientemente y oportunamente.
M.C. Gabriel Huesca Aguilar
Página 12
I: Introducción a la auditoría informática Auditoría administrativa: Es el revisar y evaluar Si los métodos, sistemas y procedimientos que se siguen en todas las fases del proceso administrativo aseguran el cumplimiento con políticas, planes, programas, leyes y reglamentaciones que puedan tener un impacto significativo en operación de los reportes y asegurar que la organización los este cumpliendo y respetando. Es el examen metódico y ordenado de los objetivos de una empresa de su estructura orgánica y de la utilización del elemento humano a fin de informar los hechos investigados. Su importancia radica en el hecho de que proporciona a los directivos de una organización un panorama sobre la forma como está siendo administrada por los diferentes niveles jerárquicos y operativos, señalando aciertos y desviaciones de aquellas áreas cuyos problemas administrativos detectados exigen una mayor o pronta atención. Auditoría financiera: Es un proceso cuyo resultado final es la emisión de un informe, en el que el auditor da a conocer su opinión sobre la situación financiera de la empresa, este proceso solo es posible IIevarlo a cabo a través de un elemento llamado evidencia de auditoria, ya que el auditor hace su trabajo posterior a las operaciones de la empresa. La Auditoría Financiera es la más conocida de todas, pues es la requerida por las empresas y es la que ha presentado el máximo desarrollo. Auditoría de gestión: La Auditoría de Gestión aunque no tan desarrollada como la Financiera, es si se quiere de igualo mayor importancia que esta última, pues sus efectos tienen consecuencias que mejoran en forma apreciable el desempeño de la organización. La denominación auditoría de gestión funde en una, dos clasificaciones que tradicionalmente se tenían: auditoría administrativa y auditoría operacional. Auditoría de gestión de ambiental: La creciente necesidad de controlar el impacto ambiental que generan las actividades humanas ha hecho que dentro de muchos sectores industriales se produzca un Incremento de la sensibilización respecto al medio ambiente. Debido a esto, las simples actuaciones para asegurar el cumplimiento legislativo han dado paso a sistemas de gestión medioambiental que permiten estructurar e integrar todos los aspectos medioambientales, coordinando los esfuerzos que realiza la empresa para llegar a objetivos previstos. Es necesario analizar y conocer en todo momento todos los factores de contaminación que generan las actividades de la empresa, y por este motivo será necesario que dentro del equipo humano se disponga de personas cualificadas para evaluar el posible impacto que se derive de los vectores ambientales. Establecer una forma sistemática de realizar esta evaluación es una herramienta básica para que las conclusiones de las mismas aporten mejoras al sistema de gestión establecido. La aplicación permanente del concepto mejora continua es un referente que en el campo medioambiental tiene una incidencia práctica constante, y por este motivo la revisión de todos los aspectos relacionados con la minimización del impacto ambiental tiene que ser una acción realizadas sin interrupción.
M.C. Gabriel Huesca Aguilar
Página 13
I: Introducción a la auditoría informática Auditoría de gestión y resultados: Tiene por objeto el examen de la gestión de una empresa con el propósito de evaluar la eficacia de sus resultados con respecto a las metas previstas, los recursos humanos, financieros y técnicos utilizados, la organización y coordinación de dichos recursos y los controles establecidos sobre dicha gestión. Es una herramienta de apoyo efectivo a la gestión empresarial, donde se puede conocer las variables y los distintos tipos de control que se deben producir en la empresa y que estén en condiciones de reconocer y valorar su Importancia como elemento que repercute en la competitividad de la misma. Se tiene en cuenta la descripción y análisis del control estratégico, el control de eficacia, cumplimiento de objetivos empresariales, el control operativo o ejecución y un análisis del control como factor clave de competitividad. La auditoría integral se ha desarrollado en los países industrializados, especialmente en el Canadá, teniendo una gran aplicación en el ámbito del control gubernamental. En sí la auditoría integral no es más que la integración de la auditoría financiera con la auditoría de gestión y la auditoría de cumplimiento. La auditoría de cumplimiento es la que hasta la vigencia de la anterior Constitución, venia ejecutando la Contraloría General de la República, y que consistía en el simple control numérico legal de las operaciones de los entes estatales en sus diferentes niveles. El Consejo Técnico de la Contaduría Pública en su pronunciamiento No. 7 define así la Auditoría de Cumplimiento: La auditoría de cumplimiento consiste en la comprobación o examen de las operaciones financieras, administrativas, económicas y de otra índole de una entidad para establecer que se han realizado conforme a las normas legales, estatutarias y de procedimientos que le son aplicables. La integración de estos tres tipos de auditoría implica que examen se debe realizar sobre tres grandes sistemas de información de la organización: sistema de información financiera, sistema de información de gestión y sistema de información legal. El concepto de auditoría integral realmente no es nuevo en nuestro país y por el contrario es si se quiere el más antiguo, pues si se considera la figura de la institución de la Revisarla Fiscal, ésta cumple con los requerimientos de una auditoría integral, pues en esencia el Revisor Fiscal debe examinar los tres grandes sistemas objeto de examen por esta última. Por lo dicho anteriormente se podría construir el siguiente concepto de auditoría integral: Auditoría integral: Es el examen crítico, sistemático y detallado de los sistemas de información financiero, de gestión y legal de una organización, realizado con independencia y utilizando técnicas especificas, con el propósito de emitir un informe profesional sobre la razonabilidad de la información financiera, la eficacia eficiencia y economicidad en el manejo de los recursos y el apego de las operaciones económicas a las normas contables, administrativas y legales que le son aplicables, para la toma de decisiones que permitan la mejora de la productividad de la misma.
M.C. Gabriel Huesca Aguilar
Página 14
I: Introducción a la auditoría informática EC02: Concepto de Auditoría
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Después de haber leído con atención los conceptos de auditoría elabora un es esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la información presentada.
M.C. Gabriel Huesca Aguilar
Página 15
I: Introducción a la auditoría informática 1.3 Auditoría en informática Fuente: Piattini, Mario G y del peso, Emilio 2000. “Auditoria Informática: un enfoque practico” computec RAMA. Madrid, España.
Auditoría en informática
La auditoría en informática se desarrolla en función de normas, procedimientos y técnicas definidas por institutos establecidos a nivel nacional e internacional; por lo tanto, nada más se señalarán algunos aspectos básicos para su entendimiento. Así, la auditoría en informática es: A. Un proceso formal ejecutado por especialistas del área de auditoría y de informática; se orienta a la verificación y aseguramiento de las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de informática en la organización se lleve a cabo de una manera oportuna y eficiente. B. Las actividades ejecutadas por los profesionales del área de Informática y de auditoría encaminada a evaluar el grado de cumplimiento de políticas, controles y procedimientos correspondientes al uso de los recursos de informática por el personal de la empresa (usuarios, informática, alta direcci6n, etc.). Dicha evaluaci6n deberá ser la pauta para la entrega del informe de auditoría en informática, el cual ha de contener las observaciones, recomendaciones y áreas de oportunidad para el mejoramiento y la optimización permanente de la tecnología de informática en el negocio. C. El conjunto de acciones" que realiza el personal especializado en las áreas de auditoría y de informática para el aseguramiento continuo de que todos los recursos de informática operen en un ambiente de seguridad y control eficientes, con la finalidad de proporcionar a la alta dirección o niveles ejecutivos la certeza de que la información que pasa por el área se manejan con los conceptos básicos de integridad, totalidad, exactitud, confiabilidad, etc. D. Proceso metodológico que tiene el propósito principal de evaluar todos los recursos (humanos, materiales, financieros, tecnol6gicos, etc.) Relacionados con la función de informática para garantizar al negocio que dicho conjunto opera con un criterio de integración y desempeños de niveles altamente satisfactorios para que apoyen la productividad y rentabilidad de la organización.(Hernández, 1997). La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De este modo la auditoria informática sustenta y confirma la consecución de los objetivos tradicionales de la auditoria: Objetivos de protección de activos e integridad de datos. Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también los de eficacia y eficiencia. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso del software. En muchos casos, ya no es posible verificar manualmente los procedimientos informatizados que resumen, calculan y clasifican datos, por lo que se deberá emplear software de auditoria y otras técnicas asistidas por ordenador. M.C. Gabriel Huesca Aguilar
Página 16
I: Introducción a la auditoría informática El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. Se pueden establecer tres grupos de funciones a realizar por un auditor informático: Participar en las revisiones durante y después del diseño, realización, implantación y explotación de las aplicaciones informáticas, así como en las fases análogas de realización de cambios importantes. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las órdenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. Auditoría informática:
Es un examen metódico del servicio informático, o de un sistema informático en particular, realizado de- una forma puntual y objetiva, a instancias de 1a dirección y con la intención de ayudar a mejorar conceptos como la seguridad, eficiencia y rentabilidad del servicio informático. En esta definición hay cuatro palabras que destacan: "examen", "metódico", "puntual" y "objetivo": La auditoría informática es un examen, pues se verifica o comprueba el sistema informático actualmente en uso. Este examen es metódico, ya que sigue un plan de trabajo, perfectamente diseñado, que permite llegar a conclusiones suficientemente fundamentadas. Este examen es puntual, ya que se realiza en un momento determinado y bajo petición de la dirección. Este examen es objetivo, ya que se realiza por un equipo externo al servicio de informática para buscar la objetividad requerida. El servicio de auditoría cubre una serie de actividades (controles, verificaciones, pruebas, etc.) para concluir elaborando un conjunto de recomendaciones y un plan de acción. La elaboración de este plan de acción es una de las características que verdaderamente diferencia la auditoría informática del resto de tipos de auditorías. Objetivos de la auditoría informática. La definición de los objetivos de la auditoría informática es un tema difícil y complejo. No existe un total acuerdo en la definición de tales objetivos y en consecuencia, en el establecimiento de las funciones que debe desarrollar un auditor informático. Para precisar esta situación sería necesario: Definir el campo de actuación del auditor informático. Definir los objetivos de la auditoría informática. Para el campo de actuación del auditor, seria preciso reflexionar sobre los siguientes aspectos: Organización en la que se desenvolverá el auditor. Estructura. Tipo de actividad de la empresa. M.C. Gabriel Huesca Aguilar
Página 17
I: Introducción a la auditoría informática
Departamento de informática objeto de la auditoría. Grado de sofisticación. Tamaño. Recursos del departamento Relaciones con la auditoría financiera. las propias limitaciones técnicas del auditor.
De un modo general los objetivos de la auditoría informática podrían ser: Elaborar un informe sobre los aspectos que afecten al alcance de una auditoría y señalar riesgos de errores o fraudes de un sistema informático. Evaluar la fiabilidad de los sistemas informáticos, en cuanto a la exactitud de los datos y a las informaciones tratadas. Verificar el cumplimiento de la normativa general de la empresa. Comprobar la eficacia de los sistemas implantados. Comprobar si se ha estudiado el coste / beneficio. Garantizar la seguridad física y lógica. Evaluar la dependencia de una organización respecto a sus sistemas informáticos, revisando las medidas tomadas en el caso de que se produzca un fallo y que permitan asegurar la continuidad de las actividades normales. Emisión de informes con la evaluación independiente de los sistemas informáticos. sintetizando riesgos, deficiencias, sugerencias y recomendaciones. Análisis de la calidad y eficacia del servicio de atención a los usuarios. Participación y seguimiento de proyectos de investigación.
Te quedaron dudas?, revisa estas fuentes de información:
http://www.monografias.com/trabajos33/auditor/auditor.shtml http://www.monografias.com/trabajos17/auditoria/auditoria.shtml http://www.definicion.org/auditoria www.soeduc.cl/apuntes/concepto%20de%20auditoria.doc
M.C. Gabriel Huesca Aguilar
Página 18
I: Introducción a la auditoría informática EC03: Auditoría Informática
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Después de haber leído con atención los conceptos de auditoría informática elabora un resumen que contenga las características de la auditoria informática, y una reflexión acerca de la importancia de la misma en las organizaciones.
M.C. Gabriel Huesca Aguilar
Página 19
I: Introducción a la auditoría informática EC04: Normas y procedimiento de auditoría
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Después de leer y analizar la información contenida en el anexo 01, contesta las siguientes preguntas: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Menciona el origen de las normas y procedimientos de auditoría. Menciona los objetivos de las normas y procedimientos de auditoría. ¿Qué requisitos de calidad deben reunir los miembros de la auditoria? ¿Qué son las normas de auditoría?, menciona su clasificación ¿Qué son los procedimientos de auditoría y para qué sirven? ¿Qué es el monitoreo? Y describe los 4 tipos brevemente. ¿Qué es el ISO y para qué sirve? ¿Qué es y para qué sirve el ISO 27000? Elige uno de los siguientes estándares internacionales ISO 27001, ISO 27002, ISO 27006 e ISO 27799 y desarrolla: A. Origen y actualizaciones B. Características de la norma C. Campo de aplicación D. Referencias 10. Explica con tus propias palabras los beneficios de utilizar normas internacionales. 11. Explica brevemente el proceso de adaptación. 12. Escribe una reflexión acerca del uso de las normas y las ventajas de utilizarlas. Evalúa: M.C. Gabriel Huesca Aguilar
M.C. Gabriel Huesca Aguilar
Página 20
I: Introducción a la auditoría informática
Control interno2 Básicamente todos los cambios que se realizan en una organización someten a una gran tensión a los controles internos existentes. Cuando un auditor profesional se somete a auditar una empresa, lo primero que se le viene a la cabeza es mejorar todos los procesos que se llevan en la misma para buscar la eficiencia total. Este trabajo no se hace de la noche a la mañana; para ello se empieza ya bien sea por áreas o departamentos o mejor dicho se empieza a trabajar internamente. La mayoría de las organizaciones han acometido varias iniciativas en tal sentido tales como: La reestructuración de los procesos empresariales. La gestión de la calidad total. El redimensionamiento por reducción y/o por aumento de tamaño hasta el nivel correcto. La contratación externa. La descentralización. CONTROL INTERNO INFORMATICO El control interno informático controla diariamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la dirección de la organización y/o la dirección informática, así como los requerimientos legales. La función del control interno informático es asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y válidas. Control interno informático suele ser un órgano staff de la dirección del departamento de informática y está dotado de las personas y medios materiales proporcionados a los cometidos que se le encomienden. Como principales objetivos podemos indicar los siguientes: Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales. Asesorar sobre el conocimiento de las normas. Colaborar y apoyar el trabajo de Auditoria informática, así como de las auditorías externas al grupo. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los graso adecuados del servicio informático, lo cual no debe considerarse como que la implantación de los mecanismos de medida y responsabilidad del logro de esos niveles se ubique exclusivamente en la función de control interno, si no que cada responsable de objetivos y recursos es responsable de esos niveles, así como de la implantación de los medios de medida adecuados. La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo los eficazmente los fines de la organización y utiliza eficiente mente los recursos. CONTROL INFORMATICO
INTERNO AUDITOR INFORMATICO
SIMILITUDES
PERSONAL INTERNO Conocimientos especializados en tecnologías de información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección informática y la dirección general para los sistemas de información.
DIFERENCIAS
Análisis de los controles en el Análisis de un momento día a día informático determinado
2
http://aabbccddee.galeon.com/winpy.htm
M.C. Gabriel Huesca Aguilar
Página 21
I: Introducción a la auditoría informática Informa a la dirección del departamento de informática sólo personal interno el enlace de sus funciones es únicamente sobre el departamento de informática
Informa a la dirección general de la organización Personal interno y/o externo tiene cobertura sobre todos los componentes de los sistemas de información de la organización
DEFINICION Y TIPO DE CONTROLES INTERNOS Se puede definir el control interno como "cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos. Los controles internos se clasifican en los siguientes: Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc. Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperación de un fichero dañado a partir de las copias de seguridad. IMPLANTACION DE UN SISTEMA DE CONTROLES INTERNOS INFORMATICOS Para llegar a conocer la configuración del sistema es necesario documentar los detalles de la red, así como los distintos niveles de control y elementos relacionados: Entorno de red:esquema de la red, descripción de la configuración hardware de comunicaciones, descripción del software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los ordenadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red. Configuración del ordenador base: Configuración del soporte físico, en torno del sistema operativo, software con particiones, entornos( pruebas y real ), bibliotecas de programas y conjunto de datos. Entorno de aplicaciones: Procesos de transacciones, sistemas de gestión de base de datos y entornos de procesos distribuidos. Productos y herramientas: Software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas. Seguridad del ordenador base: Identificar y verificar usuarios, control de acceso, registro e información, integridad del sistema, controles de supervisión, etc. Para la implantación de un sistema de controles internos informáticos habrá que definir: Gestión de sistema de información: políticas, pautas y normas técnicas que sirvan de base para el diseño y la implantación de los sistemas de información y de los controles correspondientes. Administración de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad. Gestión del cambio: separación de las pruebas y la producción a nivel del software y controles de procedimientos para la migración de programas software aprobados y probados.
M.C. Gabriel Huesca Aguilar
Página 22
I: Introducción a la auditoría informática EC05: Control interno
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Escucha con atención las indicaciones de tu maestro, realiza las intervenciones que te ayuden a entender sus instrucciones para que en equipo de 3 a 5 personas, elabores una ficha que contenga la información del equipo de trabajo para exponer acerca de control interno, de acuerdo al orden establecido por el maestro. 1. Completa la siguiente nota en la que contenga a los integrantes del equipo y las actividades que cada uno deberá realizar en la muestra. Equipo: _________ Integrantes Jefe: 1.2.3.4.Actividades:
Nombre del equipo (opcional)
M.C. Gabriel Huesca Aguilar
Página 23
I: Introducción a la auditoría informática
Tipos de control interno La función de auditoría informática se aplica en diferentes entornos o áreas, cada una de las cuales tiene sus propios objetivos y estándares de aplicación, estas áreas son:
Recursos informáticos Función informática Seguridad Informática Desarrollo de Aplicaciones Función operacional Redes y comunicación Bases de Datos
Por consiguiente tenemos lo siguientes tipos de controles internos Control interno de la función informática: Control interno del desarrollo de sistemas: Control interno de la operación Control interno de la seguridad informática Control interno de los recursos informáticos Control interno de las redes y comunicación.
M.C. Gabriel Huesca Aguilar
Página 24
I: Introducción a la auditoría informática
Información para otorgar calificación del control interno
Datos de Identificación: Alumno Grupo Ev02: Control interno Evidencia Auditoria Informática I Asignatura I: Introducción a la auditoria informática Bloque Evalúa M.C. Gabriel Huesca Aguilar
Criterios
Presentación
Contenido Tiempo de entrega
Escala de 0 a 10 Presentación en Microsoft Power point 2007 en adelante Presenta márgenes adecuados, pie de página, orientación de la hoja, formato a fuentes, imágenes, gráficos, ortografía, formatos para el control. La explicación es clara, sencilla y responde a las preguntas de sus compañeros. La información tiene estructura adecuada. Explica claramente el control investigado Utiliza la creatividad Los compañeros de grupo opinan que es buena. El día que se pide
Evaluación: ________ Observaciones y comentarios:
M.C. Gabriel Huesca Aguilar
Página 25
I: Introducción a la auditoría informática
El auditor3 Introducción El auditor es aquella persona que lleva a cabo una auditoria capacitado con conocimientos necesarios para evaluar la eficacia de una empresa a la vez de poseer Una ética profesional y una responsabilidad hacia los clientes y colegas con el fin de prestarle un mejor servicio en el campo en que se desempeña e integridad de la información de los métodos empleados para identificar, medir, clasificar y reportar dicha información. El auditor debe revisar los sistemas establecidos para asegurarse del cumplimiento de las políticas, planes y procedimientos, leyes y reglamentos que pueden tener de impacto significativo en las operaciones e informes y deben determinar si la organización cumple con ellos. Así mismos son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas están cumpliendo con los requerimientos apropiados. También deben revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidas y si las operaciones o programas se llevan a cabo como se planearon. El Auditor Es aquella persona que lleva a cabo una auditoria, capacitado con conocimiento necesario para evaluar la eficacia de una empresa. El auditor debe reunir, para el buen desempeño de su profesión características como: sólida cultura general, conocimiento técnico, actualización permanente, capacidad para trabajar en equipo multidisciplinario, creatividad, independencia, mentalidad y visión integradora, objetividad, responsabilidad, entre otras. Además de esto, este profesional debe tener una formación integral y progresiva. Ética Profesional La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer. A tal fin, existen cinco (5) conceptos generales, llamados también “Principios de Ética” las cuales son: Independencia, integridad y objetividad. Normas generales y técnicas. Responsabilidades con los clientes. Responsabilidades con los colegas. Independencia, integridad y objetividad: El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contaduría pública, ser independiente de aquellos a quienes sirve. Los conceptos de la ética profesional, sección ET 52-02 define la independencia como: “La capacidad para actuar con integridad y objetividad”. Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisión del auditor. El auditor debe expresar su opinión imparcialmente, en atención a hechos reales comprobables, según su propio criterio y con perfecta autonomía y, para tal fin, estar desligado a todo vínculo con los dueños, administradores e intereses de la empresa u organización que audite. Su independencia mental y su imparcialidad de criterio y de opinión deben serlo, no solamente de hecho, sino en cuanto a las apariencias también, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades.
3
http://www.monografias.com/trabajos33/auditor/auditor.shtml
M.C. Gabriel Huesca Aguilar
Página 26
I: Introducción a la auditoría informática Normas Generales y Técnicas: El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente por mejorar su competencia y la calidad de sus servicios. Las normas generales y técnicas son reglas de conducta que exigen la observancia de las normas relacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestión técnica contable o de auditoría, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles. Responsabilidades con los clientes: El contador público debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con interés profesional por los intereses de ellos, consecuente con sus responsabilidades para con el público y todo esto lo pondrá de manifiesto a través de independencia, integridad y objetividad. Una responsabilidad fundamental del contador público es la que se refiere a la confidencialidad y al conflicto de intereses. La regla 301 (sección ET 301.01) dice que un miembro “...no revelará información confidencial alguna obtenida en el curso de un trabajo profesional, a menos que el cliente dé su consentimiento”. Necesidad de confidencialidad: Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no el cliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esa decisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria para ser sumamente franco al proporcionar información. Confidencialidad y privilegio: Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es decir, el auditor no debe revelar la información contenida en la comunicación sin el permiso del cliente. Normalmente, sin embargo, esa información no es “privilegiada”. La información es privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella mediante un citatorio u orden de comparecencia. Información Confidencial: Los auditores y su personal tienen iguales responsabilidades que la administración en cuanto al manejo de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienes pudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulaciones generales del código de ética profesional. Conflicto de intereses: El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con más de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre información que tenga valor competitivo es sumamente bajo. Responsabilidades con los colegas: Aunque no hay actualmente reglas de conducta específicas que gobiernan la responsabilidad de un contador público con sus colegas, los conceptos de ética profesional establecen el principio fundamental de cooperación y buenas relaciones entre los miembros de la profesión. La sección ET 55.01 expresa que un contador debe “tratar con sus colegas en forma de que no disminuya su M.C. Gabriel Huesca Aguilar
Página 27
I: Introducción a la auditoría informática reputación y bienestar”. Además, al ofrecer sus servicios, no tratará de desplazar a otro contador en forma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, sus acciones deben estar gobernadas por la cortesía profesional debida a los colegas. Responsabilidad legal Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones legales. Amanera de síntesis se trata de dar una idea de este tema a continuación: Responsabilidad ante los clientes: El auditor tiene una relación contractual “de carácter derivado” con su cliente; en esta circunstancia es claro, de acuerdo con el derecho común, que el profesional es responsable ante su cliente por negligencia en grado simple y, en consecuencia, también lo será por negligencia en grado grave o por fraude. Por muchos años los auditores han tenido buen cuidado de hacer saber claramente a sus clientes que una auditoria normal de estados financieros no lleva la intención de descubrir desfalcos e irregularidades similares y así, el no hacerlo no puede ser motivo para demandarlo según la “Responsabilidad por fraudes y actos ilegales”. Responsabilidad ante terceras personas: El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas (y algunas veces innumerables), de quienes el auditor no tiene razón para sospechar que contarán con los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importante política del Estado de proteger a todas esas terceras personas que confían en los estados financieros dictaminados contra los efectos adversos de la práctica profesional. Recomendaciones El auditor debe realizar procedimientos diseñados a obtener suficiente y apropiada evidencia de auditoría, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido identificados. Ciertos eventos y transacciones que ocurren después de cada fin de año, deben ser examinados como parte del trabajo normal de verificación de auditoría. Además debe de llevar a cabo una revisión completamente documentada, de eventos subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos los eventos importantes han sido identificados y expuestos o registrados en los estados financieros. La revisión debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del informe de auditoría, hablando con la gerencia y realizando pruebas futuras de ser necesario. Todos los procedimientos de auditoría emprendidos y las conclusiones alcanzadas deben estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones. Conclusión El auditor tiene la responsabilidad de mantener en completa integridad y objetividad la información que se le a dado de manera confidencial para poder llevar a cabo los requerimientos que se le han asignados y ofrecer una mejor calidad de sus servicios con el fin de que la organización donde está desempeñando su labor quede conforme. Y obtener evidencia suficiente, confiable y útil para lograr de manera eficaz los objetivos de la auditoria. Y tener responsabilidades que estén claramente comprendidas en las estipulaciones generales del código de la ética profesional e inculcar normas generales y técnicas de su competencia.
M.C. Gabriel Huesca Aguilar
Página 28
I: Introducción a la auditoría informática EC06: Los auditores
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: _38______ Instrucciones: Después de haber leído con atención la lectura anterior elabora un es esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la información presentada.
M.C. Gabriel Huesca Aguilar
Página 29
I: Introducción a la auditoría informática
PRINCIPIOS DEONTOLÓGICOS APLICABLES A LOS AUDITORES INFORMÁTICOS Principio de beneficio del Auditado. El auditor deberá obtener la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar sus recomendaciones acerca del reforzamiento del sistema informático y el estudio de las soluciones idóneas, siempre y cuando dichas soluciones no se contrapongan a los diferentes ordenamientos legales establecidos ni transgredan los principios morales o éticos de las normas deontológicas. Para garantizar el beneficio del auditado así como la necesaria independencia del auditor informático, el auditor no debe estar ligado a los intereses particulares de ciertas firmas, marcas, productos o equipos compatibles con los del cliente, sin hacer comparaciones de las características de los equipos de su cliente con los de otros fabricantes, cuando dichas comparaciones sólo tengan por objeto provocar que su auditado compre dichos productos para el beneficio del auditor informático. El auditor informático deberá abstenerse de hacer recomendaciones de compras onerosas a su cliente o dañinas que originen riesgos innecesarios al auditado. Si el cliente decidiera escoger a otra firma de auditores informáticos, el auditor actual tiene la obligación de proporcionar toda la información de las auditorías previas sin poner en riesgo o se vulneren derechos de terceros protegidos con el secreto profesional que el auditor en todo momento debe guardar. Principio de Calidad. El auditor informático debe prestar sus servicios tomando en consideración todos los medios a su alcance con absoluta libertad y con condiciones técnicas adecuadas para el idóneo cumplimiento de su deber. Si el auditado no le proporcionara auditor informático la información o medios indispensables mínimos para llevar a cabo su trabajo, dicho auditor informático deberá negarse a prestar su servicio profesional, hasta que se le garantice un mínimo de condiciones necesarias técnicas que no comprometa la calidad de los resultados del trabajo del auditor informático. Si el auditor informático considera necesaria la intervención de otros especialistas más calificados sobre algún aspecto en particular, podrán solicitar su dictamen para reforzar la calidad y fiabilidad de su propia auditoría. Principio de capacidad. El auditor informático debe estar perfectamente capacitado profesionalmente para llevar a cabo una auditoría encomendada, inclusive, dada su especialización, a los auditados en algunos casos les puede ser extremadamente difícil verificar sus recomendaciones y evaluar correctamente la precisión de las mismas. El auditor debe estar consciente del alcance de sus conocimientos y de su experiencia profesional y aptitud para llevar a cabo una auditoría informática, evitando que una sobreestimación personal de sus capacidades pudiera provocar el incumplimiento parcial o total de su trabajo, aún cuando dicho incumplimiento no pudiese ser detectado por las personas que lo contrataran dada su ignorancia técnica. El auditor informático siempre deberá estar actualizado profesionalmente para evitar que una obsolescencia en conocimiento de métodos y técnicas pudiesen inhabilitarle para el ejercicio de su profesión como auditor informático. Por lo tanto la conclusión es que el auditor informático siempre debe estar actualizado con los últimos conocimientos de su profesión.
M.C. Gabriel Huesca Aguilar
Página 30
I: Introducción a la auditoría informática Principio de cautela. El auditor informático debe evitar que por un exceso de vanidad personal, el auditado se embarque en proyectos de “nuevas tecnologías” de la información por su supuesta evolución aún no comprobada, por simples intuiciones personales del auditor informático. Por lo tanto el auditor informático debe actuar con humildad, evitando dar la impresión de que está al corriente sobre información privilegiada sobre nuevas tecnologías y poner en peligro a su cliente. Principio de comportamiento profesional. El auditor informático en sus relaciones con el auditado, así como con terceras personas, deberá en todo momento, a actuar conforme a las normas, ya sean, implícitas o explícitas, de dignidad de la profesión y de corrección en el trato personal. Por lo anterior deberá ser muy cuidadoso al emitir sus opiniones y juicios evitando caer en exageraciones o provocando preocupación innecesaria, transmitiendo en todo momento una imagen de precisión y exactitud en sus comentarios que avalen su comportamiento profesional y le den mayor seguridad a sus clientes auditados. Principio de concentración en el trabajo. El auditor tiene que evitar que por un exceso de trabajo afecte su concentración y precisión en cada una de las tareas encomendadas. No debe asumir una acumulación excesiva de trabajo que ponga en riesgo la calidad del mismo. Principio de confianza. El auditor debe incrementar la confianza del auditado en base a una actuación con transparencia en su actividad profesional, sin alardes técnicos o científicos que por su incomprensión para el auditado puedan restarle credibilidad de los resultados obtenidos. El auditor debe mantener una confianza en las indicaciones del auditado, a no ser que encuentra evidencia que las contradiga, confirmándolo personalmente con el auditado. Principio de criterio propio. El auditor no debe estar supeditado a criterios de terceros, aunque éstos tengan gran prestigio y no coincidan con la opinión del auditor informático. El auditor informático debe basarse en metodologías sustentables. Si el auditado se niega a seguir sus sugerencias, el auditor informático debe pensar seriamente en suspender su servicio profesional. Principio de discreción. El auditor informático bajo ninguna circunstancia podrá divulgar datos aparentemente sin importancia, que haya conocido en el transcurso de la auditoría. Principio de economía. Es una obligación del auditor informático proteger la parte económica del auditado evitando generarle gastos innecesarios en el ejercicio de su actividad. Tampoco por el simple hecho de cobrar más dinero podrá alargar innecesariamente su trabajo de auditoría. Tampoco podrá incurrir en gastos no justificados, ni inducir al cliente a erogarlos. Principio de formación continuada. Este principio está ligado al principio de capacidad profesional y estrechamente relacionado con la continua evolución de las tecnologías de información. En otras palabras este principio exige al auditor a mantenerse continuamente actualizado Principio de fortalecimiento y respeto de la profesión. Este principio exige un gran respeto al ejercicio de la profesión de auditoría informática, con un comportamiento que conlleve al idóneo cumplimiento de su trabajo. De acuerdo con el principio de defensa de la profesión de los auditores, los mismos deberán cuidar del reconocimiento del valor de su trabajo y de la correcta valoración de la importancia de los resultados obtenidos en el mismo. En cuanto a la remuneración económica del auditor informático, ésta debe de ir de acuerdo a su experiencia profesional, evitando cobrar honorarios desproporcionados exageradamente o abusivos. M.C. Gabriel Huesca Aguilar
Página 31
I: Introducción a la auditoría informática El auditor no puede competir deslealmente con colegas de profesión “abaratando” sus servicios de manera intencional Para poder “atrapar” a un cliente con sus servicios profesionales. En ningún momento podrá confrontarse con colegas, sino promover el respeto mutuo. Sin embargo sí es obligación en caso de prácticas desleales de sus colegas denunciados para así poder proteger a su profesión y evitar caer en un desprestigio por deshonestos profesionistas informáticos. Principio de independencia. Este principio validado con el principio de criterio propio, que exige una total autonomía en el ejercicio de su trabajo, sin influencias que pueden demeritarlo. Este principio garantiza al auditado que los intereses del propio auditado serán asumidos con gran objetividad profesional. Esta independencia implica que debe rechazar aquellos criterios profesionales con los que no esté plenamente de acuerdo. Principio de información suficiente. Es obligación profesional del auditor informático dar a conocer a su auditado en forma clara, precisa y pormenorizada todos y cada uno de los trabajos llevados a cabo durante la auditoría que puedan ser de interés para dicho auditado. Esta información es aquella que considere el auditor de interés o seguridad para su cliente. No debe proporcionar autopropaganda o inducir al cliente al que fije su mirada en datos comerciales no pertinentes o bien justificar la ausencia de determinadas precisiones que sean importantes aportando otras de menor interés y de más fácil elaboración para el auditor. Con sus conclusiones, el auditor debe poner de manifiesto los errores observados y Las líneas de acción recomendadas. Principio de integridad moral. Este principio está ligado a la educación moral y a la dignidad del auditor informático, debiendo ajustarse a las normas morales de justicia, probidad y evitar voluntaria o involuntariamente caer en actos de corrupción personal o de terceras personas. El auditor no de utilizar sus conocimientos profesionales para utilizarlos en contra de su auditado o de terceras personas relacionadas con su cliente. Durante la auditoría, el auditor informático debe emplear la máxima diligencia, dedicación y precisión, utilizando para ello todo su saber y entender profesional y moral. Principio de legalidad. En todo momento el auditor informático debe utilizar sus conocimientos para facilitar a sus auditados para evitar caer en contraposición con las disposiciones legales vigentes. No podrá desactivar dispositivos de seguridad, ni tampoco podrá intentar obtener códigos, claves, passwords, a sectores restringidos de información elaborados para proteger derechos, obligaciones o intereses de terceros, como lo son el derecho a la intimidad, secreto profesional, propiedad intelectual, etc. Tampoco podrá intervenir líneas de comunicación o controlar actividades que puedan generar vulneración a los derechos personales o empresariales dignos de protección. Principio de libre competencia. El auditor informático debe trabajar en un mercado de libre competencia, evitando llevar a cabo prácticas desleales para atacar a sus competidores para tener un beneficio propio y en contra de los intereses de sus auditados. El auditor informático no debe aprovecharse indebidamente del trabajo y reputación de otros profesionistas en su propio beneficio, ni tampoco debe confundir a los demandantes de dichos servicios mediante antigüedades, insinuaciones, que sólo tengan por objeto enmascarar la calidad y confiabilidad de la oferta.
M.C. Gabriel Huesca Aguilar
Página 32
I: Introducción a la auditoría informática Principio de no discriminación. El auditor informático, antes, durante y posterior a su auditoría, deberá evitar a toda costa inducir, participar o aceptar situaciones discriminatorias de ningún tipo, manteniendo en todo momento una igualdad en su trato profesional con la totalidad de personas, con las que en virtud de su trabajo tenga que relacionarse con independencia de categoría, estatus empresarial o profesional, etc. Principio de no injerencia. El auditor informático no podrá tener injerencia en el trabajo de otros profesionales, debiendo respetar su trabajo, evitando hacer comentarios que pudieran interpretarse como de desprecio o provocar desprestigio profesional a otros, a menos de que las actitudes de otros profesionales sean fraudulentas o vayan en contra de la ley. Tampoco puede aprovechar los datos obtenidos de su cliente para utilizarlos como una competencia desleal. Principio de precisión. Este principio está íntimamente relacionado con el principio de calidad. El auditor informático no puede concluir su trabajo hasta que no esté plenamente convencido de la viabilidad de sus propuestas, ampliando sus estudios informáticos cuando lo considere necesario, hasta estar totalmente convencido. El auditor sólo podrá indicar como evaluada un área que a través de sus colaboradores o por el mismo haya podido comprobar exhaustivamente, estándole prohibido proporcionar opiniones parciales o sesgadas o recabadas por terceras personas sin que él tenga constancia de ello. Principio de publicidad adecuada. Los anuncios o publicidad de los auditores informáticos deberán ser sobrias, sin ostentaciones o publicidad barata que vayan contra de la ética profesional, o bien publicidad falsa o engañosa que tenga por objeto confundir a los lectores y posibles usuarios de sus servicios profesionales. Debe evitar campañas publicitarias que puedan desvirtuar la realidad de sus servicios profesionales y oscurezcan sus objetivos o prometan resultados de lo imprevisible. Principio de responsabilidad. El auditor informático deberá responsabilizarse de todo su comportamiento profesional en lo que diga, haga o aconseje, evitando se produzcan daños de cualquier tipo para su cliente. Por lo anterior se recomienda la contratación de seguros de responsabilidad civil u otro tipo de seguros con la suficiente cobertura que protejan tanto al cliente como al propio auditor y así poder acrecentar la confianza y solvencia de su actuación profesional. Principio de secreto profesional. La confidencia y confianza del cliente hacia el auditor informático nunca deben ser violadas, obligando al auditor informático en todo momento a guardar en secreto los hechos o información que conozca en el ejercicio de su actividad profesional, siendo la única excepción a este principio un imperativo legal o judicial promovido por el Estado. Es evidente pensar que esta obligación se extiende a todos sus colaboradores. Del mismo modo, este principio aplica a la conservación de la información del auditado en un plazo prudencial, como por ejemplo cinco o 10 años cuando menos. Esta información no incluye por ejemplo sus honorarios, tiempo empleado en la auditoría, pero si se debe mantener en secreto profesional datos técnicos a menos que obtenga la autorización de su auditado por escrito. Principio de servicio público. El auditor informático debe llevar a cabo su trabajo profesional sin perjudicar los intereses de su cliente, con el objeto de evitarle un daño social como el hecho de que descubra software dañinos que puedan ser propagados a otros sistemas informáticos diferentes al del auditado. Es evidente pensar que el auditor tiene la obligación de advertir esta irregularidad a su cliente para que se adopten las medidas necesarias para su prevención. M.C. Gabriel Huesca Aguilar
Página 33
I: Introducción a la auditoría informática El auditor deberá tomar en cuenta sus criterios éticos personales y de la localidad en donde está prestando sus servicios, debiendo advertir de su opinión personal cuando llama contraposición entre lo que él sabe que es correcto y lo que la sociedad permite que se haga. Principio de veracidad. El auditor siempre debe hablar con la verdad en sus criterios, dictámenes, opiniones y consejos, únicamente con los límites impuestos por los deberes de respeto, corrección y secreto profesional. Este principio exige al auditor informático informar a su cliente sobre todo el trabajo relevante realizado, comunicando a través del dictamen sus conclusiones, evitando dar valoraciones personales subjetivas, garantizando siempre el cumplimiento de su obligación de informar verazmente.
EC07: Código de ética de los auditores
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Después de haber leído con atención la lectura anterior analiza cada principio, escoge 5 principios que consideres los más importantes en el desempeño de un auditor informático y elabora una reflexión en donde plasmes los principios que consideraste, porque los consideras importantes y como es que se aplican en tu entorno profesional y cotidiano.
M.C. Gabriel Huesca Aguilar
Página 34
I: Introducción a la auditoría informática EC08: Actividad integradora del bloque
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ 1. Define los siguientes conceptos a. Auditoría b. Informática c. Auditoría informática d. Auditoría Interna e. Auditoría Externa f. Norma g. Regla h. Estándar i. Procedimiento 2. 3. 4. 5.
Menciona las áreas de aplicación de la auditoria informática. Explica al menos 3 áreas de aplicación de la auditoria informática. Define que es el ISO De los siguientes estándares ISO 27000, 27001, 27002, 27006 y 27799, explica: a. Características de la norma b. Campo de aplicación 6. Menciona los tipos de controles que se utilizan en una auditoria informática. 7. Explica la función de al menos 3 controles de la auditoria informática. 8. Explica ampliamente, que es y que hace un auditor. 9. Menciona al menos 3 principios que debe tomar cuenta un auditor en informática. 10. Desarrolla un caso práctico que permita controlar algún área de auditoría informática.
M.C. Gabriel Huesca Aguilar
Página 35
Auditoría Informática por áreas
Bloque II: Planeación de la Auditoría informática
En el Bloque II se aplican las competencias adquiridas anteriormente para definir las etapas de la planeación de una auditoría informática y su importancia para su posterior aplicación con profesionalismo y objetividad.
M.C. Gabriel Huesca Aguilar
Página 36
Auditoría Informática por áreas
Planeando un evento Los alumnos de la licenciatura en informática necesitan demostrar que saben planear un evento por lo que deben entregar dicha planeación en la siguiente clase.
Instrucciones: En equipo de 5 personas analiza la situación planteada y expresa en forma escrita lo que deberías conocer para resolver esta situación, de manera que esta te ayude para elaborar una planeación y una reflexión en la cual respondas a las siguientes preguntas: 1. ¿Han participado todos en el trabajo? 2. ¿Qué problemas se han presentado para organizarse? 3. ¿Ha existido moderador y/o secretario en el grupo? ¿Cómo se le escogió? 4. ¿Qué funciones ha desempeñado cada uno? 5. ¿Con qué método se procedió en el trabajo? 6. ¿De qué medios se han servido para ser más rápidos? 7. ¿Qué hizo que el grupo fuera más lento? ¿Qué dificultó el trabajo? 8. ¿Cómo se pudo haber hecho para aumentar la rapidez? 9. ¿Qué importancia tiene la planeación de las actividades? 10. ¿Qué recomendaciones harían a otros equipos para llevar a cabo dicha planeación?
M.C. Gabriel Huesca Aguilar
Página 37
Auditoría Informática por áreas
Fases de la auditoria Informática4 Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones
Fase I: Conocimientos del Sistema 1.1. Aspectos Legales y Políticas Internas. Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación. 1.2. Características del Sistema Operativo. • Organigrama del área que participa en el sistema • Manual de funciones de las personas que participan en los procesos del sistema • Informes de auditoría realizadas anteriormente. 1.3. Características de la aplicación de computadora • Manual técnico de la aplicación del sistema • Funcionarios (usuarios) autorizados para administrar la aplicación • Equipos utilizados en la aplicación de computadora • Seguridad de la aplicación (claves de acceso) • Procedimientos para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de transacciones y recursos 2.1. Definición de las transacciones. Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en subprocesos. La importancia de las transacciones deberá ser asignada con los administradores. 2.2. Análisis de las transacciones • Establecer el flujo de los documentos En esta etapa se hace uso de los flujogramas ya que facilita la visualización del funcionamiento y recorrido de los procesos. 2.3. Análisis de los recursos • Identificar y codificar los recursos que participan en el sistema 2.4. Relación entre transacciones y recursos
Fase III: Análisis de riesgos y amenazas 3.1. Identificación de riesgos • Daños físicos o destrucción de los recursos • Pérdida por fraude o desfalco • Extravío de documentos fuente, archivos o informes • Robo de dispositivos o medios de almacenamiento • Interrupción de las operaciones del negocio • Pérdida de integridad de los datos • Ineficiencia de operaciones • Errores 3.2. Identificación de las amenazas 4
http://www.mitecnologico.com/Main/FasesAuditoriaInformatica (24/Enero/2012)
M.C. Gabriel Huesca Aguilar
Página 38
Auditoría Informática por áreas • Amenazas sobre los equipos: • Amenazas sobre documentos fuente • Amenazas sobre programas de aplicaciones 3.3. Relación entre recursos/amenazas/riesgos La relación entre estos elementos deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles 4.1. Codificación de controles Los controles se aplican a los diferentes grupos utilizadores de recursos, luego la identificación de los controles debe contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido. 4.2. Relación entre recursos/amenazas/riesgos La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más controles. 4.3. Análisis de cobertura de los controles requeridos Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles 5.1. Objetivos de la evaluación • Verificar la existencia de los controles requeridos • Determinar la operatividad y suficiencia de los controles existentes 5.2. Plan de pruebas de los controles • Incluye la selección del tipo de prueba a realizar. • Debe solicitarse al área respectiva, todos los elementos necesarios de prueba. 5.3. Pruebas de controles 5.4. Análisis de resultados de las pruebas
Fase VI: Informe de Auditoria 6.1. Informe detallado de recomendaciones 6.2. Evaluación de las respuestas 6.3. Informe resumen para la alta gerencia Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas. • Introducción: objetivo y contenido del informe de auditoria • Objetivos de la auditoría • Alcance: cobertura de la evaluación realizada • Opinión: con relación a la suficiencia del control interno del sistema evaluado • Hallazgos • Recomendaciones
Fase VII: Seguimiento de Recomendaciones 7.1. Informes del seguimiento 7.2. Evaluación de los controles implantados Fin de la sesión. Revisión Evaluación Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información Auditoría Informática Objetivos M.C. Gabriel Huesca Aguilar
Página 39
Auditoría Informática por áreas
Presentar recomendaciones en función de las fallas detectadas. Determinar si la información que brindan los Sistemas de Informáticos es útil. Inspeccionar el Desarrollo de los Nuevos Sistemas. Verificar que se cumplan las normas y políticas de los procedimientos.
Tipos Interna: Aplicada con el personal que labora en la empresa. Externa: Se contrata a una firma especializada para realizar la misma. Auditoría Informática Externa Las empresas recurren a la auditoría externa cuando existen: • Síntomas de Descoordinación • Síntomas de Mala Imagen Informática II. Decanato de Administración y Contaduría • Síntomas de Debilidades Económicas • Síntomas de Inseguridad Aspectos Fundamentales en la Auditoría de los Sistemas de Información Informática II. Decanato de Administración y Contaduría Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de evitar un aumento significativo de los costos, así como también insatisfacción de los usuarios. Informática II. Decanato de Administración y Contaduría Auditoría de los Datos de Entrada Se analizará la captura de la información en soporte compatible con los Sistemas, el cumplimiento de plazos y calendarios de tratamientos y entrega de datos; la correcta transmisión de datos entre entornos diferentes. Se verificará que los controles de integridad y calidad de datos se realizan de acuerdo a las Normas establecidas. Auditoría Informática de Sistemas Se audita: Informática II. Decanato de Administración y Contaduría • Sistema Operativo: Verificar si la versión instalada permite el total funcionamiento del software que sobre ella se instala, si no es así determinar la causa • Software de Aplicación: Determinar el uso de las aplicaciones instaladas. • Comunicaciones: Verificar que el uso y el rendimiento de la red sea el más adecuado. Técnicas de Auditoría Existen varias técnicas de Auditoría Informática de Sistemas, entre las cuales se mencionan: • Lotes de Prueba: Transacciones simuladas que se introducen al Sistema a fin de verificar el funcionamiento del mismo. Entre los datos que se deben incluir en una prueba se tienen: • Datos de Excepción. • Datos Ilógicos. • Transacciones Erróneas • Auditoría para el Computador: Permite determinar si el uso de los equipos de computación es el idóneo. Mediante esta técnica, se detectan equipos sobre y subutilizados. • Prueba de Minicompañía: Revisiones periódicas que se realizan a los Sistemas a fin de determinar nuevas necesidades. Peligros Informáticos • Incendios: Los recursos informáticos son muy sensibles a los incendios, como por ejemplo reportes impresos, cintas, discos. • Inundaciones: Se recomienda que el Departamento de computación se encuentre en un nivel alto. La Planta Baja y el Sótano son lugares propensos a las inundaciones. • Robos: Fuga de la información confidencial de la empresa. • Fraudes: Modificaciones de los datos dependiendo de intereses particulares. Medidas de Contingencia Mecanismos utilizados para contrarrestar la pérdida o daños de la información, bien sea intencionales o accidentales. La más utilizada es la Copia de Seguridad (Backup), en la cual se respalda la informa- ción generada en la empresa . Informática II. Decanato de Administración y Contaduría
M.C. Gabriel Huesca Aguilar
Página 40
Auditoría Informática por áreas Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía dependiendo de la importancia de la información que se genere. Backup Se recomienda tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de Administración y Contaduría Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos. Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual forma, el suministro de corriente eléctrica para el área informática, debe ser independiente del resto de las áreas. Informática Medidas de Control y Seguridad Mecanismos utilizados para garantizar la Seguridad Lógica de los Datos. En los Sistemas Multiusuarios se deben restringir el acceso a la Información, mediante un nombre de usuario (login) y una contraseña (password). Del mismo modo, se debe restringir el acceso a los Sistemas en horas no laborables salvo casos excepcionales. La Auditoría Informática es una parte integrante de la auditoría. Se preguntará por que se estudia por separado, pues simplemente para abordar problemas más específicos y para aprovechar los recursos del personal. Sin embargo, es bueno acotar que debe realizarse dentro de un marco de auditoría general. Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a los recursos: a) Tecnológicos. b) Personal. c) Software d) Procedimientos. que se utilizan en los Sistemas de Información manejados en la empresa. En este sentido, se deben revisar y evaluar si se han desarrollado e implementados controles apropiados y adecuados en los sistemas de información. La auditoría Informática va mucho más allá de la simple detección de errores. Si bien es cierto que la Auditoría es un proceso que permite detectar fallas, es menester de la auditoría, el presentar algunas sugerencias que puedan ser aplicadas para evitar de esta manera la repetición de las mismas en un futuro. Básicamente, el objetivo principal de la auditoría informática es garantizar la operatividad de los procesos informáticos. En otras palabras, ofrecer la continuidad los procesos de generación, distribución, uso y respaldo de información dentro de las organizaciones. Ya puede ir formándose una idea entonces de la importancia que tiene la Auditoría Informática (si no es así, ¿le parece poco el hecho de que permita mantener operativo todos los procesos relacionados con el manejo de la información?). Importancia de la Auditoría Informática Tal como se mencionó anteriormente su importancia radica en el hecho de garantizar la operatividad de los procesos informáticos. Del mismo modo, la Auditoría es compatible con la calidad, ya que mediante la auditoría, se buscan implantar mejoras en busca del perfeccionamiento de los procesos, incorporando nuevas técnicas y tecnologías. Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle algo más que una mera definición. Auditoría Interna La auditoría Interna ofrece algunas ventajas en relación a la externa, en primer lugar es menos costosa, puesto que se realiza con el mismo personal, y por otro lado, no se corre el riesgo de que personas extrañas conozcan la información generada dentro de la firma. Sin embargo, tiene sus limitaciones, entre las cuales se mencionan: la poca especialización que tienen los integrantes en la materia conlleva al hecho de que se escapen algunos detalles dentro del proceso (omisión de detección de errores) y por otro lado se corre el riesgo de que se “encubran” deficiencias. Es factible que dentro del proceso de auditoría, las personas no informen de alguna anomalía a fin “de no perjudicar al amigo”. Auditoría Externa
M.C. Gabriel Huesca Aguilar
Página 41
Auditoría Informática por áreas Con este tipo de auditoría existe menor margen de error, puesto que las personas que se encargan de realizarla son especialistas en el área. Entonces, deben ser pocos los errores que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco margen de encubrimiento, ya que son personas ajenas a la firma. Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las empresas, realizar Auditorías Externas periódicamente. Sin embargo, existen algunas razones por las cuales una firma debería contratar los servicios de gente especializada. Tales razones son las mostradas en la lámina, las cuales explicaremos con más detalle a continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de la empresa. En este sentido, es recomendable revisar la gestión de la informática a fin de que la misma esté en función de apoyar al logro de los objetivos. Síntomas de Debilidad Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. De igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal de Informática. Existen quejas de que los programas no funcionan, problemas con la red informática, desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no existe seguridad ni física ni lógica de la información manejada en la empresa. Hasta estos momentos se ha mencionado un poco lo que es la Auditoría Informática, cuales son sus objetivos y su importancia dentro de las organizaciones. Consideramos que ya tiene la base suficiente para adentrarnos entonces en el estudio de la Auditoria Informática. Existen dos enfoques básicos para la Auditoria de Sistemas de Información, conocidos como: Auditoria Alrededor del Computador y Auditoria a través del Computador. Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos de entrada como de salida, sin evaluar el software que procesó los datos. Aunque es muy sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del software utilizado. Es por ello, que se recomienda como un complemento de otros métodos de auditoria. Auditoria a Través del Computador: Comprende la verificación de la integridad del software utilizado, así como también los datos de entrada y la salida generada tanto por las redes y sistemas computacionales. Sin embargo, la auditoria a través del computador requiere de un conocimiento tanto de las redes como del desarrollo de software. Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo de los nuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes, entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho), carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la que se implanta el mismo. En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para la determinación de los requerimientos, las herramientas que se utilizan para la construcción del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es preferible esperar un poco más por un sistema probado y ajustado a las necesidades que querer implantar “en dos días” un software que no ayudará en nada a los procesos empresariales, por el contrario: entorpecerá los mismos. (¿Cuantas veces no le han dicho en la calle como excusa “tenemos problemas con el sistema”?). La materia prima para la generación de la información son los datos de entrada, es por ello que todo proceso de auditoría informática debe contemplar el estudio de los mismos. Bajo esta premisa, es importante llevar un control del origen de los datos que se introducen al sistema y en la medida de lo posible, el responsable de la introducción de los mismos. Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito, retiro, entre otras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene el sistema contra el soporte físico (las planillas). Dicho proceso permite entonces detectar errores de trascripción de datos al Sistema. M.C. Gabriel Huesca Aguilar
Página 42
Auditoría Informática por áreas Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado como un mecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede determinar un retiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de un estudiante?. Es por ello que todas las organizaciones deben contar con mecanismos apropiados que permitan auditar los datos de entrada.de los sistemas informáticos. Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las herramientas informáticas que se utilizan dentro de la firma, a fin de verificar que se adecuen a las necesidades del negocio. Es importante señalar que dicha revisión no debe limitarse únicamente al hardware, por el contrario, se debe incluir también la revisión tanto del software instalado como la red informática existente. Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo no escapa de dicha situación. En este sentido, es conveniente que se cuente con una versión que permita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por ejemplo en el caso específico del Sistema Operativo Windows, es inusual que se labore con la versión 3.11 para grupos de trabajo, en tal caso, como mínimo Windows 98 o Windows NT 4.0. Del mismo modo se debe auditar la red informática instalada, entre otras cosas para observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas) y verificar que se cumplan con las políticas y estándares establecidos para la red. ¿Y la Auditoría de las aplicaciones?. Pues la exposición se detallará en las láminas subsiguientes. La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser. La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de verificar que arroje el resultado esperado. Va mucho más allá. En primer lugar, la prueba del Sistema no debe ser efectuada por los programadores, ya que éstos conocen los “trucos del sistema”, e inconscientemente introducirán datos que no harán fallar a la aplicación, razón por la cual se recomienda la designación de un equipo responsable para la misma. Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste en un conjunto de datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los resultados de dichos datos se deben conocer con antelación a fin de que puedan ser cotejados contra los que arroja el sistema. En toda batería de prueba aparte de las transacciones comunes, se debe contar con: Datos de Excepción: Aquellos que rompen con la regla establecida. Se deben incluir dichos datos a fin de determinar si el sistema contempla las excepciones. Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a fin de determinar si el sistema posee los mecanismos de validación adecuados que impidan el procesamiento de los mismos. Datos Erróneos: Son aquellos que no están acordes con la realidad. El sistema no está en capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la transacción. Auditoría para el Computador Es importante determinar el uso de las computadoras. Esto a fin de verificar que no existan computadores sobre o subutilizados. Por ejemplo, suponga el caso de un computador con la configuración más actualizada que esté siendo empleado únicamente como terminal del sistema de facturación de la empresa, por supuesto, es fácil deducir que no se está aprovechando al máximo las bondades del equipo. Ahora suponga la contrario, es decir, que exista un equipo con mediana capacidad en donde se manejen todas las aplicaciones Office (Word, Excel y Power Point) y se ejecuten algunos Sistemas Informáticos propios de la empresa. ¿Está subutilizado?. La aplicación de dicha técnica no reviste de mayor complicación, lo que se hace es anotar la configuración del equipo y las actividades que se realizan en él, a fin de determinar si tal configuración está acorde con lo que se realiza en él. Con esto se logran varias cosas: primero, se determinan los equipos candidatos a ser sustituidos o repotenciados y segundo, ofrece un mecanismo para una futura de reasignación de equipos de acuerdo a las necesidades existentes. M.C. Gabriel Huesca Aguilar
Página 43
Auditoría Informática por áreas ¿Qué problema coyuntural cree usted que pueda ocurrir al aplicar dicha técnica?. Piense un poco, de todos modos si no lo logra determinar, en dos láminas más encontrarás la respuesta. Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la Auditoria pude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una inundación?, no veo cómo”. Si esa es su manera de pensar, pues le diremos que está en lo cierto. Aquí no le vamos a decir cómo evitar incendios o inundaciones. Sino más bien de que tome conciencia de las cosas que puede pasar dentro de una empresa. Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es crear conciencia, de los peligros que existen, que ninguna organización está exenta de ellos y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto es precisamente lo próximo que se va a exponer a continuación. Respuesta a la Pregunta Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una persona con un equipo muy potente pero subutilizado, no estará muy conforme que le reasignen un equipo de menor potencia). Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos compete exclusivamente la contingencia de la información. Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea la causa, lo importante en este momento (claro, es importante determinar a que obedeció el problema) es disponer algún mecanismo que nos permita obtener la información sin errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de que se dañe la información original, se recurre entonces al respaldo el cual contiene la información libre de errores. Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso de pérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es suficiente realizar las copias de seguridad diariamente, así en caso de ocurrir algún imprevisto, se perderá tan solo un día de trabajo. Tal concepción puede funcionar para muchas organizaciones, pero no para todas, para un banco sería catastrófico perder la información de todas las transacciones de un día, caso contrario ocurre en una organización donde la información no varíe con tanta frecuencia, en la cual no tendría mucho sentido respaldarla diariamente. Independientemente de la frecuencia con la cual se haga, es recomendable tener como mínimo dos (2) copias de seguridad, una permanecerá dentro de la empresa y la otra fuera de ella. Así en caso de que se pierda la información se pueda acceder a la copia que está dentro de la empresa. ¿Y para qué la otra copia?. Recuerde los peligros informáticos, los incendios, las inundaciones. En caso de que se incendie el edificio, se perdería el original y una copia, pero se tendrá acceso a la que está fuera de la empresa. A lo mejor usted dirá: “¿qué gracia tiene tener otro respaldo si se quemó el edificio de la empresa?”. Suponga que dicho edificio sea de la Sucursal de un Banco, lo más seguro que al día siguiente, los clientes estarán preguntando qué pasará con sus ahorros. ¿Ahora si le encuentra sentido?. ¿Nota la importancia de la información sobre otros activos?. Un edificio se recupera, la información de toda la empresa no. Deben existir medidas que impidan la pérdida de información, ocasionada por averías en los equipos (Seguridad Física). Si bien es cierto que los computadores no están exentos de sufrir algún desperfecto (es por ello que existen las copias de seguridad), es recomendable diseñar normas para disminuir tales amenazas. Una de las principales causales de pérdida de información, son las bajas de energía. Es por ello que deben estar conectados a un UPS todos los equipos en donde se genere información crítica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que ofrece corriente alterna por un período de tiempo (depende de las especificaciones del equipo, los hay de 5 minutos hasta casi dos horas). De M.C. Gabriel Huesca Aguilar
Página 44
Auditoría Informática por áreas acuerdo a lo anterior, se deduce entonces su importancia: primero, permite completar transacciones inconclusas en el momento del fallo de energía y segundo permite guardar la información y apagar el equipo con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una toma independiente de corriente para el área informática. ¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento de Computación debe estar ubicados en las zonas más altas del edificio, puesto que tanto los sótanos como los primeros pisos son los más propensos a inundarse. Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy comunes hoy en día), es por ello que se diseñan medidas que permitan garantizar la integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica). El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder a la misma información (no todos pueden manipular la nómina de la empresa). para ello se restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas, así cuando una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá manipular únicamente lo que tenga autorizado. En este sentido, se debe tener un control de los usuarios que entran al sistema (existen muchos sistemas operativos que lo hacen de manera automática), es por ello que no se debe divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta González tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por favor su nombre de usuario, porque “necesita hacer algunas cosas con su módulo”, (Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurrió un problema con dicha información ¿a quién reporta el sistema como responsable?. Sencillo, al usuario que accedió al Sistema, en este caso mgonz128a que pertenece a Marta González. De igual forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor número intento de fraudes ocurre durante dicho período (por lo general en horas de la madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudes informáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han violado la seguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye el riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
M.C. Gabriel Huesca Aguilar
Página 45
Auditoría Informática por áreas EC09: Fases de la auditoría informática
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Realiza la lectura Fases de la auditoría informática que viene en las páginas 38 a la 45 del documento de apoyo y contesta las siguientes preguntas: 1. ¿Cuantas y cuáles son las fases de la auditoría informática? 2. De acuerdo a la fase I, explica con tus propias palabras cual es el objetivo general de esta fase. 3. ¿Para qué sirve el uso de flujogramas? 4. De acuerdo a la fase III escoge 5 puntos que te llamen la atención y explica que son y porque te son importantes para ti. 5. De acuerdo a la fase IV, explica con tus propias palabras cual es el objetivo general de esta fase y explica cómo se divide. 6. En la fase VI, establece que el informe de auditoría debe contener 6 puntos, menciona cuales son estos puntos y explica porque crees que es importante cada uno de ellos. 7. Menciona los peligros informáticos. 8. Menciona las medidas de contingencia para evitar la pérdida de información. 9. Menciona porque es importante llevar un control de los datos que ingresan al sistema. 10. ¿Porque es importante el uso de las computadoras (utiliza un ejemplo)? 11. ¿Cuál es el riesgo que existe en sistemas multiusuarios?
M.C. Gabriel Huesca Aguilar
Página 46
Auditoría Informática por áreas EC10: Planeación de la auditoría Nombre: _________________________________________
Fecha: ___/_____/201___ Grupo: _38___
Instrucciones: Completa la siguiente nota:
Equipo: _____________________________________________________ Integrantes: 1.2.3.Empresa donde se realizara la auditoria:
Giro de la empresa (Actividad principal):
Domicilio:
Misión y visión (En caso de tener la información del mismo).
M.C. Gabriel Huesca Aguilar
Página 47
Auditoría Informática por áreas EC11: Revisión preliminar Equipo : __________________________________________
Fecha: ___/_____/2012 Grupo: _38___
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y personal que lo opera sin trabajar porque esto le genera pérdidas sustanciosas), herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria. Instrucciones: A continuación vamos a elaborar la revisión preliminar contestando las siguientes preguntas y realizando lo indicado. 1. 2. 3. 4. 5.
¿Cuáles son los objetivos de la auditoria a realizar? ¿Existe algún área específica que necesita auditoria? ¿De cuánto tiempo se dispone para realizar la auditoria informática? Realiza un análisis de tareas importantes y esenciales para la auditoria. Elabora los formatos necesarios para recopilar información (utilizando diferentes técnicas para llevarlo a cabo).
M.C. Gabriel Huesca Aguilar
Página 48
Auditoría Informática por áreas EC12: Revisión detallada Equipo : __________________________________________
Fecha: ___/_____/2012 Grupo: _38___
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. El auditor debe de decidir se debe continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a revisión con los usuarios (pruebas compensatorias) o a las pruebas sustantivas. Instrucciones: A continuación vamos a elaborar la revisión detallada realizando las siguientes actividades. 1. 2. 3. 4. 5. 6.
7. 8.
Realiza el organigrama de la empresa que vas a auditar Realiza el organigrama del depto. de informática en la empresa que vas a auditar. Organiza y reconoce los flujos de Información en la empresa auditada. Especifica las tareas de cada auditor en el área correspondiente y los tiempos necesarios para realizarlos. Realiza un análisis de tareas importantes y esenciales para la auditoria. Elabora el acta de inicio de la auditoria de acuerdo a lo establecido en el documento Guía de auditoría (Anexo02) en la siguiente dirección electrónica: http://www.funcionpublica.gob.mx/pt/obligaciones_transparencia_art_7/sfp/doctos/guia _auditoria.pdf Elabora el acta de planeación de la auditoria (página 22) Elabora el cronograma de actividades. (página 26)
M.C. Gabriel Huesca Aguilar
Página 49
Auditoría Informática por áreas EC13: Auditoría física Equipo : __________________________________________
Fecha: ___/_____/2012 Grupo: _38___
La Auditoria Física no se limita a comparar solo la existencia de los medios físicos, sino también su funcionalidad, racionalidad y seguridad. La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales del Objeto a analizar. Instrucciones: A continuación vamos a elaborar la planeación de la esta fase realizando las siguientes actividades. 1. Elabora un formato para verificar las instalaciones de la empresa donde estas llevando la auditoria, incluyendo entre estos (Dirección física, ubicación en el mapa, edificios que le rodea por los 4 puntos cardinales, etc). 2. Elabora un formato para verificar la distribución de los departamentos. 3. Elabora un formato para verificar el equipo de seguridad con los que cuenta tales como botiquines, extinguidores, luces de emergencia etc. 4. Elabora un formato para verificar la señalización con la que cuenta la empresa auditada tales como: direcciones de salida, emergencia, escape, riesgo eléctrico, zona de evacuación etc. 5. Identifica los formatos de inventario físico, de recursos informáticos y de aplicaciones en la organización seleccionada.
M.C. Gabriel Huesca Aguilar
Página 50
Auditoría Informática por áreas
Marcas de Auditoría5 Las marcas de auditoría son signos que utiliza el auditor para señalar el tipo de procedimiento que está aplicando, simplificando con ello su papel de trabajo. A continuación se presentan las marcas más comunes que se utilizan en el trabajo de auditoría; sin embargo, pueden ser utilizadas otras marcas, mismas que deberán ser definidas al calce de la cédula o en una “cédula de marcas” al final del expediente, que permita su fácil consulta.
5
Guía de auditoria
M.C. Gabriel Huesca Aguilar
Página 51
Auditoría Informática por áreas
Adicionalmente a las marcas descritas, existe el uso de conectores y notas que permiten al auditor referenciar y comentar la información contenida en sus papeles de trabajo:
Los conectores son números arábigos encerrados en círculo con una flecha que indica la dirección donde se encuentra el conector correspondiente y se utiliza para identificar dos datos o cifras en una cédula que dependen uno de otro, haciendo referencia en todos los casos al mismo dato o cifra, pero con diferentes niveles de desagregación. Por su parte, las notas son referencias alfabéticas dentro del papel de trabajo, que son explicadas al calce de la cédula. Se utilizan para ampliar, explicar o hacer alguna acotación sobre un dato, cifra o elemento incluido en la cédula.
M.C. Gabriel Huesca Aguilar
Página 52
Auditoría Informática por áreas EC14: Marcas de auditoria Equipo : __________________________________________
Fecha: ___/_____/2012 Grupo: _38___
Las marcas de auditoría son signos que utiliza el auditor para señalar el tipo de procedimiento que está aplicando, simplificando con ello su papel de trabajo. Instrucciones: A continuación realiza las siguientes actividades. 1. Elabora una lista de marcas que serán necesarias utilizar en la tarea de la auditoria que planean realizar. 2. Comenta con tu equipo las marcas comunes que van a realizar de manera que se tengan todas las marcas de auditoría en un solo documento. 3. Elabora en forma individual un cuestionario que conocer las diferentes formas y procedimientos para llevar a cabo la tarea que te corresponde auditar, de manera que se establezca claramente. A. Objetivo de la tarea B. A quien va dirigido C. Quien es el responsable D. Tiempos que se utilizan E. Formas para controlar F. Quien revisa las actividades G. Alguna otra información importante
M.C. Gabriel Huesca Aguilar
Página 53
Auditoría Informática por áreas
Bloque III: Auditoría Informática por áreas
En este bloque se utilizan técnicas de recopilación de información para que permitan dar al auditor información de apoyo de cada área que sea objeto de la auditoria y Evaluar la evidencia recabada durante la auditoria con el fin de elaborar un dictamen sobre las vulnerabilidades y fortalezas detectadas y presentar recomendaciones de una manera profesional, objetiva y honesta. M.C. Gabriel Huesca Aguilar
Página 54
Auditoría Informática por áreas
Informe Final de auditoria El informe final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: A. Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real B. Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. C. Puntos débiles y amenazas. D. Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. E. Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de la exposición del informe final: El informe debe incluir solamente hechos importantes (La inclusión de hechos poco relevantes o accesorios desvía la atención del lector). El Informe debe consolidar los hechos que se describen en el mismo. El término de “hechos consolidados” adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. No deben existir alternativas viables que superen al cambio propuesto. La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación.
M.C. Gabriel Huesca Aguilar
Página 55
Auditoría Informática por áreas La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad: 1. Hecho encontrado. Ha de ser relevante para el auditor y pera el cliente. Ha de ser exacto, y además convincente. No deben existir hechos repetidos. 2. Consecuencias del hecho Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3. Repercusión del hecho Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. 4. Conclusión del hecho No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. 5. Recomendación del auditor informático Deberá entenderse por sí sola, por simple lectura. Deberá estar suficientemente soportada en el propio texto. Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Carta de introducción o presentación del informe final: La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 folios. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.
M.C. Gabriel Huesca Aguilar
Página 56
Auditoría Informática por áreas EC21: El informe final
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: __________ Instrucciones: Después de haber leído con atención la lectura anterior y el anexo 02, elabora un es esquema (mapa mental, conceptual, cuadro sinóptico o de doble entrada, etc), acerca de la información presentada.
M.C. Gabriel Huesca Aguilar
Página 57
Auditoría Informática por áreas EC22: Actividad integradora
Fecha: ___/____/201___
Nombre: _____________________________________________ Grupo: _382_ 1. Define los siguientes conceptos a. Auditoría informática b. Planeación c. Planeación de auditoría informática d. Informe final de auditoría informática. 2. Menciona las áreas de aplicación de la auditoría informática. 3. Menciona las 7 fases de la auditoría informática. 4. Explica al menos 3 de las fases de la auditoría informática. 5. Menciona al menos 5 marcas de auditoría que utilizaron en su planeación de auditoría informática. 6. Menciona las partes más importantes que deben aparecer en: a. Acta de planeación de auditoría informática. b. Acta de planeación de auditoría informática. c. Cronograma de actividades 7. Realiza una reflexión acerca de las primeras 4 fases en la que identifiques la importancia de la misma, así como relacionar las tareas de la planeación de auditoría informática, realizada por tu equipo en cada una de las fases 1 a la 4. 8. Menciona la estructura del informe final de auditoría. 9. Explica al menos 2 partes de la estructura del informe final. 10. Explica la estructura de la carta de introducción del informe final de auditoría informática.
M.C. Gabriel Huesca Aguilar
Página 58
Ejecución en informe de auditoria
ANEXOS
M.C. Gabriel Huesca Aguilar
Página 59
Ejecución en informe de auditoria
M.C. Gabriel Huesca Aguilar
Página 60
View more...
Comments