Evolución de la Auditoría de Sistemas • Expansión del comercio después de pasar por el trueque, los comerciantes se agruparon en gremios y luego formaron las primeras empresas. Con esto se inició el resgistro de operaciones mercantiles a través de escribas y luego con el nacimiento de la partida doble surgió la teneduría de libros que llegó a impulsar la CONTABILIDAD • A la par se requirió que alguien evaluara que estos registros y resultados fueran veraces y correctos y nació el acto de AUDITAR. • Las primeras revisiones fueron rudimentarias y poco meticulosas, su principal objetivo era saber si las transacciones eran registradas correctamente y las cantidades eran exactas, para comprobar que no existían desfalcos o sustracciones de bienes. • Conforme crecía la actividad empresarial y la presencia de los bancos para custodiar sus depósitos y otorgar préstamos, se requirió la elaboración de estados financieros que reflejaban los resultados de períodos anteriores y servían para demostrar la solvencia cuando solicitaban los préstamos • Luego se hizo necesario que los estados financieros de las empresas fueran avalados por un profesional independiente. Asi nació la actividad del AUDITOR • El verdadero nacimiento de la auditoría fue a finales del siglo XV cuando los nobles y ricos de España, Francia, Holanda e Inglaterra recurrían a los servicios de revisores de cuentas que se encargaban de revisar las cuentas manejadas por sus administradores de bienes y asegurar que no había fraude en los reportes que les presentaban. • El descubrimiento de América contribuyó al crecimiento de la Auditoría, pues la Corona envió visitadores a revisar cuentas y resultados de sus colonias, revisaban el manejo de los tesoros, las recaudaciones, los gastos y la forma como sus encargados gobernaban • El origen de los auditores es la Curia Romana, que en un principio daba consejos en materia de teología, luego ejercía el poder civil, eclesiástico y desde 1831 se entendió de ciertos asuntos disciplinarios. • A mediados del siglo XIX la ley de Empresas del Reino Unido de Inglaterra impuso la obligación de realizar auditorías a los estados financieros de las Empresas públicas. Esta costumbre también se adoptó en Estados Unidos para las empresas que cotizaban en la bolsa de valores. • También se conocieron los auditores de la Marina y Guerra en 1894 • Los antecedentes más recientes aparecen con la revolución industrial a partir de 1870, en donde el crecimiento de las operaciones de estas empresas demandó la necesidad de los auditores. • En un principio la Auditoría se consideró como una rama de la Contabilidad, pero luego se extendió a las ramas de ingeniería, medicina, sistemas y así a casi todas las disciplinas del quehacer humano. Concepto de Auditoría Es la revisión independiente de alguna o algunas actividades, funciones específicas, resultados u operaciones de una entidad administrativa, realizada por
un profesional de auditoría, con el propósito de evaluar la correcta realización y poder emitir una opinión autorizada sobre la razonabilidad de sus resultados y el cumplimiento de sus operaciones La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Concepto de Auditoría Informática La palabra auditoría viene del latín auditorius y de esta proviene auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación. En administración y en negocios, existen 2 términos que en muchas ocasiones son frecuentemente confundidos por la gente de negocios y por el público en general: eficacia y eficiencia. La eficacia tiene que ver con resultados, está relacionada con lograr los objetivos. La eficiencia, en cambio, se enfoca a los recursos, a utilizarlos de la mejor manera posible. ¿Se puede ser eficiente sin ser eficaz? ¿Qué tal ser eficaz sin ser eficiente? La respuesta a ambas interrogantes es afirmativa El examen y evaluación de los procesos del Área de Procesamiento automático de Datos y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas. El proceso de recolección y evaluación de evidencia para determinar en un sistema automatizado: - Daños - Salvaguarda activos Destrucción - Uso no autorizado - Robo - Mantiene Integridad de Información Precisa, Completa, Oportuna y Confiable - Alcanza metas Contribución de la organizacionales función informática - Consume recursos
-
•
•
•
Utiliza los recursos adecuadamente y eficientemente en el procesamiento de la información Tipos y clases de Auditoría Por su lugar de aplicación: • Auditoría Externa: realizada por auditores totalmente ajenos a la Empresa • Auditoría Interna: realizada por auditores con relación de trabajo directa y subordinada a la Empresa Por su área de aplicación: • Auditoría Financiera (contable): Revisión del registro de las operaciones financieras y la emisión de los estados Financieros • Auditoría Administrativa: Revisión a la actividad administrativa, en cuanto a su organización, relación entre sus integrantes y cumplimiento de las funciones y actividades que regulan sus operaciones • Auditoría Operacional: Revisión a las actividades de una empresa, cumplimiento de métodos, técnicas y procedimientos para el desarrollo de sus operaciones • Auditoría Integral: Revisión a todas las actividades y operaciones de una Empresa de manera integral, evalúa las funciones de todas sus áreas, los resultados conjuntos y relaciones de trabajo, comunicaciones y procedimientos interrelacionados, para alcanzar el objetivo institucional. • Auditoría Gubernamental: Evalúa la correcta aplicación de los presupuestos y gastos del gobierno en las diferentes entidades gubernamentales y de administración pública. • Auditoría de Sistemas: Revisión a los sistemas computacionales, software e información, así como a sus instalaciones, telecomunicaciones, mobiliario, periféricos, aprovechamiento de recursos, medidas de seguridad y bienes de consumo necesarios para el centro de cómputo. Auditorías especializadas en áreas específicas • Auditoría al área médica (evaluación médico-sanitaria): Aplicada por especialistas de ciencias médicas y similares, evalúa el correcto desempeño de las funciones y actividades del personal médico, paramédico, técnicos de salud y similares, así como la atención que prestan a pacientes, familiares y proveedores. • Auditoría al desarrollo de obras y construcciones (evaluación de ingeniería): revisión a la edificación de construcciones, ciimientos,obra negra, acabados, y servicios urbanísticos de casas, edificios, puentes, caminos, presas y aulquier otro tipo de construcción. • Auditoría Fiscal: Para comprobar el correcto pago de impuestos y demas obligaciones tributariaas tanto de la Empresa, como de sus empleados, clientes y proveedores • Auditoría Laboral: Su propósito es dictaminar sobre el adecuaco cumplimiento de la selección, capacitación y desarrollo del personal, correcta aplicación de prestaciones sociales y económicas, medidas de
seguridad e higiene, elaboración de contratos colectivos e individuales, reglamentos internos, normas de conducta. • Auditoría de proyectos de inversión: revisión a los planes, programas y ejecución de las inversiones de los recursos económicos de una institución pública o privada • Auditoría a la caja chica o caja mayor (arqueos): revisión periódica del manejo de efectivo que se asigna a una persona o área de una empresa, y de los comprobantes de ingreso y egreso generados por sus operaciones • Auditoría al manejo de mercancías (inventarios): Revisión física a través del conteo de bienes, productos y materias primas, intermedias o de consumo final, para verificar que lo físico concuerde con los registros contables. • Auditoría ambiental: Revisión de las medidas preventivas y correctivas que disminuyan y eviten la contaminación, para así preservar la naturaleza y mejorar la calidad de vidad de la sociedad. • Auditoría de Sistemas • Auditoría de Sistemas computacionales: Auditoría con la computadora: se realiza con equipos y programas para evaluar cualquier tipo de operaciones y actividades, automatizadas o suceptibles de ser automatizadas. Auditoría sin la computadora: evaluación de la estructura de la organización, funciones y actividades de funcionarios y personal del centro de cómputo, reportes informes y bitácoras de los sistemas, existencia y aplicación de planes, programas y presupuestos, uso y aprovechamiento de los recursos informáticos, evaluación de sistemas de seguridad y prevención de contingencias, adquisición de hardware,software y personal, y en si todo lo relacionado a un centro de cómputo, pero sin el uso directo de sistemas computacionales. Auditoría a la gestión informática: Revisión de la planeación, organización, dirección y control de un centro de cómputo, para dictaminar la adeuada gestión administrativa Auditoría al Sistema de Cómputo: Auditoría que se enfoca al hardware,software y periféricos, instalaciones y comunicaciones internas y externas, así como al diseño, desarrollo y uso del software de oeración,de aplicación y de apoyo Auditoría alrededor de la computadora: evaluación de los métodos y procedimientos de acceso y procesamiento de datos, emisión y almacenamiento de resultados, actividades de planeación y presupuestación, aspectos operacionales y financieros, atención a los usuarios y el desarrrollo de nuevos sistemas • Auditoría de Sistemas computacionales: Auditoria de la seguridad de sistemas computacionales: revisión de actividades y acceiones preventivas que contribuyan a salvaguardar la seguridad de los equipos, bases de datos, redes, instalaciones y usuarios del sistema, así como tambien planes de contingencia para proteger la información y los propios sistemas computacionales. Auditoría a los sistemas de redes: evaluación d los tipos de redes, arquitectura, topologías, protocolos de comunicación, conexiones, accesos, privilegios y administración. Es también la revisión del software institucional, de los recursos
informáticos e información de las funciones que permite compartir bases de datos, instalaciones, hardware y software de un sistema de red. Auditoría integral de los centros de cómputos: rewalizada por un equipo multidisciplinarios de auditores, evalúa en forma integral el uso adecuado de los sistemas de cómputo, equipos periféricos y de apoyo para el procesamiento de información de la Empresa, asi como de la red de servicios, y el desarrollo correcto de funciones en sus áreas, personal y usuarios Auditoría ISO 9000 a los sistemas computacionales: realizada por auditores especializados y certificados, evalúan, determinan y certifican que la calidad de los sistemas computacionales se apegan a los requerimientos del ISO 9000 Auditoría Outsourcing: evalúa la calidad en el servicio de asesoría o procesamiento externo de información que una empresa proporciona a otra. Auditoría ergonómica de sistemas computacionales: evalúa la calidad, eficiencia y utilidad del entorno hombre-máquina-medio ambiente que rodea el uso de sistemas computacionales en una empresa • Objetivos de la Auditoría de sistemas Objetivos Generales: • Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados. • Incrementar la satisfacción de los usuarios de los sistemas computarizados. • Asegurar una mayor integridad, confidencialidad y disponibilidad de la información mediante la recomendación de seguridades y controles. • Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. • Seguridad de personal, datos, hardware, software e instalaciones. • Apoyo de función informática a las metas y objetivos de la organización. • Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático. • Minimizar existencias de riesgos en el uso de Tecnología de información. • Decisiones de inversión y gastos innecesarios. • Capacitación y educación sobre controles en los Sistemas de Información B. Objetivos Específicos: 1. Participación en el desarrollo de nuevos sistemas: · Evaluación de controles · Cumplimiento de la metodología. 2. Evaluación de la seguridad en el área informática. 3. Evaluación de suficiencia en los planes de contingencia. · Respaldos, proveer qué va a pasar si se presentan fallas. 4. Opinión de la utilización de los recursos informáticos. · Resguardo y protección de activos. 5. Control de modificación a las aplicaciones existentes. · Fraudes · Control a las modificaciones de los programas (Metodología) 6. Participación en la negociación de contratos con los proveedores:
• Firma de conformidad 7. Revisión de la utilización del sistema operativo y los programas utilitarios. 8. Auditoria de la base de datos. • Estructura sobre la cual se desarrollan las aplicaciones. 9. Auditoria de la red de teleprocesos: Seguridades físicas y lógicas, Trafico de datos 10. Desarrollo de software de auditoría: Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos Alcance de la Auditoría de sistemas La auditoria informática persigue corroborar que exista seguridad informática. La Seguridad Informática se define, como la estructura de control establecida para gestionar la disponibilidad, integridad, confidencialidad y consistencia de los datos, sistemas de información y recursos informáticos. 1. CONTROL INTEGRIDAD DE REGISTROS El concepto de integridad significa que el sistema no debe modificar o corromper la información que almacene, o permitir que alguien no autorizado lo haga. Esta propiedad permite asegurar que no se ha falseado la información. Por ejemplo, que los datos recibidos o recuperados son exactamente los que fueron enviados o almacenados, sin que se haya producido ninguna modificación, adición o borrado. De hecho el problema de la integridad no sólo se refiere a modificaciones intencionadas, sino también a cambios accidentales o no intencionados. Control integridad de registros en tablas relacionadas Hay Aplicaciones que comparten registros, son registros comunes. Si una Aplicación no tiene integrado los registros en común, cuando necesite utilizar alguno de ellos y este borrado, por accidente o no, la aplicación no funcionaría como debería. Un ejemplo se observa cuando se vende productos con factura, donde la cabecera de la factura representa un registro en la tabla cabecera y cada uno de los ítems vendidos son un registro cada uno en una tabla diferente que la podemos llamar detalle. Eliminar la cabecera, nos dejaría solo los registros detalle sin información del comprador, fecha y otros datos de la cabecera, pero esto es un error más profundo que se notará cuando se hagan análisis de las ventas por cliente o por rangos de fecha. 2. CONTROL VALIDACION DE ERRORES En el argot informático es común escuchar “garbage in, garbage out” o lo que es lo mismo “basura que entra, basura que sale”. Las validaciones evitan que las “amenazas” por datos, de adrede o sin intención, mal ingresados u omitidos, hagan trabajar mal el sistema de computación. El ingreso de datos erróneos también son producto de la permisión y uso de recurso humano con poco entrenamiento. Un ejemplo de datos mal ingresados es un producto con un precio cero y stock que se quiere activar para la venta. Un precio altísimo para un producto. O un código de cliente con su nombre en blanco. O un asiento contable con valores no cuadrados entre el debe y el haber. O fechas inconsistentes entre si, como la de nacimiento con la de graduación. Entonces “errores” pueden ser: Malos datos, omisión e inconsistencia de los datos.
En el ámbito de las redes y las comunicaciones, se trata de proporcionar los medios para verificar que el origen de los datos es el correcto, quién los envió y cuándo fueron enviados y recibidos. En los bancos, cuando se realizan transferencias de fondos u otros tipos de transacciones, normalmente es más importante mantener la integridad y precisión de los datos que evitar que sean interceptados o conocidos (mantener la confidencialidad). En el campo de la criptografía hay diversos métodos para mantener/asegurarla autenticidad de los mensajes y la precisión de los datos recibidos. Se usan para ello códigos o firmas añadidos a los mensajes en origen y recalculadas (comprobadas) en el destino. Este método puede asegurar no sólo la integridad de los datos (lo enviado es igual a lo recibido), sino la autenticidad de la misma (quién lo envía es quien dice que es). 3. INFORMACION INTERNA DEL COMPUTADOR Definición operacional: Un ordenador es seguro si podemos contar con que su hardware y su software se comporten como se espera de ellos. Veamos algunas propiedades que hacen posible que la información interna del computador sea más segura y por tanto son propiedades que deben ser evaluadas al momento de realizar una auditoría informática. Confidencialidad Se entiende como el servicio de seguridad, o condición, que asegura que la información no pueda estar disponible o ser descubierta por o para personas, entidades o procesos no autorizados. La confidencialidad, a veces denominada secreto o privacidad, se refiere a la capacidad del sistema para evitar que personas no autorizadas puedan acceder a la información almacenada en él. En entornos de negocios, la confidencialidad asegura la protección en base a disposiciones legales o criterios estratégicos de información privada, tal como datos de las nóminas de los empleados, documentos internos sobre estrategias, nuevos productos o campañas, etc. Este aspecto de la seguridad es particularmente importante cuando hablamos de organismos públicos, y más concretamente aquellos relacionados con la defensa Diferencias entre Auditoría financiera, administrativa e informática AUDITORIA FINANCIERA • Realizar una evaluación, de manera independiente, de las operaciones financieras de una institución, a fin de emitir un dictamen sobre la razonabilidad de sus registros, operaciones y resultados financieros. • Hacer una revisión, desde un punto de vista autónomo, de las actividades financieras y de las operaciones y registros contables de las áreas de una empresa. • Evaluar el cumplimiento de los planes, programas, políticas, lineamientos y normas que regulan las actividades financieras de una institución, así como de sus áreas presupuestales y unidades administrativas. • Vigilar el ejercicio y cumplimiento de los planes, presupuestos y programas de inversión de una empresa, así como sus bienes e inventarios. • Revisar los estados financieros que se presentan ante las autoridades fiscales y
terceros, con el propósito de evaluar su correcta elaboración, los pagos de impuestos y utilidades de una empresa, así como emitir una opinión sobre el comportamiento de ésta. AUDITORIA ADMINISTRATIVA • Realizar una evaluación, de manera independiente, de las actividades, operaciones, estructura organizacional y funciones de una institución, con el fin de emitir un dictamen sobre la razonabilidad de su gestión administrativa. • Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la gestión directiva de las áreas y unidades administrativas de una institución. • Evaluar la actividad administrativa de los directivos y demás empleados de una empresa, así como dictaminar sobre el cumplimiento de sus funciones y actividades. • Analizar todo lo relacionado con la gestión administrativa de una empresa. Diferencias entre Auditoría financiera, administrativa e informática AUDITORIA INFORMATICA • Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática. • Hacer una evaluación sobre el uso de los recursos financieros en las áreas del centro de información, así como del aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones. • Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro de cómputo, así como el uso de sus recursos técnicos y materiales para el procesamiento de información. • Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas. • Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información, así como de su personal y de los usuarios del centro de información. • Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especiales para auditoría y de la paquetería que sirve de soporte para el desarrollo de auditorías por medio de la computadora. Areas a auditar en informática Hardware Plataforma de hardware Tarjeta madre Procesadores Dispositivos periféricos Arquitectura del sistema Instalaciones eléctricas, de datos y de telecomunicaciones Innovaciones tecnológicas de hardware y periféricos Software Plataforma del software
Sistema operativo Lenguajes y programas de desarrollo Programas, paqueterías de aplicación y bases de datos Utilerías, bibliotecas y aplicaciones Software de telecomunicación Juegos y otros tipos de software Información Administración, seguridad y control de la información Salvaguarda, protección y custodia de la información Cumplimiento de las características de la información Gestión informática Actividad administrativa del área de sistemas Operación del sistema de cómputo Planeación y control de actividades Presupuestos y gastos de los recursos informáticos Gestión de la actividad informática Capacitación y desarrollo del personal informático Administración de estándares de operación, programación y desarrollo Diseño de sistemas Metodologías de desarrollo de sistemas Estándares de programación y desarrollo Documentación de sistemas Bases de datos Administración de bases de datos Diseño de bases de datos Metodologías para el diseño y programación de bases de datos Seguridad, salvaguarda y protección de las bases de datos Seguridad Seguridad del área de sistemas Seguridad física Seguridad lógica Seguridad de las instalaciones eléctricas, de datos y de telecomunicaciones Seguridad de la información, redes y bases de datos Administración y control de las bases de datos Seguridad del personal informático Redes de cómputo Plataformas y configuración de las redes Protocolos de comunicaciones Sistemas operativos y software Administración de las redes de cómputo Administración de la seguridad de las redes Administración de las bases de datos de las redes Especializadas Outsourcing
Helpdesk Ergonomía en sistemas computacionales ISO-9000 Internet/intranet Sistemas multimedia Ventajas y desventajas de auditoría de sistemas VENTAJAS • Se asegura una mejora en la calidad del trabajo del operador y en el desarrollo del proceso, esta dependerá de la eficiencia del sistema implementado. • Se obtiene una reducción de costos, puesto que se racionaliza el trabajo, se reduce el tiempo y dinero dedicado al mantenimiento. • Existe una reducción en los tiempos de procesamiento de información. • Flexibilidad para adaptarse a nuevos productos y disminución de la contaminación y daño ambiental. • Racionalización y uso eficiente de la energía y la materia prima. • Aumento en la seguridad de las instalaciones y la protección a los trabajadores DESVENTAJAS • Elevado costo inicial • Limitada habilidad para determinar si la aplicación es propensa a error. • Sólo se verifican aplicaciones que se están ejecutando, son dependientes del sistema en uso en la entidad auditada. • Necesidad de mantenimiento del sistema debido a las modificaciones que habrá tenido la aplicación en los exámenes subsiguientes o por cambio de aplicación.
