Definición y
Objetivos de los diferentes Tipos de auditorias
|
La auditoria de Sistemas la podríamos definir como una serie de
procedimientos administrativos, técnicos y operativos que determinarán si los
sistemas de información cumplen con los objetivos organizacionales de forma
eficiente y efectiva además de salvaguardan la información y mantienen
la integridad de los sistemas.
El proceso de auditoría deberá culminar con un reporte en donde se
hagan los señalamientos sobre las acciones que se deben tomar,
permitiendo la corrección de los errores detectados o la mejora de las
actividades. Además es importante mencionar que el auditor deberá enfocarse
no sólo a evaluar el final de los procesos, es decir ya cuando las cosas han
sido realizadas, es importante que se realicen revisiones durante todo el
proceso.
Existen diferentes visiones sobre el concepto de auditoría de
sistemas. Dependiendo del enfoque y la profundidad podemos analizar la
opinión de diferentes autores con respecto a la definición del concepto
Todos estos deben estar enfocados a emitir un informe en donde se dé a
conocer la evidencia y los cursos de acción a seguir para realizar la
corrección de errores.
Los elementos en los que se deben enfocar la evaluación son los
siguientes:
Auditorias relacionadas con sistemas de información
A continuación se definirán los puntos más importantes de las
diferentes tipos de auditorías que se encuentran relacionadas con los
sistemas de información
Auditoria de Sistemas / Auditoria Informática / Auditoría en
Informática: Es el proceso de revisión que sobre los sistemas
computacionales, software e información así también de todos los componentes
a su alrededor como los de telecomunicaciones. Además incluye la revisión de
la gestión informática y de todos los recursos relacionados con la
administración del área de sistemas o centro de cómputo.
Su objetivo es evaluar el uso adecuado de los sistemas revisando la
entrada, procesamiento y salida de datos, incluye también evaluar el cumplimiento
de las actividades, operaciones y funciones del personal relacionado con los
servicios que dan los sistemas computacionales.
De esta auditoría se desglosan otras auditorias que tienen que ver con
sistemas y en general con toda el área de informática
Auditoria con la Computadora: Es la evaluación y revisión que se hace
apoyándose en una computadora para realizar el proceso de evaluación de
actividades. Se puede tratar inclusive de la auditoria a un área no
relacionada con el uso de sistemas.
Auditoria sin la Computadora: Esta auditoría se centra en la
utilización de técnicas y procedimientos para evaluar las actividades
administrativas, operacionales y económicas. Se incluye evaluación de
puestos, estructura organizacional, aplicación de planes, programas y
presupuestos, planes de seguridad y de recuperación de desastres, planes de
cambio. En pocas palabras es todo lo relacionado con los sistemas de cómputo
excluyendo a los propios sistemas computacionales.
Auditoria a la Gestión Informática: Consiste en la revisión de las
actividades, operaciones y funciones que tienen que ver con las funciones
administrativas del centro de cómputo tales como planeación, organización,
dirección, recursos humanos y control. Además incluye la revisión y
evaluación de las operaciones del sistema, así como la protección
proporcionada a los sistemas, software e información. También incluye la
revisión del ciclo de vida de los sistemas de cómputo y sus instalaciones. Su
objetivo es emitir un juicio sobre la gestión administrativa de los sistemas
computacionales y sobre el área de informática.
Auditoria al Sistema de Cómputo: Se evalúa la operación del sistema
computacional, se incluye el software, hardware, equipo especial relacionado
como instalaciones y dispositivos de comunicación. Se evalúa el diseño,
desarrollo e implementación del software de operación o de aplicación. Se
trata de una evaluación técnica y especializada.
Auditoria Alrededor de la Computadora: Se evalúa la realización de
todo lo que se encuentre alrededor de un equipo de cómputo, de sus sistemas,
de sus actividades y de su funcionamiento. Se trata de revisar todas los
aspectos que ayudan a que el funcionamiento del área de informática sea la
más adecuada. Por ejemplo actividades que tienen que ver con planeación,
presupuestos, métodos de acceso y de procesamiento, de almacenamiento, así
como los aspectos operacionales y financieros.
Auditoria de la Seguridad de Sistemas Computacionales: Se evalúa todos
los aspectos que tienen que ver con la seguridad del sistema de cómputo, sus
áreas y el personal del área de sistemas. Además se hace la revisión de las
actividades que ayuden a salvaguardar la seguridad de los equipos
computacionales, bases de datos, redes, instalaciones y los usuarios finales.
Auditoria de los Sistemas de Redes: Se realiza una evaluación de la
tecnología de comunicaciones en donde se incluye los tipos de redes,
arquitectura, topología, protocolos de comunicación, conexiones, accesos, y
privilegios. También se realiza una revisión del los componentes involucrados
en la compartición de datos, instalaciones, software y hardware en un sistema
de comunicaciones.
Técnicas asistidas por computadoras
Computer assisted audit techniques (CAAT) Consiste en utilizar el
equipo computacional para evaluar el control interno mediante los resultados
que produce. Estamos hablando de programas de utilería, software
especializado o reporteadores. También se trata de programas que se ejecutan
en una microcomputadora y funcionan con datos traídos de las bases de datos
organizacionales, ejemplos de este tipo de software son: APPLAUDE-Audit,
PANAUDIT plus, IDEA entre otros.
Las técnicas de auditoría asistidas por computadora más utilizadas
son:
Análisis de código de programas: se utiliza software para hacer un
análisis de código fuente y código objeto de esta forma se revisa que el
sistema incluya los procesos solicitados por el usuario.
Datos de prueba: se introducen datos correctos y datos con errores de
tal forma que se verifica si los controles detectan dichos errores.
Análisis de Bitácoras: se hace la revisión de las diferentes bitácoras
como son: bitácoras de fallas de equipo, bitácoras de procesos ejecutados,
bitácoras de accesos no autorizados, bitácoras de uso de equipo, entre otras.
Aquí se puede ver como los recursos han sido utilizados y detectar parámetros
de uso o desviaciones en cuanto a los procedimientos y políticas de la
empresa.
Simulación paralela: Consiste en utilizar otro programa desarrollado
especialmente para realizar los mismos procesos que un sistema determinado.
Los dos programas se corren en forma paralela y se identifican diferencias.
Código integrado: Se trata de incluir en el propio sistema una rutina
para detectar anomalías o desviaciones sobre los estándares del sistema.
Lo más importante es que la revisión de auditoría se realice con las
mejores prácticas de recolección y evaluación de elementos, por lo que el
auditor deberá conocer la existencia de las técnicas y procedimientos más
actualizados para así definir que es lo que mejor se aplica a cada caso.
|
Normas
Generales de auditoria
|
El auditor deberá basar su auditoria en diferentes técnicas,
procedimientos y herramientas que lo apoyaran en su evaluación. Las
actividades del auditor están directamente relacionadas con la verificación
de las actividades, operaciones y funciones en la empresa de acuerdo a
ciertas normas, leyes o regulaciones vigentes. De alguna forma el auditor
deberá verificar que el camino para que lo que fue planeado o programado esté
preparado para lograrse. Si no se cumple con un plan o no se hace las
actividades de acuerdo a normas, lo más probable es que no se llegue a la
meta propuesta, es por eso que la auditoria permite que lo que se espera
suceda.
La palabra norma
tiene el siguiente significado: Regla que se debe seguir
o a que se deben ajustar a las conductas, tareas, actividades, etc. En
base a esta definición la profesión de un auditor especialmente en el área
contable y financiera se rige por normas y criterios generalmente aceptados.
Estos criterios son emitidos por asociaciones que agrupan la experiencia de
sus miembros para que así se llegue a un estándar en la revisión de las
actividades en un área determinada.
A continuación se exponen algunas normas que se aplican al área
contable y financiera y que de alguna forma sirven como marco de referencia
en el conocimiento de esta disciplina de auditoría.
Normas Generales
de auditoría emitidas para el área de finanzas
Normas Generales
de auditoria
A continuación se
mencionan algunas de las áreas en donde existen normas que los auditores
deberán tomar en cuenta para la realización de sus actividades.
Normas de auditoría
de Sistemas de Información
Como ya se había
mencionado antes la auditoria de sistemas tiene que ver con la revisión de
los sistemas de información utilizados en las empresas para el procesamiento
de datos de forma automatizada, además de todas las actividades que se
encuentran relacionadas con estos sistemas.
Es necesario que
se consideren el seguimiento de normas que han sido promulgadas por la
Asociación de Auditoría y Control de Sistemas de Información con el fin de
estandarizar y satisfacer los estándares requeridos en el desempeño
profesional de los miembros de la Asociación de Auditoría y Control de
Sistemas de Información y por los Auditores Certificados en Sistemas de
Información (CISA)
Los puntos más
importantes tratados en estas normas generales para los sistemas de auditoría
de la información tienen que ver con los siguientes aspectos
|
Normas
éticas y profesionales
|
El trabajo que desempeña un auditor es de una gran responsabilidad
ante la empresa auditada y ante la sociedad misma. El desempeño del auditor
debe ser totalmente de confianza ya que se le permite conocer la información
que se maneja en la empresa, aún y cuando esta sea confidencial. Además el
auditor emite un dictamen basado en su evaluación y dicho documento contiene
su opinión la cual es de suma importancia.
El auditor deberá
ganarse la confianza gracias a su experiencia y conocimientos además a su
pericia en el desarrollo de sus trabajos. Pero sin duda alguna lo mas
importante para ganar esa confianza es su valor ético como profesional de la
materia y como persona moral lo cual de da validez a su dictamen.
Las palabra ética
tienen un origen griego, ético : eethikos: costumbre, carácter éthicos trata
de la moral y las obligaciones de los hombres
La palabra moral
tiene su origen en el latín moralis: reglas que deben seguirse para hacer el
bien y evitar el mal
Los principios
éticos forman el comportamiento moral y la actitud de la conducta de las
personas y de los profesionistas. Se reconoce que el comportamiento ético es
básico para el ejercicio de las actividades de un profesional en el área de
auditoria. Los principios y valores morales aseguran un comportamiento ético
en las personas y en los profesionistas.
A continuación se listan los principios y
valores éticos que un auditor debe tener:
El comportamiento
del auditor deberá también caracterizarse por diferentes criterios y
responsabilidades que la misma empresa en donde se desempeña deberá regular.
La experiencia y actitudes así como los conocimientos del auditor harán más
fácil el cumplimiento de estos criterios y responsabilidades. A continuación
se mencionan algunos de ellos.
Existen criterios
que tienen que ver con el aspecto profesional y personal del auditor y que en
caso de incumplimiento no tendrá un castigo legal, sin embargo el auditor que
no los cumpla será señalado por sus colegas y por la empresa acarreando con
esto el desprestigio profesional.
|
ACTIVIDAD 1
Nombre de la actividad: Ventajas
del Uso de Técnicas de auditoria asistidas por computadora
Documento en Word con un
resumen de las técnicas didácticas asistidas por computadora
Visitar los sitios sugeridos.
Descripción de la
actividad
|
Las auditorias pueden ser asistidas por programas computacionales. Es
decir en algunos puntos de la auditoria es necesario hacer uso de este tipo
de técnicas para facilitar el trabajo del auditor y para poder realizar
actividades de manera más efectiva y eficiente.
Para cumplir con esta actividad deberá elaborar un documento en
Word en donde hable sobre estas técnicas de auditoria asistidas por computadoras. El documento deberá
contener como mínimo los siguientes puntos:
Incluye una conclusión personal sobre dichas técnicas y tus fuentes
bibliográficas
|
ACTIVIDAD 2 EXPOSICION DE TRABAJO
Descripción de la actividad
Los riesgos a los cuales se
encuentra expuesta la información son enormes, es por eso que las empresas
deben estar al tanto de la protección que deben tener para sus recursos
computacionales tanto de hardware como de software.
Muchas empresas han pasado por
malos momentos al ocurrir alguna catástrofe o incidente que ha afectado sus
recursos computacionales y debido a no tener una previsión adecuada esto a
repercutido hasta en la existencia de la empresa.
Para cumplir con esta
actividad deberás realizar una búsqueda en Internet o en alguna otra revista
sobre el caso de una empresa que haya sufrido daño o robo de su información o
de su equipo informático.
NOTA:
COMENTAR EN EL BLOG EL NOMBRE DE LA EMPRESA INVESTIGADA, PARA QUE NO SE REPITA LA MISMA EMPRESA CON OTRO ESTUDIANTE.
Entregar un documento en Word
para su posterior exposición en clase, que incluya los siguientes puntos:
- Introducción
- Nombre de la empresa
- Acontecimiento no previsto (Razón de la pérdida: terremoto, robo, etc)
- Fecha y lugar del incidente
- Medidas de protección con las que contaba la empresa
- Medidas de protección que debería haber tenido
- Consecuencias del evento
- Otros datos interesantes encontrados
- Deberás incluir en tu documento la liga a la página de Internet en donde encontraste el artículo o el texto del artículo.
- Conclusiones
- Fuentes Bibliográficas
18 comentarios:
Empresa: Lehman Brothers, salvaron su información gracias a que tenían sus datos replicados.
El Instituto Nacional de Tecnología de la Comunicación (INTECO)-España
MICROSOFT, El fracaso de Windows Millennium Edition (2000, 2001)
La empresa Epsilon sufre ataque informático
los municipios empresariales Campo de la Cruz, Santa Lucia y Candelaria del Atlántico. Se ven afectados por la Ruptura y desbordamiento del CANAL DEL DIQUE. Provocando una catastrofe informatica.
ROBO EN UN AMBULATORIO UN ORDENADOR CON DATOS CONFIDENCIALES Centro de Especialidades Orcasitas) ubicado en Madrid España.
Marjorie Balón Soriano
La empresa Holandesa de telecomunicaciones KPN ha tenido que cerrar durante varias horas dos millones de cuentas de correo electrónico tras haber sufrido un ataque informático.
Sony sufre perdida de informacion de datod de 77 millones de usuarios.
Xerox, gana a Apple el juicio por PLAGIO de su famoso sistema operativo.
Por falta de información hago el cambio de empresa. El caso a exponer es sobre la empresa DuPont.
Robo de información a empresa consultora ALTEN
Robo de informacion a YAHOO
Honda es víctima de ciberataque, más de 200,000 clientes afectados
MasterCard International informó que un "pirata informático" había logrado acceder a los registros de 40 millones de tarjetas de crédito. Casi 14 millones de tarjetas estaban emitidas por MasterCard y el resto pertenecían a otros emisores.
RSA Security admite que su sistema SecurID se vió afectado por ciberataque
BCN Binary alerta de cuáles son los más comunes y cómo solucionarlos
La falta de mantenimiento informático, o la ausencia de soluciones que lleven a cabo este mantenimiento,
Buenos días estimado profesor, le agradecería infinitamente que me reciba la tarea el día de hoy puesto que recién la puedo enviar.
Caso sobre Robo/Destrucción de Información
REGISTRADURIA NACIONAL DEL ESTADO CIVIL DE BOGOTÁ - COLOMBIA
La página Web de la Entidad, www.registraduria.gov.co, sufrió de manera súbita un incremento en el número de consultas y bloqueos constantes
Publicar un comentario