auditira de sistemas

Definición General de Auditoria:

Auditoria 

La revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación.

La revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimient

o de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación.

En análisis de la auditoria donde el requisito indispensable para llevar a cabo una auditoría, es que el auditor debe poseer una absoluta independencia mental, profesional y laboral, ya que esta soberanía de acción le permite actuar como un verdadero profesional al realizar cualquier tipo de evaluación. Es evidente que este libre albedrío le evitará tener cualquier tipo de obligación, preferencia, obediencia o algún otro compromiso con la empresa a la que audita.

Objetivos particulares de cada tipo de auditoría: El objetivos específicos de cada uno de los tipos de auditoría, son los objetivos generales de la auditoría que son:

Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.

• Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de una empresa.
• Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como de sus áreas y unidades administrativas.
• Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.

Clasificación de los tipos de auditarías

En los tipos de auditoría existen varias clasificaciones de los tipos de auditarías, con el fin de identificar los criterios, características y especificaciones de esta disciplina profesional. Posteriormente nos concentraremos exclusivamente en los conceptos y definiciones de la auditoría de sistemas computacionales.

La clasificación que se propone está integrada por el siguiente cuadro:

Auditorias por su lugar de aplicación

• Auditoría externa

• Auditoría interna

Auditorías por su área de aplicación

• Auditoría financiera

• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas 

 

      Auditorias especializadas en áreas específicas

• Auditoría al área médica (evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental
• Auditoría de sistemas

Auditoría de sistemas computacionales

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría alrededor de la computadora
• Auditoría de la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo

Auditoría en sistemas computacionales

• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría Outsourcing
• Auditoría ergonómica de sistemas computacionales.

Estándares y normas de evaluación

Al medir los resultados alcanzados, éstos deberán compararse de acuerdo con los estándares y normas previamente establecidos, a fin de contemplar las mismas unidades para planear y controlar; con esto se logra una estandarización que permite valorar adecuadamente los alcances obtenidos.

Base de Datos:

Se describen el tipo de datos y la longitud de campo. Los elementos por definir incluyen artículos elementales (atributos) y registros conceptuales (entidades).

Relaciones entre datos: Se definen las relaciones entre datos

Un SGBD es una colección de numerosas rutinas de software interrelacionadas.

Proporciona un sistema eficiente para extraer, almacenar y manipular información de la base de datos.

     Todas las peticiones de acceso a la base, se gestionan centralizadamente por medio del SGBD ? interfaz entre los usuarios y la base de datos.

Objetivos/Ventajas de los SGBD

• Mejora en la productividad y mantenimiento.
• El SGBD proporciona muchas de las funciones estándar que el programador necesita escribir en un sistema de ficheros.
• Se separan las descripciones de los datos de las aplicaciones.
• Disminuir anomalías en el acceso concurrente
• Múltiples usuarios.

Independencia de los datos

• Libertad para modificar algunos de los esquemas sin que exista la necesidad de reescribir los programas de aplicación.
• Independencia física de datos: Se modifica el esquema físico sin afectar a los esquemas restantes.

• Ajuste en el hardware de almacenamiento
• una redistribución de los datos en él

Independencia lógica: Se modifica el esquema conceptual sin afectar al resto de los esquemas

• cambiar las características de los datos a
• almacenar

Conceptos básicos sobre la auditoría

Los aspectos netamente contables, hasta su uso en áreas y disciplinas de carácter especial, como la ingeniería, la medicina y los sistemas computacionales.  Evidentemente, junto con ese progreso, también se ha registrado el desarrollo de las técnicas, métodos, procedimientos y herramientas de cada uno de estos tipos de auditorías, así como un enfoque cada vez más característico y especializado hacia el uso de técnicas más apegadas al área que se va a evaluar.

Debido a esos constantes cambios, a continuación citaremos el concepto más amplio de la auditoría, para de ahí analizarlo de acuerdo con lo aportado, con esa conceptualización, trasladarlo a una propuesta de clasificación de los tipos de auditoría.

En forma general, la definición que se propone para la auditoría es la siguiente:

Auditoría en sistemas computacionales

Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por un profesional de la auditoría, con el propósito de evaluar su correcta realización y, con base en ese análisis, poder emitir una opinión autorizada sobre la razonabilidad de sus resulta-dos y el cumplimiento de sus operaciones.

Como antecedentes académicos, se encontraron las siguientes expresiones:

Auditor

Persona capacitada para realizar auditorías en empresas u otras instituciones. Es un examen profesional y revisión de los registros, los procedimientos y las transacciones financieras de una organización hechas por especialistas involucrados en la preparación de esos informes

Clasificación de los tipos de auditorías

En el análisis de los conceptos anteriores se realice al amparo de la siguiente clasificación de los tipos de auditorías, con el fin de identificar los criterios, características y especificaciones de esta disciplina profesional.

Posteriormente nos concentraremos exclusivamente en los conceptos y definiciones de la auditoría de sistemas computacionales.

La clasificación que se propone está integrada por el siguiente cuadro:

Auditorías por su lugar de aplicación

• Auditoría externa
• Auditoría interna

Auditorías por su área de aplicación

• Auditoría financiera
• Auditoría administrativa
• Auditoría operacional
• Auditoría integral
• Auditoría gubernamental
• Auditoría de sistemas

Auditorías especializadas en áreas específicas

• Auditoría al área médica (evaluación médico-sanitaria)
• Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería)
• Auditoría fiscal
• Auditoría laboral
• Auditoría de proyectos de inversión
• Auditoría a la caja chica o caja mayor (arqueos)
• Auditoría al manejo de mercancías (inventarios)
• Auditoría ambiental
• Auditoría de sistemas

Auditoría de sistemas computacionales

• Auditoría informática
• Auditoría con la computadora
• Auditoría sin la computadora
• Auditoría a la gestión informática
• Auditoría al sistema de cómputo
• Auditoría alrededor de la computadora
• Auditoría de la seguridad de sistemas computacionales
• Auditoría a los sistemas de redes
• Auditoría integral a los centros de cómputo

Auditoría en sistemas computacionales

• Auditoría ISO-9000 a los sistemas computacionales
• Auditoría Outsourcing
• Auditoría ergonómica de sistemas computacionales

Clasificación de la auditoría por su lugar de origen

La primera clasificación se refiere a la forma en que se realiza este tipo de trabajos, y también a cómo se establece la relación laboral en las empresas donde se llevará a cabo la auditoría; esto nos da un origen externo si el auditor no tiene relación directa con la empresa, o un origen interno si existe alguna relación de dicho auditor con la propia empresa.

Auditoría externa

La principal característica de este tipo de auditoría es que la realizan auditores totalmente ajenos a la empresa, por lo menos en el ámbito profesional y laboral; esto permite que el auditor externo utilice su libre albedrío en la aplicación de los métodos, técnicas y herramientas de auditoría con las cuales hará la evaluación de las actividades y operaciones de la empresa que audita y, por lo tanto, la emisión de resultados será absolutamente independiente.

Los estándares de auditoría:

Son normas que regulan los procesos legales y estándares y alternativas es la técnica

Observamos que los estándares están relacionadas con las nías 401 y 402.

STANDARES DE CONTROL

EL CONTROL INTERNO son medidas que son tarea de la administración de la empresa, donde el cual el auditor solo revisa y el control estableció esta cumpliendo con las expectativas para el cual fue creada, en algunos casos el auditor deberá evaluar e incluso el proponer dicho control para obtener mejor control.

Ya que antes estos controles se establecido por contadores de la empresa pero solo tenían en cuenta que funcionara pero no miraban los riegos y no entraban a conocer en que afectaban los hechos.

EL OBJETIVO DEL CONTROL INTERNO: es establecer seguridad y protección de los activos de la empresa, promover la confianza oportuna y veracidad de los registros

ESTANDARES DE CONTROL / FISICOS: Menciona que puede ser tangible que se utiliza la medición y controles que se puede utilizar

Los estándares físicos de comparación: Establece y proporcionan ordenes matemáticas.

Estándares físicos acumulativos: Son aquellos que permiten medir acumuladamente

Estándares de Costos: Es la medición de tipo monetario que permiten hacer una estimación del costo.

EL PERFIL DEL AUDITOR:

Es un profesional dedicado al análisis de sistemas de información  que esta especializado en alguna rama de la auditoria informática, que tiene conocimiento general de los ámbitos en los que se mueve. Además de contar con el conocimientos generales.

El auditor informático encargado de la verificación y certificación de la información dentro de la organización deberá contar con un perfil que le permita poder desempeñar  su trabajo con la calidad y efectividad esperada.

Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial.

Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen.

El auditor debe tener un enfoque de calidad total, lo cual hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro de la empresa.

Se deben poseer una mezcla de conocimientos de auditoría financiera y de informática en general:

• Desarrollo de SI (administración de proyectos, ciclo de vida de desarrollo).
• Administración del Departamento de Informática.
• Análisis de riesgos en un entorno informático
• Sistemas operativos
• Telecomunicaciones
• Administración de Bases de Datos 
• Redes locales
• Seguridad física
• Operación y planificación informática (efectividad de las operaciones y rendimiento del sistema)
• Administración de seguridad de los sistemas (planes de contingencia).
• Administración del cambio
• Administración de Datos.
• Automatización de oficinas (ofimática)
• Comercio electrónico
• Encriptación de datos

El propósito general (dar recomendaciones para fortalecer  los controles) debe descomponerse  según las circunstancias propias que rodean el área de sistematizan de datos así:

El auditor debe evaluar los planes y proyecciones de la sistematizan de datos, de acuerdo  con los proyectos  de la entidad.

Esta obligación supone que el auditor conoce la organización  y sus planes a mediano  y largo plazo. Le obliga a tener claridad sobre los objetivos de la empresa., la conformación  de su estructura y las funciones de cada una de las áreas que  la componen. En consecuencia, debe tener un conocimiento detallado de la organización y recursos de la sistematización ya que en su evaluación no debe considerar solo lo que se debe hacer sino que debe  incluir análisis de los recursos necesarios para lograrlo.

CERTIFICACIÓN: Para que el Auditor Certificado de Sistemas de Información, es la principal certificación de ISACA Desde 1978 el examen CISA a medido la excelencia en el área de la auditoria de sistemas de información. CISA es actualmente una certificación reconocida en forma global y adoptada por todo el mundo como símbolo de excelencia. La certificación CISA. Obtener reconocimiento a Nivel Mundial con la certificación. El programa de Certificación para Auditores de Sistemas de Información (Certified Information Systems Audit) es el único título reconocido, en toda la comunidad de Auditoría y Control Informático. El Examen CISA se ofrece una vez al año en más de 140 ciudades en todo el mundo. Los profesionales que aprueben el examen, las personas que poseen y reúnan la experiencia y requisitos necesarios, podrán solicitar la Certificación, cuya competencia en Auditoria, Seguridad y Control de sistemas de información es reconocida a través de esta designación. Para conservar la Certificación, el poseedor del CISA debe participar en el Programa de Educación Permanente. La importancia de la certificación CISA Quienes ejercen la profesión de Auditoría, Control y Seguridad de Sistemas de Información necesitan normas profesionales, que no sólo le permitan mantener sus destrezas; sino que además, garantice que sus técnicas de auditoría, control y seguridad son adecuadas en el ambiente de Sistemas de Información en permanente cambio. La Certificación profesional CISA es un logro y una referencia de alto nivel de rendimiento. Los Certificados logran una significativa ventaja competitiva y, por ende, sus oportunidades profesionales son notorias. Los beneficios de CISA a la Gerencia y a la Organización. La certificación CISA provee a la Gerencia la posibilidad de:

• Medir la competencia de sus futuros empleados.
• Determinar que el personal calificado proteja los activos de la Empresa.
• Confirmar si sus habilidades o destrezas de Auditoría, Control y Seguridad de Sistemas de Información de los Especialistas se mantienen actualizadas respecto de la tecnología.
• Identificar qué especialistas son los candidatos ideales a promover. Los beneficios de CISA a los profesionales de Auditoría, Control y Seguridad de SI. La certificación CISA provee al profesional de las siguientes habilidades.
• Demostrar su experiencia y competencia.
• Lograr conocimiento en su carrera.
• Estar relacionado con un programa que tiene aceptación mundial.
• Mejorar sus oportunidades laborales y estabilidad laboral.
• Mejorar su credibilidad en la profesión.

Ser distinguido como profesional calificado. EL EXAMEN CISA: Desarrollo del examen. El contenido de las áreas, y el trabajo desarrollado por un panel representativo y experimentado de profesionales CISA, puede ser considerado por los candidatos como un programa para el examen CISA.

PROCESOS Y TÉCNICAS DE AUDITORIA

Las Técnicas de Auditoría, son los métodos prácticos de investigación y prueba que el Auditor utiliza para lograr la información y comprobación necesaria para poder emitir su opinión profesional.

Los Procedimientos de Auditoría, son el conjunto de técnicas de investigación aplicables a una partida o a un grupo de hechos o circunstancias relativas a los estados financieros, u operaciones que realiza la empresa.

Es decir, las Técnicas son las herramientas de trabajo del Auditor, y los Procedimientos es la combinación que se hace de esas herramientas para un estudio en particular.

CLASIFICACIÓN DE LAS TÉCNICAS DE AUDITORIA.-

Las Técnicas de Auditoría se pueden clasificar de la siguiente forma:

1. Estudio General: Es la apreciación y juicio de las características generales de la empresa, las cuentas o las operaciones, a través de sus elementos más significativos para elaborar las conclusiones se ha de profundizar en su estudio y en la forma que ha de hacerse.

2. Análisis. Es el estudio de los componentes de un todo. Esta técnica se aplica concretamente al estudio de las cuentas o rubros genéricos de los estados financieros.

3. Inspección Es la verificación física de las cosas materiales en las que se tradujeron las operaciones, se aplica a las cuentas cuyos saldos tienen una representación material, (efectivos, mercancías, bienes, etc.).

4. Confirmación Es la ratificación por parte del Auditor como persona ajena a la empresa, de la autenticidad de un saldo, hecho u operación, en la que participo y por la cual está en condiciones de informar válidamente sobre ella.

5. Investigación Es la recopilación de información mediante entrevistas o conversaciones con los funcionarios y empleados de la empresa.

6. Declaraciones y Certificaciones. Es la formalización de la técnica anterior, cuando, por su importancia, resulta conveniente que las afirmaciones recibidas deban quedar escritas (declaraciones) y en algunas ocasiones certificadas por alguna autoridad (certificaciones).

7. Observación. Es una manera de inspección, menos formal, y se aplica generalmente a operaciones para verificar como se realiza en la práctica.

8. Cálculo Es la verificación de las correcciones aritméticas de aquellas cuentas u operaciones que se determinan fundamentalmente por cálculos sobre bases precisas.

CLASIFICACIÓN DE LOS PROCEDIMIENTOS DE AUDITORIA.-

Como ya se ha mencionado los procedimientos de Auditoría son la agrupación de técnicas aplicables al estudio particular de una operación o acción realizada por la Empresa o Entidad a examinar, por lo que resulta prácticamente inconveniente clasificar los procedimientos ya que la experiencia y el criterio del Auditor deciden las técnicas que integran el procedimiento en cada uno de los casos en particular.

El Auditor Supervisor y los integrantes del equipo de Auditoría con mayor experiencia definirán la estrategia que consideren la más adecuada para desarrollar la Auditoría. Estos criterios se basarán en el conocimiento de la Entidad o Empresa auditada, así como la experiencia general de la especialidad, que les permita a los Profesionales determinar de antemano los principales procedimientos de Auditoría a aplicar en cada uno de los casos que se presentan a lo largo del proceso de Auditoría.

EXTENSIÓN O ALCANCE DE LOS PROCEDIMIENTOS.-

Se llama extensión o alcance a la amplitud que se da a los procedimientos, es decir, la intensidad y profundidad con que se aplican prácticamente estos en cada uno de los casos para lo cual de deberá tomar en cuenta la actividad u operación que realizó la empresa o entidad.

OPORTUNIDAD DE LOS PROCEDIMIENTOS.-

Es la época en que deben aplicarse los procedimientos al estudio de partidas específicas, y al análisis total de las actividades de la Empresa o Entidad.

Se debe tomar en cuenta que la oportunidad en que se aplica un procedimiento determina la conclusión u observación que se puede obtener para el análisis al final del examen realizado.

 

PRUEBAS SELECTIVAS EN LA AUDITORIA.-

El trabajo de revisión de las operaciones que realiza la empresa a lo largo de un año, no es ni puede ser exhaustivo, ya que no es posible realizarlo en un período corto de tiempo (30, 45 o 60 días) con un grupo de tres o cuatro personas lo que a la empresa le lleva un año en registrar las operaciones, por lo que no es razonable que el Auditor disponga de un tiempo tan limitado para obtener sus conclusiones. Por lo tanto se hace necesario que el Auditor establezca sus evidencias con pruebas selectivas.

Los resultados que arrojen las pruebas selectivas deben ser sopesados cuidadosamente para poder generalizarlos al todo. Los resultados satisfactorios deben dar seguridad en tanto que los resultados negativos pueden provocar una extensión del trabajo, bien ampliando la muestra o cambiando el enfoque, o simplemente pueden considerarse plenamente aplicables al universo, y en consecuencia considerarlo erróneo.

El Auditor debe considerar en primer término los objetivos específicos de la Auditoría que debe alcanzar, lo que le permitirá determinar el procedimiento de Auditoría o combinación de procedimientos más indicados para lograr dichos objetivos. Además cuando el muestreo de Auditoría es apropiado, la naturaleza de evidencia de la auditoría buscada, y las condiciones de error posible u otras características relativas a tal evidencia ayudaran al Auditor a definir lo que constituye un error y el universo que deberá utilizarse para el muestreo.

Informe de auditoría:

La naturaleza especializada de la auditoria de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la auditoria de los Sistemas de Información.

La auditoria de los sistemas de información se define como cualquier auditoria que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).

PLANEACIÓN DE LA AUDITARÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática

Objetivos a corto y largo plazo.

Recursos materiales y técnicos

Solicitar documentos sobre los equipos, número de ellos, localización y características.

Estudios de viabilidad.

Número de equipos, localización y las características (de los equipos instalados y por instalar y programados)

Fechas de instalación de los equipos y planes de instalación.

Contratos vigentes de compra, renta y servicio de mantenimiento.

HERRAMIENTAS DE AUDITORIA

Actualmente la tendencia es hacia un mundo heterogéneo en el cual convivan diversos productos que

se complementen y en ese contexto contar con herramientas de desarrollo abiertas con conectividad a diversas plataformas, basadas en tecnología orientada a objetos y que permitan la reutilización del software. De este modo, la mayoría de las empresas se han extendido a la adquisición de herramientas CASE con el fin de automatizar los aspectos clave de todo lo que implica el proceso de desarrollo de un sistema e incrementar su posición en el mercado competitivo. Sin embargo, en algunos se obtienen elevados costos tanto en la adquisición de herramientas y costos de entrenamiento de personal, como a la falta de adaptación de tal herramienta a la arquitectura de la información y a metodologías de desarrollo utilizadas por la organización.

Por otra parte, algunas herramientas CASE no ofrecen o evalúan soluciones potenciales para los problemas relacionados con sistemas o virtualmente no llevan a cabo ningún análisis de los requerimientos de la aplicación. Sin embargo, CASE proporciona un conjunto de herramientas semi-automatizadas y automatizadas que están desarrollando una cultura de ingeniería nueva para muchas empresas. Uno de los objetivos más importante del CASE (a largo plazo) es conseguir la generación automática de programas desde una especificación al nivel de diseño.

Las técnicas de auditoría asistidas por computadora son de suma importancia para el auditor de TI cuando realiza una auditoría. CAAT incluyen distintos tipos de herramientas y de técnicas, las que más se utilizan son los software de auditoría generalizado, software utilitario, los datos de prueba y sistemas expertos de auditoría. Las CAAT se pueden utilizar para realizar varios procedimientos de auditoría incluyendo:

• Prueba de los detalles de operaciones y saldos.
• Procedimientos de revisión analíticos.
• Pruebas de cumplimiento de los controles generales de sistemas de información.

Pruebas de cumplimiento de los controles de aplicación.

La Auditoría de Software es un término general que se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.

Conducir la auditoría es una de las partes más críticas de un Programa de Administración de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen sus activos de software.

Un estudio de Print UK Limited, firma de Administración de auditoría, descubrió que una organización típica con más de 500 PCs muchas veces tiene un 20% más de computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de las organizaciones han incrementado su base de activos de TI sin haber hecho ningún proceso para su seguimiento.

Una de las razones por las que las organizaciones no maximizan su inversión en activos de software es que no hay información exacta disponible. La recopilación de toda la información necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas reservas por algunos directivos de la organización, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.

Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.

Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a través del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría de software.

• Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditoría.
• Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas donde se crea pueda haber problemas.
• Identificar las áreas simples pero muchas veces olvidadas que necesitan ser consideradas, tales como:
• Acceso a sitios y creación de mapas de esas locaciones
• Conocer con anticipación los log-on scripts de seguridad o claves.
• Horario de la auditoría (durante el día, noche o fin de semana).

• Diseñar el plan y el cronograma de la auditoría, así como también las herramientas de auditoría que serán usadas.
• Asignar recursos para cada elemento específico de la auditoría.

Este capítulo se focaliza en la selección de recursos necesarios para conducir la auditoría.

Auditoría de seguridad informática:

(SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

FASES DE UNA AUDITORIA

Los Servicios de auditoría constan de las siguientes fases:

• Enumeración de redes, topologías y protocolos.
• Verificación del Cumplimiento de los estándares internacionales. ISO, COBIT, etc.
• Identificación de los sistemas operativos instalados.
• Análisis de servicios y aplicaciones.
• Detección, comprobación y evaluación de vulnerabilidades.
• Medidas específicas de corrección
• Recomendaciones sobre implantación de medidas preventivas.

Tipos de auditoria

Los servicios de auditoría pueden s er de distinta índole

• Auditoría de seguridad interna: En este tipo de auditoría se contrasta el nivel de seguridad y privacidad de las redes locales y corporativas de carácter interno.
• Auditoría de seguridad perimetral: En este tipo de análisis, el perímetro de la red local o corporativa es estudiado y se analiza el grado de seguridad que ofrece en las entradas exteriores.
• Test de intrusión: El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral.
• Análisis forense: El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperabilidad del sistema, el análisis se denomina análisis postmortem.
• Auditoría de páginas web: Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.
• Auditoría de código de aplicaciones: Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado.

Realizar auditorías con cierta frecuencia asegura la integridad de los controles de seguridad aplicados a los sistemas de información. Acciones como el constante cambio en las configuraciones, la instalación de parches, actualización de los softwares y la adquisición de nuevo hardware hacen necesario que los sistemas estén continuamente verificados mediante auditoria.

Las organizaciones informáticas es parte de la empresa y debido a esto y a su importancia en el funcionamiento existe la Auditoria Informática, la cual garantiza a cada una de las entidades la confidencialidad, disponibilidad e integridad de la información. Del mismo modo, esta información debe encontrarse protegida ya que constituye uno de los activos más valiosos de la empresa y siempre tiene que estar ajena a distintos peligros o amenazas, tales como robo, plagio, manipulación indebida y alteración de la misma. Cabe destacar que no cualquier profesional puede realizar una auditoría de seguridad informática, ya que deben ser profesionales certificados por medio de la ISACA, la cual establece como prerrequisito tener el Título de Contador Auditor o Ingeniero Informático. Finalmente, es necesario como futuro profesional insertado en el área de los negocios, conocer, entender y manejar qué es ISACA y cuáles son las certificaciones que como auditor podemos llegar a manejar.

Seguridad Informática. Auditoría Informática. Metodología de una Auditoría Informática, Planificación, Ejecución, Conclusiones  y Principales Estándares de Seguridad Informática Nacionales. Principales Estándares de Seguridad Informática Internacionales. Relación entre Auditoría informática y el COBIT.  Conclusiones.

SEGURIDAD INFORMÁTICA:

La Seguridad Informática se refiere a las características y condiciones de sistemas de procesamiento de datos y su almacenamiento, para garantizar su confidencialidad, integridad y disponibilidad. Considerar aspectos de seguridad significa:

1. conocer el peligro,
2. clasificarlo y
3. protegerse de los impactos o daños de la mejor manera posible.

Esto significa que solamente cuando estamos conscientes de las potenciales amenazas, agresores y sus intenciones dañinas (directas o indirectas)en contra de nosotros, podemos tomar medidas de protección adecuadas, para que no se pierda o dañe nuestros recursos valiosos. En resumen, La seguridad informática la podríamos definir como el conjunto de hardware, software y procedimientos establecidos para asegurar que: a) Personas no autorizadas no accedan a lo que no deberían ver. b) Personas autorizadas no ponen en peligro el sistema y los datos.

AUDITORÍA INFORMATICA:

Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Este proceso es llevado a cabo especialmente por profesionales altamente capacitados y certificados por ISACA en temas sistemas de información.

Este proceso consiste en:

1. El análisis de la eficiencia de los Sistemas Informáticos.
2. La verificación del cumplimiento de la Normativa en este ámbito.
3. La revisión de la eficaz gestión de los recursos informáticos.

El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.

METODOLOGIA DE UNA AUDITORÍA INFORMÁTICA:

Dentro de las etapas en la cual se desarrolla una auditoría informática, podemos distinguir 3 fases importantes:



1. Planificación: comprende desde el conocimiento y comprensión de la organización hasta la formulación y aprobación del plan de auditoría.

2. Ejecución: aquí se obtiene y analiza toda la información del proceso que se audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es decir, contar con todos los elementos que le aseguren al auditor el establecimiento de conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno, que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, en base a estos análisis, generar y fundamentar las recomendaciones que debería acoger la Administración. c) Conclusiones: Es la etapa en la que se dan a conocer los resultados obtenidos en el proceso de la auditoria.