INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se convirtieron en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial como son los sistemas de información de una empresa.
La evolución tecnológica hoy en día, está subsumida en la gestión integral de la empresa y por eso las normas y estándares propiamente informáticos deben estar presentes en ella. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la tecnología no gestiona propiamente la empresa, sino que ayuda a la toma de decisiones, pero no decide por sí misma, sin embargo, actúa como un apoyo dentro de la organización, debido a que a través de una auditoria se monitorea el cumplimiento de los procesos y por ende las normas y procedimientos, en los cuales se basa cada proceso, bien sea administrativo, financiero o de sistema. Permitiendo así cotejar una información veraz, pues esta basada en el resultado del cumplimiento de ciertas normas establecidas dentro de la empresa. Es por eso, que debido a su importancia en el funcionamiento correcto de los procesos dentro de una empresa, existe lo que conocemos hoy en día, como Auditoria de sistemas, basado en el uso de la tecnología informática, para hacer más efectiva y rápida la información.
Las empresas dependen, cada día más, de las computadoras en el logro de sus objetivos y estrategias de negocio. La competencia y el cambio siguen afectando a las empresas y aunque el uso de las Tecnologías de Información les provee competencia, su evolución obliga a su cambio constante para que las empresas mantengan la ventaja competitiva de los avances tecnológicos en el manejo del negocio.
Es por eso, que muchas empresas deben tener como prioridad la auditoría y seguridad informática. Por tratarse de "algo que no se ve a simple vista", las empresas hoy en día destinan presupuesto para mantener niveles mínimos de seguridad en sus instalaciones informáticas. Ya que es mejor invertir a tiempo que hacer "algo" sólo cuándo tienen el problema encima y se deben entregar resultados inmediatos; ya que de lo contrario, cuando se den cuenta que "algo" no funcionó o funcionó mal y no lo previnieron, se les viene encima muchos problemas. No se puede esperar actuar cuando se dan cuenta que alguien violó sus instalaciones y con ello la confidencialidad de su información por no cumplir con los parámetros mínimos de seguridad e integridad. Debido a que no previnieron el hecho, que en ocasiones puede ser tan lamentable al resultar dañada su imagen y su información, ya que se verían afectadas en algunos de los puntos importantes como: Evaluación de controles, Cumplimiento de la metodología., Evaluación de la seguridad en el área informática, Evaluación de suficiencia en los planes de contingencia (Respaldos, prever qué va a pasar si se presentan fallas), utilización de los recursos informáticos (Resguardo y protección de activos), Control de modificación a las aplicaciones existentes (Fraudes y Control a las modificaciones de los programas) entre otros.
AUDITORIA
Evolución de la auditoria
La auditoria es una de las aplicaciones de los principios científicos de la contabilidad, basada en la verificación de los registros patrimoniales de las haciendas, para observar su exactitud; no obstante, este no es su único objetivo.
Su importancia es reconocida desde los tiempos más remotos, teniéndose conocimientos de su existencia ya en las lejanas épocas de la civilización sumeria.
Acreditase, todavía, que el termino auditor evidenciando el titulo del que practica esta técnica, apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.
En diversos países de Europa, durante la edad media, muchas eran las asociaciones profesionales, que se encargaban de ejecuta funciones de auditorias, destacándose entre ellas los consejos Londineses (Inglaterra), en 1.310, el Colegio de Contadores, de Venecia (Italia), 1.581.
La revolución industrial llevada a cabo en la segunda mitad del siglo XVIII, imprimió nuevas direcciones a las técnicas contables, especialmente a la auditoria, pasando a atender las necesidades creadas por la aparición de las grandes empresas (donde la naturaleza es el servicio es prácticamente obligatorio).
Se preanuncio en 1.845 o sea, poco después de penetrar la contabilidad de los dominios científicos y ya el "Railway Companies Consolidation Act" obligada la verificación anual de los balances que debían hacer los auditores.
También en los Estados Unidos de Norteamérica, una importante asociación cuida las normas de auditoria, la cual publicó diversos reglamentos, de los cuales el primero que conocemos data de octubre de 1.939, en tanto otros consolidaron las diversas normas en diciembre de 1.939, marzo de 1.941, junio de 1942 y diciembre de 1.943.
El futuro de nuestro país se prevé para la profesión contable en el sector auditoria es realmente muy grande, razón por la cual deben crearse, en nuestro circulo de enseñanza cátedra para el estudio de la materia, incentivando el aprendizaje y asimismo organizarse cursos similares a los que en otros países se realizan.
Definición de auditoria
Holmes escribe la auditoria como:
"… El examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos."
Objetivo de la auditoria
El objetivo de la Auditoria consiste en apoyar a los miembros de la empresa en el desempeño de sus actividades. Para ello la Auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría e información concerniente a las actividades revisadas.
Finalidad de la auditoria
Los fines de la auditoria son los aspectos bajo los cuales su objeto es observado. Podemos señalar los siguientes:
1. Indagaciones y determinaciones sobre el estado patrimonial.
2. Indagaciones y determinaciones sobre los estados financieros.
3. Indagaciones y determinaciones sobre el estado reditual.
4. Descubrir errores y fraudes.
5. Prevenir los errores y fraudes.
6. Estudios generales sobre casos especiales, tales como:
a. Exámenes de aspectos fiscales y legales.
b. Examen para compra de una empresa( cesión patrimonial).
c. Examen para la determinación de bases de criterios de prorrateo, entre otros.
Clasificación de la auditoria
Auditoria externa
Es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un Contador Público sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento.
Auditoria interna
Es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica.
AUDITORIA ADMINISTRATIVA
Evolución de la auditoria administrativa
Con el propósito de ubicar como se ha ido enriqueciendo a través del tiempo, es conveniente revisar las contribuciones de los autores que han incidido de manera más significativa a lo largo de la historia de la administración.
En el año de 1935, James O. McKinsey, en el seno de la American Economic Association sentó las bases para lo que él llamó "auditoria administrativa", la cual, en sus palabras, consistía en "una evaluación de una empresa en todos sus aspectos, a la luz de su ambiente presente y futuro probable."
Más adelante, en 1953, George R. Terry, en Principios de Administración, señala que "La confrontación periódica de la planeación, organización, ejecución y control administrativos de una compañía, con lo que podría llamar el prototipo de una operación de éxito, es el significado esencial de la auditoría administrativa."
Dos años después, en 1955, Harold Koontz y Ciryl O´Donnell, también en sus Principios de Administración, proponen a la auto-auditoría, como una técnica de control del desempeño total, la cual estaría destinada a "evaluar la posición de la empresa para determinar dónde se encuentra, hacia dónde va con los programas presentes, cuáles deberían ser sus objetivos y si se necesitan planes revisados para alcanzar estos objetivos."
El interés por esta técnica llevan en 1958 a Alfred Klein y Nathan Grabinsky a preparar El Análisis Factorial, obra en cual abordan el estudio de "las causas de una baja productividad para establecer las bases para mejorarla" a través de un método que identifica y cuantifica los factores y funciones que intervienen en la operación de una organización.
Transcurrido un año, en 1959, ocurren dos hechos relevantes que contribuyen a la evolución de la auditoría administrativa: 1) Víctor Lazzaro publica su libro de Sistemas y Procedimientos, en el cual presenta la contribución de William P. Leonard con el nombre de auditoría administrativa y, 2) The American Institute of Management, en el Manual of Excellence Managements integra un método para auditar empresas con y sin fines de lucro, tomando en cuenta su función, estructura, crecimiento, políticas financieras, eficiencia operativa y evaluación administrativa.
El atractivo por el tema se extiende al ámbito académico y, en 1960, Alfonso Mejía Fernández, de la Escuela Nacional de Comercio y Administración de la Universidad Nacional Autónoma de México, en su tesis profesional La Auditoria de las Funciones de la Gerencia de las Empresas, realiza un recuento de los aspectos estructurales y funcionales que el nivel gerencial de las empresas debe contemplar para aplicar una auditoria administrativa.
Para 1962, Roberto Macías Pineda, de la Escuela Superior de Comercio y Administración del Instituto Politécnico Nacional, dentro del programa de doctorado en ciencias administrativas, en la asignatura Teoría de la Administración, destina un espacio para presentar un trabajo de auditoría administrativa.
Por otra parte, en 1964, Manuel D´Azaola S., de la Escuela Nacional de Comercio y Administración de la Universidad Nacional Autónoma de México, en su tesis profesional La Revisión del Proceso Administrativo, considera la necesidad de que las empresas analicen su comportamiento a partir de la revisión de las funciones de dirección, financiamiento, personal, producción, ventas y distribución, así como registro contable y estadístico.
A finales de 1965, Edward F. Norbeck da a conocer su libro Auditoria Administrativa, en donde define el concepto, contenido e instrumentos para aplicar la auditoria. Asimismo, precisa las diferencias entre la auditoría administrativa y la auditoria financiera, y desarrolla los criterios para la integración del equipo de auditores en sus diferentes modalidades.
En 1966, José Antonio Fernández Arena, presenta la primera versión de su texto "La Auditoria Administrativa", en la cual desarrolla un marco comparativo entre diferentes enfoques de la auditoría administrativa, presentando una propuesta a partir de su propia visión de la técnica.
Más adelante, en 1971, se generan dos nuevas contribuciones: Agustín Reyes Ponce, en Administración de Personal, dedica un apartado para tratar el tema, ofreciendo una visión general de la auditoría administrativa, en tanto que William P. Leonard publica Auditoria Administrativa: Evaluación de los Métodos y Eficiencia Administrativos, en donde incorpora los conceptos fundamentales y programas para la ejecución de la auditoría administrativa.
Para 1977, se suman las aportaciones de dos autores en la materia. Patricia Diez de Bonilla en su Manual de Casos Prácticos sobre Auditoria Administrativa, propone aplicaciones viables de llevar a la práctica y, Jorge Álvarez Anguiano, en Apuntes de Auditoria Administrativa incluye un marco metodológico que permite entender la auditoría administrativa de manera por demás accesible.
En 1978, la Asociación Nacional de Licenciados en Administración, difunde el documento Auditoria Administrativa, el cual reúne las normas para su implementación en organizaciones públicas y privadas.
Poco después, en 1984, Robert J. Thierauf presenta Auditoria Administrativa con Cuestionarios de Trabajo, trabajo que introduce a la auditoria administrativa y a la forma de aplicarla sobre una base de preguntas para evaluar las áreas funcionales, ambiente de trabajo y sistemas de información.
En 1988, la oficina de la Contraloría General de los Estados Unidos de Norteamérica prepara las Normas de Auditoría Gubernamental, que son revisadas por la Contraloría Mayor de Hacienda (entidad de la Secretaría de Hacienda y Crédito Público), las cuales contienen los lineamientos generales para la ejecución de auditorias en las oficinas públicas.
Al iniciarse la década de los noventa, la Secretaría de la Contraloría General de la Federación se dio a la tarea de preparar y difundir normas, lineamientos, programas y marcos de actuación para las instituciones, trabajo que, en su situación actual, como Secretaría de Contraloría y Desarrollo Administrativo, continúa ampliando y enriqueciendo.
Según Williams P. Leonard la auditoria administrativa se define como:
"Un examen completo y constructivo de la estructura organizativa de la empresa, institución o departamento gubernamental; o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo que de a sus recursos humanos y materiales".
Objetivos de la auditoria administrativa
Entre los objetivos prioritarios para instrumentarla de manera consistente tenemos los siguientes:
De control.- Destinados a orientar los esfuerzos en su aplicación y poder evaluar el comportamiento organizacional en relación con estándares preestablecidos.
De productividad.- Encauzan las acciones para optimizar el aprovechamiento de los recursos de acuerdo con la dinámica administrativa instituida por la organización.
De organización.- Determinan que su curso apoye la definición de la estructura, competencia, funciones y procesos a través del manejo efectivo de la delegación de autoridad y el trabajo en equipo.
De servicio.- Representan la manera en que se puede constatar que la organización está inmersa en un proceso que la vincula cuantitativa y cualitativamente con las expectativas y satisfacción de sus clientes.
De calidad.- Disponen que tienda a elevar los niveles de actuación de la organización en todos sus contenidos y ámbitos, para que produzca bienes y servicios altamente competitivos.
De cambio.- La transforman en un instrumento que hace más permeable y receptiva a la organización.
De aprendizaje.- Permiten que se transforme en un mecanismo de aprendizaje institucional para que la organización pueda asimilar sus experiencias y las capitalice para convertirlas en oportunidades de mejora.
De toma de decisiones.- Traducen su puesta en práctica y resultados en un sólido instrumento de soporte al proceso de gestión de la organización.
EL AUDITOR
Es aquella persona profesional, que se dedica a trabajos de auditoria habitualmente con libre ejercicio de una ocupación técnica.
Funciones generales del auditor:
Para ordenar e imprimir cohesión a su labor, el auditor cuenta con un una serie de funciones tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una organización.
Las funciones tipo del auditor son:
• Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y programas de trabajo.
• Desarrollar el programa de trabajo de una auditoria.
• Definir los objetivos, alcance y metodología para instrumentar una auditoria.
• Captar la información necesaria para evaluar la funcionalidad y efectividad de los procesos, funciones y sistemas utilizados.
• Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.
• Diagnosticar sobre los métodos de operación y los sistemas de información.
• Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
• Respetar las normas de actuación dictadas por los grupos de filiación, corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras.
• Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la efectividad de la organización
• Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y niveles
• Revisar el flujo de datos y formas.
• Considerar las variables ambientales y económicas que inciden en el funcionamiento de la organización.
• Analizar la distribución del espacio y el empleo de equipos de oficina.
• Evaluar los registros contables e información financiera.
• Mantener el nivel de actuación a través de una interacción y revisión continua de avances.
• Proponer los elementos de tecnología de punta requeridos para impulsar el cambio organizacional.
• Diseñar y preparar los reportes de avance e informes de una auditoria.
AUDITORIA DE SISTEMAS
La palabra auditoria viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Objetivos generales de una auditoria de sistemas
• Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD
• Incrementar la satisfacción de los usuarios de los sistemas computarizados
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
• Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
• Seguridad de personal, datos, hardware, software e instalaciones
• Apoyo de función informática a las metas y objetivos de la organización
• Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático
• Minimizar existencias de riesgos en el uso de Tecnología de información
• Decisiones de inversión y gastos innecesarios
• Capacitación y educación sobre controles en los Sistemas de Información
Objetivos específicos de la auditoria de sistemas:
1. Participación en el desarrollo de nuevos sistemas:
a. Evaluación de controles
b. Cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
a. Respaldos, prever qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
a. Resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
a. Fraudes
b. Control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
a. Utilitarios.
b. Control sobre la utilización de los sistemas operativos
c. Programas utilitarios.
8. Auditoría de la base de datos.
a. Estructura sobre la cual se desarrollan las aplicaciones.
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoria de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
Fines de la auditoria de sistemas:
1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.
Tipos de auditoria
La auditoria se clasifica en Auditoria Financiera y Operativa. Los servicios de auditoría pueden ser de distinta índole:
Auditoría de seguridad interna. En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno
Auditoría de seguridad perimetral. En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores
Test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
Análisis forense. El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
Auditoria de páginas web. Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
Auditoria de código de aplicaciones. Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado
Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoría.
Justificativos para efectuar una auditoria de sistemas
• Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos).
• Desconocimiento en el nivel directivo de la situación informática de la empresa.
• Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
• Descubrimiento de fraudes efectuados con el computador.
• Falta de una planificación informática.
• Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano.
• Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados.
• Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción.
Pasos a seguir para implementar auditoría en un sistema de información
Se requieren varios pasos para realizar una auditoria. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que deben satisfacer esos objetivos. El proceso de auditoria exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoria que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoria además de las revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.
Estándares de auditoria informática y de seguridad
Una auditoría se realiza con base a un patrón o conjunto de directrices o buenas practicas sugeridas. Existen estándares orientados a servir como base para auditorias de informática. Uno de ellos es COBIT (Objetivos de Control de la Tecnologías de la Información), dentro de los objetivos definidos como parámetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estándar podemos encontrar el estándar ISO 27002, el cual se conforma como un código internacional de buenas prácticas de seguridad de la información, este puede constituirse como una directriz de auditoria apoyándose de otros estándares de seguridad de la información que definen los requisitos de auditoria y sistemas de gestión de seguridad, como lo es el estándar ISO 27001.
Aspectos del medio ambiente informático que afectan el enfoque de la auditoria y sus procedimientos.
• Complejidad de los sistemas.
• Uso de lenguajes.
• Metodologías, son parte de las personas y su experiencia.
• Departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del área de sistemas.
• Controles del computador.
EL PRESENTE TEXTO ES SOLO UNA SELECCION DEL TRABAJO ORIGINAL. PARA CONSULTAR LA MONOGRAFIA COMPLETA SELECCIONAR LA OPCION DESCARGAR DEL MENU SUPERIOR.