Unidad 1 Auditoria de Sistemas

Vista previa del material en texto

FACULTAD DE AUDITORIA FINANCIERA O CONTADURIA PÚBLICA 
CARRERA DE CONTADURIA PÚBLICA 
SEGUIMIENTO CURRICULAR 
UNIDAD DE ACREDITACION Y SEGUIMIENTO A LA CALIDAD 
IDENTIFICACION 
ASIGNATURA: AUDITORIA Y CONTROL DE SISTEMAS DE INFORMACION SIGLA : CPA-510 
DOCENTE : Ing. Daniel Santelices Gonzáles GESTION 2022 
Unidad I: Premisas y análisis conceptuales de Auditoria de Sistemas 
Introducción 
Por los años cuarenta, empezaron a darse resultados relevantes en el campo de la computación, con sistemas de apoyo para estrategias militares entre otros, posteriormente se vino incrementando el uso de las computadoras y sus aplicaciones. 
Se diversifico el apoyo a otros sectores de la sociedad: Educación, Salud, Industrial, Político, Banca, Aeronáutica, Comercio. Sin embargo, la seguridad y control de ese medio ambiente se limitaba a dar custodia física a los equipos y a permitir el uso de los mismos por personal altamente calificado (no había un gran número de usuarios ya sea técnicos o administrativos). 
Ya por los años noventa, el medio ambiente de la Informática junto con el uso de internet, se extendieron a todas las ramas de la sociedad, tanto así que se podía controlar un vuelo espacial por medio de una computadora, como seleccionar las compras del hogar desde una microcomputadora. 
Desde el punto de vista empresarial, hoy en día la informática forma parte de la gestión de los diferentes emprendimientos (management), en todos los niveles de negocio, con productos y servicios muy variados, Las aplicaciones informáticas están enraizadas en las operaciones de la empresa que van desde las actividades cotidianas de los ordenadores, servidores, redes, internet, ofimática y software de gestión. En este sentido, la informática, sus aplicaciones y procesos deben 
cumplir con las expectativas de las entidades y adaptarse a la normativa, procesos y procedimientos de control establecidos, para garantizar por un lado la seguridad de la información y por otro el correcto funcionamiento de los sistemas. Es por esto que es inminente la necesidad de que todo proceso informático, deba ser sometido a una auditoria; en este campo a una auditoria informática. 
Ahora bien, el termino de “auditoría” deriva del latin audire que significa oir, el sustantivo latino auditor significa "el que oye". Los primeros auditores ejercían sus funciones principalmente oyendo, juzgando la verdad o falsedad de lo que les era sometido a su verificación. 
Por tanto, la función del auditor de sistemas es la obtención del estado actual de los sistemas informáticos de la empresa, que consiste en los procesos y procedimientos empleados para salvaguardas la información, el grado en que los servicios proporcionados cumplen con las demandas de la entidad y el costo beneficio que conlleva la inversión en el ámbito de sistemas y servicios de tecnología para aprovechar al máximo los recursos informáticos. 
1.1 Conceptos de Auditoria y Auditoria Informática 
∙ Informática 
Campo que se encarga del estudio y aplicación práctica de la Tecnología, Métodos, Técnicas y Herramientas relacionadas con las computadoras y manejo de la información por medios electrónicos. 
Son aquellas áreas de la Tecnología de Información (TI) orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la información de las organizaciones fluya de manera oportuna, veraz y confiable. 
Ahora bien, la informática está compuesta por compones tangibles (Hardware) e intangibles (Software):
o Hardware: Componentes físicos/tangibles de las computadoras, generalmente clasificadas en cuatro grandes ramas: 
▪ Redes (Locales, remotas, etc.) 
▪ Ordenadores (Pc’s, Portatiles, laptops, Tablet, celulares) 
▪ Servidores 
▪ Periféricos 
o Software: Parte no física de las computadoras, esto significa que es la porción no tangible de los equipos de cómputo, son un conjunto de programas con orientaciones específicas para la administración y uso eficiente de los recursos de computo. Se clasifican en: 
▪ Software de Aplicaciones (Sistemas de Información) 
∙ Administrativos 
∙ Financieros 
∙ De Manufactura 
▪ Software de Paquetes Computacionales (Ofimática) 
∙ Hojas Electrónicas (Word, Excel. PPoint….) 
∙ Procesadores de Palabras 
∙ Graficadores 
▪ Software de Programación 
▪ Lenguajes de Tercera Generación (C, C++, Java, BASIC, JavaScript, Pascal, Fortran, Visual Basic.)- Programas de alto nivel que hacen mas fácil la progrmacion que los usados por primera y segunda generación 
▪ Lenguajes de Cuarta Generación (Power Builder, Unix Shell, Perl, PHP, Python, Ruby, SQL. ORACLE) - Sentencias similares a las declaraciones hechas en un lenguaje humano. Los lenguajes de cuarta generación se usan comúnmente en la programación de bases de datos 
▪ Lenguajes de Quinta Generacion (Mercury, OPS5 y Prolog) - Contienen herramientas visuales para ayudar a desarrollar un programa 
▪ Software de Sistemas Operativos (Windows, Linux) 
▪ Productos CASE (Computer Aided Software Engenieering) 
▪ Otros para propósitos específicos (Software a medida)
∙ Auditoria 
Muchas pueden ser las definiciones de auditoría, dependen del enfoque disciplinario de quienes la elaboran; en nuestro caso proponemos la siguiente: Auditoría es un control selectivo, efectuado por un grupo independiente del sistema a auditar, con el objetivo de obtener información suficiente para evaluar el funcionamiento del sistema bajo análisis. 
Auditar es efectuar el control y la revisión de una situación pasada. Es observar lo que pasó en una entidad y contrastarlo con normas predefinidas. (Castello, 2006) 
Con Frecuencia la palabra auditoría se ha empleado incorrectamente y se le ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. Por eso se ha llegado a usar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoría. El concepto de auditoría es más amplio; no solo detecta errores: es un examen crítico que se realiza con objeto de evaluar la eficiencia y eficacia de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar la organización y lograr objetivos propuestos (Echenique, 2001). 
Proceso sistemático por el cual una persona competente e independiente, obtiene y evalúa objetivamente evidencia relativa a aseveraciones sobre una entidad o evento económico, con el propósito de formarse una opinión y reportar el grado en que la aseveración está acorde con un conjunto de estándares identificados (ISACA, 2009). 
Conceptualmente la auditoría, toda y cualquier auditoría, es la actividad consistente en la emisión de una opinión profesional sobre si el sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas (Piattini, 2001). 
1.2 Tipos de Auditoria 
En función al personal 
∙ Auditoria Interna 
Está basada en el control y la vigilancia interna de una empresa o institución. Su realización busca la identificación de puntos de mejora y el correcto funcionamiento dentro de un marco normativo determinado. 
Por medio de la auditoría interna las empresas e instituciones tienen la capacidad de auto examinarse y tomar decisiones apropiadas de cara a la reducción de riesgos y la búsqueda de puntos óptimos. 
Es llevada a cabo por personal que está en nómina de la empresa con los siguientes objetivos 
o Revisión y evaluación de controles contables, financieros y operativos. 
o Determinación del empleo y cumplimento de políticas, planes y procedimientos o Custodia y contabilización de activos 
o Examen de fiabilidad de datos 
o Procedimientos y políticas establecidos por alta dirección hacia la parte operativa. o Información exacta y oportuna de la parte operativa de la empresa a la dirección
∙ Auditoria Externa 
Es un análisis llevado a cabo por un contador independiente con el propósito de acreditar o dar certificación de los estados financieros de una entidad.Esta certificación es necesaria para algunos inversionistas, prestamistas y todas las empresas públicas. 
Están a cargo de este tipo de auditoria, personas externas a la empresa con los siguientes objetivos: 
∙ Investigar y determinar si la forma en que se emplea el sistema informático de la empresa es válida, verídica y correcta. 
∙ Verificar si existen posibles problemas a los cuales se enfrentará la empresa. ∙ Resaltar los puntos fuertes y débiles de determinada toma de decisiones. ∙ Proponer sugerencias constructivas. 
∙ Controlar las actividades relativas al desarrollo de la empresa. 
∙ Ayudar a que la empresa tome decisiones exitosas y confiables. 
En función a sus Objetivos 
∙ Auditoría Financiera o Contable 
Es un procedimiento mediante el cual las empresas se someten a un examen de un experto (sea este interno o externo), su información económica financiera expresada en los estados financieros, en el estado de origen y aplicación de fondos y justificantes a los mismos, con el objetivo de asegurar la integridad y razonabilidad de los mismos de acuerdo a los principios de contabilidad generalmente aceptados (Rivas, 1988) 
∙ Auditoria Organizativa 
La auditoría organizacional tiene como objetivo evaluar la eficacia de la organización y de su estructura para determinar con precisión las opciones más apropiadas para aumentar la eficacia de sus operaciones, actividades y procesos. 
El objetivo es evaluar la eficacia de la organización de la empresa, identificando fortalezas y debilidades en la estructura para garantizar que objetivos, personas y resultados estén en línea con la estrategia, visión, misión y valores. 
Análisis de la adecuación de los procedimientos y funciones según las necesidades y problemas de la empresa (Rivas, 1989). En este sentido es importante establecer las funciones y responsabilidades de las tareas, haciendo seguimiento a su desarrollo, para optimizar el uso de recursos y actividades.
∙ Auditoria de Gestión 
La auditoría de gestión es una herramienta que se utiliza en las organizaciones con la finalidad de diagnosticar, controlar, verificar y establecer recomendaciones en todos los procesos que las empresas u organizaciones realizan para lograr la consecución y el cumplimiento de sus objetivos estratégicos. Uno de los motivos principales por el cual una empresa puede decidir emprender una auditoría de gestión es establecer un control de todos los recursos que ésta tiene y que están siendo utilizados en sus procesos. Estos recursos requieren de un control con la finalidad de evitar desperdicios y desviaciones que estén disminuyendo la rentabilidad de las organizaciones por lo que basada en esta información la organización podría reajustar el sistema de gestión. 
Por tanto, el objetivo de este tipo de auditoria es conocer si las principales decisiones sobre la gestión de la empresa han sido tomadas de forma consistente. Evaluar si las informaciones brindadas son suficientes y óptimas para la toma de decisiones y si los procesos de estudio son los razonables. 
∙ Auditoria Informática. Basada en Tecnologías, no confundir con auditoría financiera con uso de ordenadores. 
Es un conjunto de técnicas, actividades y procedimientos destinados a evaluar, verificar y recomendar asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático de la empresa, por lo que comprende un examen metódico, puntual y discontinuo del área informática para mejorar en rentabilidad, seguridad y eficacia. 
Este tipo de auditoria debe ser realizado usando una metodología específica, en un fecha determinada y extraño al servicio de informática para garantizar la objetividad de la misma. El objetivo de este examen es detectar fraudes o errores en la informática mediante controles oportunos. Cabe destacar que la mayoría de los fraudes es realizado por personal del propio centro de cómputo, es decir por aquellas personas que mejor conocen la organización del centro, los puntos débiles en los que son posibles ser vulnerados los controles 
1.3 Auditoria Informática 
Rivas (1989), señala que la auditoria informática, “es un conjunto de técnicas, actividades y procedimientos destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático en vistas a mejorar en rentabilidad, seguridad y eficacia” 
Evaluar la eficiencia del uso adecuado de los recursos informáticos, de la gestión informática (Castello, 2006) 
Es la revisión, análisis y evaluación independiente y objetiva, por parte de personas independientes y técnicamente competentes del entorno informático de una entidad, abarcando todas o algunas de sus áreas, como (sin que sea con carácter exigente): equipos, sistemas operativos y paquetes, aplicaciones y el proceso de su desarrollo, organización y funciones, las comunicaciones, la propia gestión de los recursos 
informáticos, la calidad de procesos y productos, las políticas, estándares y procedimientos en vigor de la entidad, su idoneidad así como el cumplimiento de dichas políticas, estándares y procedimientos, los objetivos fijados, los planes, los presupuestos, los contratos y las normas legales aplicables, el grado de satisfacción de los usuarios y directivos, los controles existentes, un análisis de los posibles riesgos relacionados con la Informática. (Gonzales, 1998) 
∙ Objetivos de la auditoria Informática 
o Mejorar la eficacia de la organización informática y proteger sus activos y recursos (Seguridad; políticas y normas) 
o Garantizar resultados fiables en tiempo, coste y utilidad de los sistemas de información 
o Mejorar los procedimientos estándares y planificación colaborando en su diseño en la actualización de sus normas 
Ej. Empresas que no hacen copias de seguridad. 
∙ Tipos de Auditoria Informática 
Existen diferentes tipos de auditoria informática, se clasifican en: 
o Auditoria Informática de Explotación 
La Auditoria de explotación es el control que se realiza sobre las funciones del Sistema de Información para asegurar que las mismas se efectúen de forma regular, ordenada y que satisfagan los requisitos empresariales. 
El nivel de competencia que existe, hoy en día, entre las empresas les obliga a tomar decisiones rápidas y acertadas. Es necesario, para ello el funcionamiento adecuado de los sistemas informáticos (mediante la incorporación de las nuevas tecnologías) y su continua actualización. 
La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, archivos magnéticos para otros informáticos, órdenes automatizadas para lanzar o modificar procesos industriales. Para realizar la Explotación informática se dispone de materia prima los Datos, que es necesario transformar, y que se someten previamente a controles de integridad y calidad. 
o Auditoria Informática de Sistemas 
La auditoría de sistemas es un proceso de revisión de los sistemas de información (SI) y tecnologías de la información (TI) que ayuda a las empresas a identificar hallazgos, mitigar riesgos e implementar controles adecuados que permitan proteger su información crítica y valiosa 
En la actualidad, la importancia creciente de las telecomunicaciones ha propiciado que las Comunicaciones, Líneas y Redes de las instalaciones informáticas, se auditen por separado, aunque formen parte del entorno general de "Sistemas".
o Auditoria Informática de Comunicaciones 
Es una serie de mecanismos mediante los cuales se pone a prueba una red informática, evaluando su desempeño y seguridad, a fin de lograr una utilización más eficiente y segura de la información. Asegurar la integridad, confidencialidad y confiabilidad de la información. 
El entorno del Online tiene una especial relevancia en la Auditoria Informática debido al alto presupuesto anual que los alquileres de líneassignifican. El auditor de Comunicaciones deberá inquirir sobre los índices de utilización de las líneas contratadas, con información abundante sobre tiempos de desuso. 
o Auditoria Informática de Desarrollo de Proyectos 
La función de Desarrollo consiste en el análisis y programación de sistemas y aplicaciones informáticas en áreas de la empresa, pasibles a ser automatizadas. 
La Auditoria de proyectos informáticos, es una revisión estructurada e independiente para verificar si en el proyecto se está cumpliendo con los resultados, los plazos, los beneficios, el costo y los planes previstos; y para determinar que ajustes se deben aplicar para corregir las desviaciones detectadas. 
o Auditoria Informática de Seguridad 
La seguridad en la informática abarca los conceptos de seguridad física y seguridad lógica. 
La Seguridad física se refiere a la protección del Hardware y de los soportes de datos, así como los edificios e instalaciones que los albergan. Contempla las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc. Igualmente, a este ámbito pertenece la política de Seguros. 
La seguridad lógica se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información. 
1.4 Controles y tipos de Controles 
∙ Control Interno 
Se puede definir el Control Interno como cualquier actividad o acción realizadas manual y/o automáticamente para prevenir o, en su caso, corregir errores e irregularidades que puedan afectar el funcionamiento de una organización, de manera que ésta pueda conseguir sus objetivos. 
El Informe COSO (Committee of Sponsoring Organizations of Treadway) define el Control Interno como “las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable a fin de establecer si los objetivos de la empresa se alcanzarán y si los eventos no deseados se preverán, se detectarán y se corregirán”. 
El control interno comprende el plan de organización y todos los métodos y procedimientos que coordinadamente se adopten en un negocio para:
o Salvaguardar sus activos. 
o Verificar la razonabilidad y confiabilidad de su información financiera 
o Promover la eficiencia operacional 
o Provocar la adhesión a las políticas fijadas por la administración. 
Tradicionalmente, en materia de control interno se solía adoptar un enfoque restringido limitado a los controles contables internos. En tanto se relacionaba con información financiera, el control interno era un tema que interesaba principalmente al personal del área financiera y al auditor externo pero no incluía muchas de las actividades operativas clave destinadas a prevenir los riesgos efectivos y potenciales a los que se enfrentan hoy las organizaciones, muchas de las cuales paulatinamente han determinado cambios que sometieran a una gran tensión a los controles internos existentes; las iniciativas en tal sentido han tenido que ver con: 
o La reestructuración de los procedimientos empresariales 
o La gestión de calidad total (TQM, Total Quality Management ) 
o La contratación externa (outsourcing) 
o La descentralización. 
El mundo ha cambiado con tal vertiginosidad que ha expuesto a las empresas a la acción de muchas fuerzas externas 
o La globalización 
o La diversificación de actividades 
o La eliminación de ramas de negocios no rentables 
o La introducción de nuevos productos y servicios como respuesta a la competencia o Las fusiones y formación de alianzas estratégicas todas las cuales han impactado muy fuertemente en sus respectivos ámbitos de control interno. 
∙ Control interno informático 
Dentro del control interno, cabe destacar el control interno informático, el cual puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados. 
En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos, según sea la herramienta utilizada: 
o Controles manuales, que son ejecutados por el personal del área usuaria o de informática, sin la utilización de herramientas computacionales. 
o Controles Automáticos, que son generalmente los incorporados en el software, ya se trate de software de base, software de comunicación, software de gestión de base de datos o software de aplicación, entre otros. 
Así también, los controles según su finalidad se clasifican en: 
o Controles Preventivos, cuya finalidad es evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado en determinadas áreas restringidas de la organización 
o Controles Detectivos, cuyo objetivo es tratar de descubrir a posteriori errores o fraudes que no se hayan evitado mediante los controles preventivos
o Controles Correctivos, los cuales se definen para asegurar que se subsanen todos los errores identificados mediante los controles detectivos. 
Estos tres tipos de controles tienen a su cargo las siguientes tareas: 
o Monitoreo sobre todas las actividades que se realizan, para verificar que se estén cumpliendo los procedimientos y normas fijados, evaluar su fiabilidad y asegurar el cumplimiento de las normas legales 
o Actuación como servicio de apoyo al trabajo de auditoría informática interna / externa Definición, implantación y ejecución de mecanismos para comprobar el nivel de cumplimiento de los servicios informáticos 
o Monitoreo en los diferentes sistemas de cómputo y entornos informáticos, de las diferentes actividades que se lleven a cabo. 
∙ La función del control interno informático 
El control interno informático es una función del departamento de Informática de una organización, cuyo objetivo es el de controlar que todas las actividades relacionadas con los sistemas de información automatizados se realicen observando las normas, estándares, procedimientos y disposiciones legales establecidas, interna y externamente. 
Entre sus tareas específicas merecen destacarse: 
o Difundir y controlar el cumplimiento de las normas, estándares y procedimientos entre el personal de programación, técnicos y operadores 
o Diseñar la estructura del control interno informático en los siguientes aspectos 
▪ Desarrollo y mantenimiento del software de aplicación 
▪ Explotación de servidores principales 
▪ Software de Base 
▪ Redes de Computación 
▪ Seguridad Informática 
▪ Licencias de software 
▪ Relaciones contractuales con terceros 
▪ Cultura del riesgo informático en la organización. 
La relevancia de esta función se asienta sobre la planificación, control y evaluación –por parte de la Dirección General- de las actividades del Departamento de Informática; es inherente a dicha función disponer de: 
o Plan Estratégico de Información, realizado por el Comité de Informática o Plan de desarrollo Informático realizado por el Departamento de Informática o Plan General de Seguridad (física y lógica). 
∙ Perfil del Auditor Informático 
El perfil que se requiere para llevar a cabo auditorías de sistemas de información no está regulado, pero es evidente que es necesaria una formación y sobre todo una experiencia acorde con la función, e incluso con las áreas a auditar: seguridad, desarrollo de aplicaciones, gestión; además de ser imprescindibles en el perfil otras características o circunstancias como independencia respecto a los auditados, madurez, capacidad de análisis y síntesis, e interés no meramente económico.
Otro punto a considerar al crear la función interna es si se forma a técnicos en auditoría general o se forma a auditores en otras áreas en auditoría en S.I. La independencia se consigue en parte ubicando la función en el lugar adecuado del organigrama, fuera en todo caso del área de S.I. 
BibliografíaCastello, Ricardo J. (2006). Auditoria en entornos Informáticos. I.S.B.N. 950-33-0199-8 Echenique García, José Antonio (2001). Auditoría en Informática, segunda edición. 
González, M. A. R. (1998). Auditoría Informática. Informática y derecho: Revista iberoamericana de derecho informático, (19), 657-688. 
ISACA (2013). Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información), publicado en la página http://www.isaca.org/Spanish/Pages/default.aspx 
Pignani, (2006). Pigani Juan Manuel, 2006: Sistemas Expertos, publicado en la página http://www.unlu.edu.ar/ogarcia/