Auditora informtica

La auditora informtica es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de informacin salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organizacin, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemtica el uso de los recursos y los flujos de informacin dentro de una organizacin y determinar qu informacin es crtica para el cumplimiento de su misin y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de informacin eficientes. Auditar consiste principalmente en estudiar los mecanismos de control que estn implantados en una empresa u organizacin, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberan realizar para la consecucin de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de deteccin, correctivos o de recuperacin ante una contingencia. Los objetivos de la auditora Informtica son:

El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos.

La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como:

Desempeo Fiabilidad Eficacia Rentabilidad Seguridad Privacidad

Generalmente se puede desarrollar en alguna o combinacin de las siguientes reas:

Gobierno corporativo Administracin del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Proteccin y Seguridad Planes de continuidad y Recuperacin de desastres

La necesidad de contar con lineamientos y herramientas estndar para el ejercicio de la auditora informtica ha promovido la creacin y desarrollo de mejores prcticas como COBIT, COSO e ITIL.

Actualmente la certificacin de ISACA para ser CISA Certified Information Systems Auditor es una de las ms reconocidas y avaladas por los estndares internacionales ya que el proceso de seleccin consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificacin.

Tipos de Auditora de Sistemas

Dentro de la auditora informtica destacan los siguientes tipos (entre otros):

Auditora de la gestin: la contratacin de bienes y servicios, documentacin de los programas, etc. Auditora legal del Reglamento de Proteccin de Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgnica de Proteccin de Datos. Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y anlisis de los Flujogramas. Auditora de las bases de datos: Controles de acceso, de actualizacin, de integridad y calidad de los datos. Auditora de la seguridad: Referidos a datos e informacin verificando disponibilidad, integridad, confidencialidad, autenticacin y no repudio. Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin, evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica de esta. Tambin est referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno. Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los sistemas de informacin. Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de autenticacin en los sistemas de comunicacin. Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

la tcnica de la auditora, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniera Informtica e Ingeniera Tcnica en Informtica y licenciados en derecho especializados en el mundo de la auditora.

Principales pruebas y herramientas para efectuar una auditora informtica

En la realizacin de una auditora informtica el auditor puede realizar las siguientes pruebas:

Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin.

Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informtico son:

Observacin Realizacin de cuestionarios Entrevistas a auditados y no auditados Muestreo estadstico Flujogramas Listas de chequeo Mapas conceptuales

Auditora Interna
La auditora Interna es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un profesional con vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulacin interna y no tienen trascendencia a los terceros pues no se producen bajo la figura de la Fe Publica. Las auditoras internas son hechas por personal de la empresa. Un auditor interno tiene a su cargo la evaluacin permanente del control de las transacciones y operaciones y se preocupa en sugerir el mejoramiento de los mtodos y procedimientos de control interno que redunden en una operacin ms eficiente y eficaz. Cuando la auditora est dirigida por Contadores Pblicos profesionales independientes, la opinin de un experto desinteresado e imparcial constituye una ventaja definida para la empresa y una garanta de proteccin para los intereses de los accionistas, los acreedores y el Pblico. La imparcialidad e independencia absolutas no son posibles en el caso del auditor interno, puesto que no puede divorciarse completamente de la influencia de la alta administracin, y aunque mantenga una actitud independiente como debe ser, esta puede ser cuestionada ante los ojos de los terceros. Por esto se puede afirmar que el Auditor no solamente debe ser independiente, sino parecerlo para as obtener la confianza del Pblico. La auditora interna es un servicio que reporta al ms alto nivel de la direccin de la organizacin y tiene caractersticas de funcin asesora de control, por tanto no puede ni debe tener autoridad de lnea sobre ningn funcionario de la empresa, a excepcin de los que forman parte de la planta de la oficina de auditora interna, ni debe en modo alguno involucrarse o comprometerse con las operaciones de los sistemas de la empresa, pues su funcin es evaluar y opinar sobre los mismos, para que la alta direccin toma las medidas necesarias para su mejor funcionamiento. La auditora interna solo interviene en las operaciones y decisiones propias de su oficina, pero nunca en las operaciones y decisiones de

la organizacin a la cual presta sus servicios, pues como se dijo es una funcin asesora

Auditoria Externa
Aplicando el concepto general, se puede decir que la auditora Externa es el examen crtico, sistemtico y detallado de un sistema de informacin de una unidad econmica, realizado por un Contador Pblico sin vnculos laborales con la misma, utilizando tcnicas determinadas y con el objeto de emitir una opinin independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. El dictamen u opinin independiente tiene trascendencia a los terceros, pues da plena validez a la informacin generada por el sistema ya que se produce bajo la figura de la Fe Pblica, que obliga a los mismos a tener plena credibilidad en la informacin examinada. La Auditora Externa examina y evala cualquiera de los sistemas de informacin de una organizacin y emite una opinin independiente sobre los mismos, pero las empresas generalmente requieren de la evaluacin de su sistema de informacin financiero en forma independiente para otorgarle validez ante los usuarios del producto de este, por lo cual tradicionalmente se ha asociado el trmino Auditora Externa a Auditora de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir Auditora Externa del Sistema de Informacin Tributario, Auditora Externa del Sistema de Informacin Administrativo, Auditora Externa del Sistema de Informacin Automtico etc. La Auditora Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella informacin producida por los sistemas de la organizacin. Una Auditora Externa se lleva a cabo cuando se tiene la intencin de publicar el producto del sistema de informacin examinado con el fin de acompaar al mismo una opinin independiente que le d autenticidad y permita a los usuarios de dicha informacin tomar decisiones confiando en las declaraciones del Auditor. Una auditora debe hacerla una persona o firma independiente de capacidad profesional reconocidas. Esta persona o firma debe ser capaz de ofrecer una opinin imparcial y profesionalmente experta a cerca de los resultados de auditora, basndose en el hecho de que su opinin ha de acompaar el informe presentado al trmino del examen y concediendo que pueda expresarse una opinin basada en la veracidad de los documentos y de los estados financieros y en que no se imponga restricciones al auditor en su trabajo de investigacin. Bajo cualquier circunstancia, un Contador profesional acertado se distingue por una combinacin de un conocimiento completo de los principios y procedimientos contables, juicio certero, estudios profesionales adecuados y una receptividad mental imparcial y razonable.

Diferencias entre auditoria interna y externa:

Existen diferencias substanciales entre la Auditora Interna y la Auditora Externa, algunas de las cuales se pueden detallar as:

En la Auditora Interna existe un vnculo laboral entre el auditor y la empresa, mientras que en la Auditora Externa la relacin es de tipo civil. En la Auditora Interna el diagnstico del auditor, esta destinado para la empresa; en el caso de la Auditora Externa este dictamen se destina generalmente para terceras personas o sea ajena a la empresa. La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad legal de dar Fe Pblica.

Control interno para procesamiento electrnico de datos

Auditora y control de los procesos informticos

Los procesos informticos han cambiado notablemente las condiciones internas de las organizaciones, motivando de tal modo importantes consecuencias en materia de control interno. Se aconseja a los efectos de evitar fraudes la separacin de funciones entre quienes son encargados de manejar el sistema, los programadores y quienes controlan los inputs, los cuales deberan ser efectuados por tres tcnicos o grupos de tcnicos en informtica diferentes. Sin embargo tanto por el tamao de las empresas, como por las nuevas caractersticas que tienen lugar en los procesos fabriles y de servicios los controles deben adaptarse a esta nueva situacin. La creacin de mecanismos paralelos e independientes al sistema para el control comparativo es adonde apuntan las nuevas metodologas destinadas a salvaguardar los procesos informticos. Poner los sistemas informticos al resguardo del accionar de los "piratas", como de los "virus" resulta fundamental por las enormes prdidas que las mismas pueden ocasionar a la empresa. No menos importante resulta no slo el control de acceso a la informacin, sino la posibilidad de acceder a archivos de gran valor estratgico como son los relacionados con los clientes y su respectivas evoluciones comerciales. Muchos tienen inters en hacerse de dichas bases de datos a los efectos de su venta a la competencia.

En el control de sistemas del procesamiento electrnico de datos (EDP) podemos diferenciar tres aspectos:

a. Controles de la organizacin del proceso de datos. Podemos estudiar en el cuatro aspectos:

1. 2. 3. 4. Divisin de responsabilidades Control sobre los operadores del ordenador Biblioteca de programas Sistemas de seguridad ante incendios u otros accidentes

A los efectos de mantener la integridad del sistema cuando las funciones de autorizacin y registro estn comprendidas en el propio programa es necesario separar la funcin de operacin y manejo de las mquinas y la de mantenimiento del programa y de la memoria o biblioteca. Esta separacin de funciones es importante por cuanto, proporciona una eficaz verificacin cruzada de la exactitud y correccin de los cambios introducidos en el sistema, impide al personal de operaciones efectuar revisiones sin plena autorizacin y verificacin, evita que el personal ajeno a la operacin tenga acceso al equipo, y por ltimo mejora la eficiencia, puesto que las capacidades y el adiestramiento que se requieren para desempear tan diversas actividades difieren. Es importante la separacin entre el personal encargado de las bibliotecas, y el de la seccin de adquisicin y control de datos.

a.
1. Datos fuente y controles de salida. Es preciso un control sobre los datos de entrada que permita verificar que stos han sido autorizados e introducidos una sola vez. La funcin de los controles de salida es determinar que los datos procesados no incluyen ninguna alteracin desautorizada por la seccin de operaciones del ordenador y que los datos son correctos o razonables. 2. Controles del proceso. Los objetivos principales son descubrir la prdida de datos o la falta de su procesamiento, determinar que las funciones aritmticas se ejecuten correctamente, establecer que todas las transacciones se asienten en el registro indicado, asegurar que los errores descubiertos en el procesamiento de datos se corrijan satisfactoriamente. 3. Controles del archivo o biblioteca. Si stos son defectuosos pueden deformar la contabilizacin. 4. Controles sobre las salidas

b. Controles de procedimientos. Se refieren a cuatro puntos especficos:

Seguridad fsica.
Las precauciones bsicas a tal objeto son:

1. Deben mantenerse en otro lugar, duplicados de todos los archivos, programas y documentacin bsica. 2. Proteccin contra excesos de humedad, variaciones de temperatura, cadas de tensin, cortes de suministro, campos magnticos, actos delictivos, etc. 3. Proteccin contra incendios, inundaciones, desastres naturales, etc. 4. Plan de emergencia que prevea las actuaciones bsicas y medios alternativos disponibles ante distintos niveles de sucesos catastrficos. 5. Designacin de un responsable de seguridad y revisin peridica de la operatividad de los medios dispuestos. 6. Seguro que cubra el riesgo de interrupcin del negocio y el costo de reconstruccin de ficheros.

c. Controles administrativos. Hacen referencia al diseo, programacin y operaciones del EDP.

La Matriz de Control Interno
La misma es una forma de pensar, de planificar, de delegar, de adoptar decisiones y resolver problemas, y de ver la organizacin en su totalidad. Es una forma de pensar, porque analizando la interrelacin de los diversos productos, servicios y reas de la empresa con las disposiciones normativas externas e internas, como as tambin con los principios de control interno y seguridad, lleva tanto a los funcionarios, como a los auditores internos (o externos) y a las gerencias de las diversas reas a preguntarse de que manera afectan, si es que lo hacen, las diversas normativas a sus procesos y actividades, o bien indagar acerca de la existencia o no de normas que se relacionen con las mismas. Cabra preguntarse cuantas veces las organizaciones son pasibles de sanciones pecuniarias por incumplimiento de deberes formales slo por el hecho de no haber realizado las indagaciones o bien de no tener planificados los controles y las respectivas acciones. Es una manera de planificar por cuanto los funcionarios de la organizacin establecen cantidad de controles a ejecutar por perodo de tiempo, con que elementos o recursos se van a contar, que cuestionarios se han de utilizar y quienes los elaborarn. Por medio de la delegacin se asigna por un lado quienes son los responsables de realizar los controles. Como el sistema matricial hace uso de puntajes de eficacia, los aspectos o reas de mayor riesgos, los cuales surgen de los puntajes ms bajos, son aquellos en los cuales se han de priorizar los ajustes y correcciones, adems a travs del anlisis de las razones de los bajos puntajes se logra saber los motivos que los originan y de tal forma adoptar las mejores acciones tendientes a su resolucin.

Universidad Dominicana O&M

Estudiante Edwin Jerez Abreu Matricula 08-EISM-1-095 Seccin 0101 Profesor Ing. Benito Almonte Materia Auditoria informtica Titulo del Trabajo Auditoria de informtica