Descargar

Auditoria de Sistemas

Enviado por patricia1078

    Indice1. Introducción 2. Auditoria interna y auditoria externa Hildeya 3. Alcance de la auditoria informática 4. Características de la auditoria tecnológica 5. Tipos y clases de auditorias 6. Revisión de controles de la gestión informática 7. Bibliografia

    1. Introducción

    El trabajo que expondremos a continuación trata sobre "El Auditor frente a la Evolución Tecnológica". En esta práctica estudiaremos varios temas que consideramos son de importancia para nosotros como futuros profesionales en el área de contabilidad. En espera de que dicho tema sea comprendido por todos, a continuación el desarrollo del mismo. A finales del siglo XX, los Sistemas Informáticos se constituyeron en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. La evolución tecnológica hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la tecnología no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. El término de Auditoria se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoria" como sinónimo de que, en dicha entidad, antes de realizarse la auditoria, ya se habían detectado fallas. El concepto de auditoria es mucho más que esto. La palabra auditoria proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. De todo esto sacamos como deducción que la auditoria es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la realización de una auditoria informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la tecnología para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costes. Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:

    • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo. En este caso interviene la Auditoria Informática de Seguridad.
    • Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que terminan perdiendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones independientes. En este caso interviene la Auditoria Informática de Datos.
    • Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados. Estos son solo algunos de los varios inconvenientes que puede presentar un Sistema Informático, por eso, la necesidad de la Auditoria de Sistemas.

    La función auditora debe ser absolutamente independiente; no tiene carácter ejecutivo, ni son vinculantes sus conclusiones. Queda a cargo de la empresa tomar las decisiones pertinentes. La auditoria contiene elementos de análisis, de verificación y de exposición de debilidades y disfunciones. Aunque pueden aparecer sugerencias y planes de acción para eliminar las disfunciones y debilidades antedichas; estas sugerencias plasmadas en el Informe final reciben el nombre de Recomendaciones. Las funciones de análisis y revisión que el auditor informático realiza, puede chocar con la psicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible y, en ocasiones, fundada. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea. Además del chequeo de los Sistemas, el auditor somete al auditado a una serie de cuestionario. Dichos cuestionarios, llamados check List, son guardados celosamente por las empresas auditoras, ya que son activos importantes de su actividad. Las Check List tienen que ser comprendidas por el auditor al pie de la letra, ya que si son mal aplicadas y mal recitadas se pueden llegar a obtener resultados distintos a los esperados por la empresa auditora. La Check List puede llegar a explicar cómo ocurren los hechos pero no por qué ocurren. El cuestionario debe estar subordinado a la regla, a la norma, al método. Sólo una metodología precisa puede desentrañar las causas por las cuales se realizan actividades teóricamente inadecuadas o se omiten otras correctas. El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

    2. Auditoria interna y auditoria externa Hildeya

    Las auditorias pueden clasificarse del siguiente modo.

    • En función del sujeto: interna-externa, pública-privada
    • En función del alcance: totales o completos parciales o de alcance limitado
    • En función del origen del mandato: obligatorias voluntarias
    • En función del objetivo: S.I. datos personales calidad, cuentas fiscal seguridad
    • Según el sector económico: Industria Servicio, etc..

    De acuerdo con esta clasificación, las auditorias del Reglamento de Seguridad de Datos de carácter personal es privada, puede ser interna o externa, su alcance es total en función de las medidas, resulta obligatoria por el origen del mandato y el objetivo viene definido por el tratamiento de datos personales a partir del nivel medio. En relación con el sector económico, afecta de hecho a cualquier entidad de cualquier sector en la que se traten datos personales del nivel correspondiente. Se ha dicho que el dilema sobre el desarrollo de Internet se encuentra entre la Tecnología y los Contenidos. Efectivamente, en los SI existen ambos componentes, que son polifacéticos (también los recursos humanos, los grandes olvidados), y ello obliga a pensar ante el hecho de que en menos de medio siglo se ha pasado de los sistemas manuales al Proceso de Datos/Informática (términos casi equivalentes), y de ahí al complejo TI – S.I. A esto se suma el fenómeno de crecimiento de las grandes corporaciones, que ha provocado una especie de fusión-manía. Sin embargo, hoy en día, tanto en Estados Unidos como en la UE, se considera como esencial para el sistema mantener la competencia. Por tanto, la independencia profesional tiene y va a tener connotaciones muy estrictas, y está claro en todos los casos que la consultoría y la asesoría no pueden ser compatibles con la auditoria, especialmente en lo concerniente a las auditorias obligatorias, incluso aunque se crearan sociedades diferentes dentro del grupo.

    3. Alcance de la auditoria informática

    El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas. Ejemplo: ¿Se someterán los registros grabados a un control de integridad exhaustivo*? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes*? La indefinición de los alcances de la auditoria compromete el éxito de la misma. *Control de integridad de registros: Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado un registro común, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicación no funcionaría como debería. *Control de validación de errores: Se corrobora que el sistema que se aplica para detectar y corregir errores sea eficiente. Hasta aquí.

    4. Características de la auditoria tecnológica

    La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, con sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática. Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas. Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoria de Organización Informática o tecnológica Estos tres tipos de auditorias engloban a las actividades auditoras que se realizan en una auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

    Síntomas de necesidad de una auditoria informática: Las empresas acuden a las auditorias externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

    • Síntomas de descoordinación y desorganización:

    No coinciden los objetivos de la Informática de la Compañía y de la propia Compañía. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente.

    • Síntomas de mala imagen e insatisfacción de los usuarios:

    – No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios de Software en los terminales de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su disposición, etc. – No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente. – No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas y sensibles.

    • Síntomas de debilidades económico-financiero:

    – Incremento desmesurado de costes. – Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones). – Desviaciones Presupuestarias significativas. – Costes y plazos de nuevos proyectos (deben auditarse simultáneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

    • Síntomas de Inseguridad: Evaluación de nivel de riesgos

    – Seguridad Lógica – Seguridad Física – Confidencialidad [Los datos son propiedad inicialmente de la organización que los genera. Los datos de personal son especialmente confidenciales]

    • Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería prácticamente inútil la auditoria. Esa es la razón por la cual, en este caso, el síntoma debe ser sustituido por el mínimo indicio.

    5. Tipos y clases de auditorias

    El departamento de Informática posee una actividad proyectada al exterior, al usuario, aunque el "exterior" siga siendo la misma empresa. He aquí, la Auditoria Informática de Usuario. Se hace esta distinción para contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoria Informática de Actividades Internas. El control del funcionamiento del departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en tanto en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continuado de su Dirección frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoria Informática de Dirección. Estas tres auditorias, mas la auditoria de Seguridad, son las cuatro Áreas Generales de la Auditoria Informática más importantes. Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoria Informática: de Explotación, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoria Informática más importantes.

    Áreas Específicas

    Áreas Generales

    Interna

    Dirección

    Usuario

    Seguridad

    Explotación

    Desarrollo

    Comunicaciones

    Seguridad

    Cada Área Especifica puede ser auditada desde los siguientes criterios generales:

    • Desde su propio funcionamiento interno.
    • Desde el apoyo que recibe de la Dirección y, en sentido ascendente, del grado de cumplimiento de las directrices de ésta.
    • Desde la perspectiva de los usuarios, destinatarios reales de la informática.
    • Desde el punto de vista de la seguridad que ofrece la Informática en general o la rama auditada.

    Estas combinaciones pueden ser ampliadas y reducidas según las características de la empresa auditada.

    6. Revisión de controles de la gestión informática

    Una vez conseguida la Operatividad de los Sistemas, el segundo objetivo de la auditoria es la verificación de la observancia de las normas teóricamente existentes en el departamento de Informática y su coherencia con las del resto de la empresa. Para ello, habrán de revisarse sucesivamente y en este orden:

    1. Las Normas Generales de la Instalación Informática. Se realizará una revisión inicial sin estudiar a fondo las contradicciones que pudieran existir, pero registrando las áreas que carezcan de normativa, y sobre todo verificando que esta Normativa General Informática no está en contradicción con alguna Norma General no informática de la empresa.
    3. Los Procedimientos Generales Informáticos. Se verificará su existencia, al menos en los sectores más importantes. Por ejemplo, la recepción definitiva de las máquinas debería estar firmada por los responsables de Explotación. Tampoco el alta de una nueva Aplicación podría producirse si no existieran los Procedimientos de Backup y Recuperación correspondientes.
    4. Los Procedimientos Específicos Informáticos. Igualmente, se revisara su existencia en las áreas fundamentales. Así, Explotación no debería explotar una Aplicación sin haber exigido a Desarrollo la pertinente documentación. Del mismo modo, deberá comprobarse que los Procedimientos Específicos no se opongan a los Procedimientos Generales. En todos los casos anteriores, a su vez, deberá verificarse que no existe contradicción alguna con la Normativa y los Procedimientos Generales de la propia empresa, a los que la Informática debe estar sometida.

    7. Bibliografia

    Internet Explorer

    • www/altavista.com.do

    Internet Explorer

    • Auditoria un Enfoque Integral O. Ray Whittington/ Kart P. (12ava. Edicion)

     

     

     

     

    Autor:

    Patricia Alcantara