Indice1. Auditoría 2. La función de la auditoría en la organización 3. Tipos y clases de auditoría 4. Sistemas De Información 5. Tendencias que afectan a os sistemas de información 6. Base Conceptual 7. Proceso De Implementación
Papel Del Auditor Informático.- Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que auditor Informático debe estar capacitado en los siguientes aspectos:
- Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. (Ej. Por que está mal el reporte)
- Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
- El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
- El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
- El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
- Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.
- El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto…].
- El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad)
- El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.
2. La función de la auditoría en la organización
Concepto De Auditar Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente. Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos: Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo. Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos). Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseñado.
Auditoría Interna Y Auditoría Externa La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada. Auditoría Interna Existe por expresa decisión de la empresa, es decir que también se puede optar por su disolución en cualquier momento. Auditoría Externa Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado. La auditoria informática tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz político ajena a la propia estrategia y política general de la empresa.
Areas De La Planificación De La Auditoría Las empresas acuden a las auditorias cuando existen algunos síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en algunas clases: Síntomas De Descoordinación Y Desorganización¨ ¨ No coinciden los objetivos de la informática de la compañía¨ ¨ Los estándares de productividad se desvían sencillamente de los promedios habituales. Síntomas De Mala Imagen O Insatisfacción De Los Usuarios¨ ¨ No se atienden a las peticiones de cambio de los usuarios ¨ ¨ No se reparan las averías de HARDWARE ni se resuelven problemas en plazos razonables¨ ¨ No se cumplen los plazos de entregas de resultados Síntomas De Debilidades Económico – Financiero¨ ¨ Incremento desmesurado de costos¨ ¨ Necesidad de justificación de inversiones informáticas ¨ ¨ Desviaciones presupuestarias significativas¨ ¨ Costos y plazos nuevos para proyectos Síntomas De Inseguridad (Evaluación Del Nivel De Riesgo)¨ ¨ Seguridad lógica¨ ¨ Seguridad física¨ ¨ Confidencialidad.- Los datos son de propiedad de la organización que nos genera, los datos de personal son especialmente confidenciales.¨ ¨ Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes de configuración).
Ubicación Y Organización De La Auditoría La ubicación de los procesos auditores dentro de un área de sistemas depende del tipo de auditoria que se desee implementar, Así tenemos que en muchas ocasiones la auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las necesidades de la empresa. La auditoria informática nace de los niveles medios bajos de la empresa . (A nivel de organización la ubicación es medio bajo, medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de auditoría
Auditoria Informática De Explotación La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena)
Auditoria Informática De Desarrollo De Proyectos O AplicacionesLa función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases¨ Prerrequisitos del usuario y del entorno¨ Análisis funcional¨ Diseño¨ Análisis orgánico (preprogramación y programación)¨ Pruebas¨ Explotación
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad debe estar cuadrada)
Auditoria Informática De Sistemas Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado, ancho de banda de una red LAN)
Auditoria Informática De Comunicación Y Redes Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).
Auditoria De La Seguridad InformáticaSe debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
Los Sistemas De Información Y Su Alcance Se entiende por un sistema de información al conjunto de normas, procedimientos y demás parámetros que forman la información general de una empresa o institución. En un sistema de información se pueden visualizar algunos componentes tales como:
- El nombre del sistema,
- Nombre de macros del sistema
- Software base
- Lenguajes de programación
- Paquetes,
- Unidades o departamentos que utilizan la información,
- Volúmenes de archivos que se utilizan diariamente (Semanal, mensual, etc.)
- Requerimientos mínimos de los equipos (En muchos de los casos sí es un software)
- Fechas críticas
- Ingreso de información
- Flujo de información
- Egresos de información
5. Tendencias que afectan a os sistemas de información
Al considerar un Sistema de Información como un conjunto de normas y procesos generales de una determinada, se deben considerar algunos puntos negativos y positivos que afectan directamente al sistema así por ejemplo:
- Actualizaciones: Se refiere a que los sistemas de información de cualquier empresa, debe ser revisado periódicamente; no con una frecuencia continua, si no mas bien espaciada, se recomienda las revisiones bi – anuales (No se recomienda que se actualice en una empresa paulatinamente, por ejemplo el software, cuadros estadísticos, es recomendable dentro de un año cambiarlo, todo lo que es máquinas y software; por que si no realizaríamos esto, se cambiaría toda la estructura organizacional de la misma).
- Reestructuración Organizacional (Puede ser una reestructuración con los mismos puestos) Una reestructuración organizacional con cualquier empresa, implica cambios siempre en vista a buscar un mejor funcionamiento, evitar la burocracia, agilitar trámites o procesos, la reestructuración puede ser de varios tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos, reestructuración de objetivos, etc. Siempre la reestructuración afecta a los sistemas de información de la empresa.
- Revisión y Valorización del escalafón (No es para bien si no también para mal) La revisión y la revalorización del escalafón se espera que afecte a favor de los sistemas de información de las empresas, si el efecto es contrario el auditor informático deberá emitir un informe del empleado a los empleados (Específicamente de departamentos), que están boicoteando la información de la empresa.
- Cambios en el flujo de Información (Datos para el sistema de Información) Se refiere al cambio de flujo de datos exclusivamente en el área informática, esto afecta directamente en sistema informático y por tanto al sistema de información. En lo que respecta a la Auditoría informática, el efecto puede ser positivo y negativo, dependiendo a los resultados obtenidos en cuanto al proceso de datos (menos seguridad, mas seguridad, backup). Así por ejemplo: Se ha cambiado el flujo de información en el área contable, para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cual ingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un monto bruto y un salario final, esto pasaba a la contadora para que justifique especialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Se considera un nuevo flujo de información, en el cual se ingresan los datos a un sistema informático, y de acuerdo a los parámetros y normas de la empresa el sistema arroja un sueldo líquido a cobrarse, genera automáticamente el reporte, los cheques y el contador solo aprueba este reporte).
(Un ejemplo es cuando existe migración de datos, la información migra o se cambia a otro sistema más sofisticado )
En base al sistema de información el auditor informático realizará su estudio y análisis siguiendo cualquier metodología de trabajo, pero sin desviarse de la base conceptual del sistema de información de la empresa auditada. Si por cualquier circunstancia el auditor informático percibe y por lo menos tiene la idea de que tomó parámetros de que no están presentes en el sistema de información necesariamente deberá volver a empezar (Por ejemplo en el área de redes abarca muchas otras facetas que un auditor no podría conocerlas por lo que se necesita ayuda externa para realizar una buena Auditoría) Conceptualmente los Sistemas de Información, tienen sus base en algunos aspectos de importancia dentro de cualquier empresa: Así por ejemplo:
- Aspectos económicos Se deben considerar los recursos de la empresa, las crisis, el control, etc.
- Aspectos tecnológicos Se refiere al equipo físico dentro de la empresa, se debe considerar el incremento, los cambios, ya sea de software o hardware
- Aspectos sociales Se refiere a mejoras orientadas hacia los empleados de la empresa, así por ejemplo, cursos, capacitación, etc.
- Aspecto político legalSe refiere a las normas y leyes vigentes para las empresas, tanto internas como externas, se debe cuidar, el aspecto legal, especialmente en el Software
- Aspecto AdministrativoSe refiere a la relación a nivel de gerencias, mayor confianza en la tona de posiciones, decisiones o fortunas, siempre a favor de las empresas
Simbología En Los Sistemas De Información Todo sistema de información puede ser representado mediante diagramas, mediante los cuales depende de la complejidad de cada empresa, un ejemplo sencillo puede ser:
Para implementar un sistema de información se puede seguir varios pasos, o metodologías o inclusive se lo puede hacer empíricamente. E n la implementación se considera siempre la implementación del software (es decir dentro de la implementación del sistema de información siempre deberá implementar el software a utilizarse esta empresa).
Así por ejemplo se podrían seguir los siguientes pasos: a.- Recopilación y análisis de datos b.- Selección de datos idóneos a ingresarse o utilizarse c.- Ingreso y manipulación de datos d.- Procesamiento e.- Análisis de resultados
Seguridad De Los Sistema Informáticos Para realizar o evaluar la seguridad en los sistemas, es importante conocer como: desarrollar, ejecutar e implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa planear, organizar, coordinar, dirigir y controlar actividades relacionadas para garantizar la integridad física de los recursos implicados en el departamento informático, así como el resguardo de los activos de la empresa. Un sistema integral de seguridad debe contemplar los siguientes aspectos:
- Definir elementos administrativos
- Definir políticos de seguridad
- Definir elementos a nivel departamental
- Definir elementos a nivel institucional
- Organizar y dividir las responsabilidades
- Prever desastres naturales y causas de descuido del personal de mantenimiento equipo cableado, etc.
Además se debe considerar algunos aspectos extras así por ejemplo: Motivación.-En la cual es conveniente desarrollar métodos de participación reflexionando lo que significa la seguridad y el riesgo, el impacto a nivel empresarial, las responsabilidades individuales, etc. Capacitación general.- Se debe empezar con los ejecutivos de la empresa a fin que conozca la relación entre riesgo, seguridad y la información y su impacto en la empresa. El objetivo debe ser detectar las debilidades y potencialidades de la organización frente al riesgo, en este proceso debe incluir la implantación y la ejecución de planes de contingencia y la simulación de posibles delitos. Capacitación de técnicos.- Es importante formar técnicos encargados de mantener la seguridad como parte fundamental de su trabajo y que este capacitado para capacitar a otras personas, en lo que es la ejecución de medidas preventivas y correctivas. Beneficios de un sistema de seguridad.- Los beneficios de seguridad son inmediatos ya que la organización trabajará sobre una plataforma confiable que se puede reflejar los siguientes aspectos:
- Aumento de la motivación de personal
- Compromiso de la misión y visión
- Aumento de la productividad
- Mejora de las relaciones laborales
- Mejora en los equipos de la institución
Estrategias de protección Toda empresa dentro de su plan anual de actividades debe contemplar un plan estratégico de protección o plan de contingencia sobre su sistema informatico, entendiendose a dicho plan como un conjunto de pasos que se realizan con el propósito de salvaguardar los recursos de la empresa, tanto físico como a nivel lógico. Se puede mencionar algunos puntos importantes que debe contemplar el plan de contingencia, así por ejemplo:
- Actividades antes de un desastre
- Actividades durante el desastre
- Actividades después del desastre
Actividades antes de un desastre
- Planificación de un plan de contingencia (debe contener aspectos relacionados a la prevención de un desastre de cualquier tipo, así por ejemplo sacar respaldos, lugares de evacuación, buscar sitios seguros, prevención contra cortes eléctricos, asignar responsabilidades.
- Simulacros de desastre, se refiere a simular en cada computadora un buen anti virus (actualizable que cubra la mayor cantidad de virus conocidos, que detecte limpie y vacune, que posea un manual de procedimiento, versatilidad residente en memoria).
- Preparar personal calificado de las distintas áreas de seguridad
- Area informatica se refiere a designar 1 o 2 personas para realizar respaldos diarios de la información una o dos personas diferentes para enviar los resultados a sitios seguros.
Area social se refiere a preparar personal que este capacitado para socorrer a loa compañeros en caso de desastre ( debe tener especial cuidado en las personas de la tercera edad). Este personal también deberá capacitarse en el uso de dispositivos o elementos físicos para casos de emergencia (así por ejemplo uso de alarmas contra fuego, uso de bombas de agua , uso de switch de seguridad).
Actividades después del desastre
- Seguir el plan de contingencia
- Sujetarse a las disposiciones dadas por elpersonal calificado para desastres
- Tratar de rescatar la mayor cantidad de información posible en el acto
Actividades después del desastre
- Verificar la calidad e integridad de la información existente (hacer las pruebas sobre los programas que antes del desastre funcionaban correctamente).
- Verificar la calidad e integridad de la información de respaldo
- Verificar la parte física o hadware
- En lo posible volver al estado original de la información antes del desastre
Tipos y clases de auditorias Para cada uno delos tipos de auditoria se pueden especificar áreas especificas en las culaes siempre se debe realizar una auditoria informatica, así tenemos: área interna, área de dirección, área de nivel de usuario y área de seguridad. Área interna – cuando se realiza cualquier tipo de auditoria en el área interna se debe tener presente que solamente se debe auditar al departamento o área en mención sin fijarse en sus correlaciones con otros departamentos. Area de dirección –Se refiere a realizar la auditoria en cualquier tipo a nivel gerencial o de dirección ya sea el departamento o de los departamentos con sus respectivos Inter.-relaciones. Area de usuario – Se refiere a realizar la auditoria a nivel de usuario con todas las Inter.-relaciones que el usuario tenga dentro del departamento o fuera con otros departamentos. Area de seguridad – Cualquiera sea el tipo de auditoria que esta realizando siempre debe fijarse en el área de seguridad la cual constituye pilar fundamental para aprobar o reprobar una auditoria.
Autor:
Wilmer Rolando Zurita Lara