AUDITORIA DE SISTEMAS

INTEGRANTES

• YESICA CAROLINA  ORTIZ 
• EDITH PEREZ 

 

UNIVERSIDAD COOPERATIVA DE COLOMBIA

CONTADURÍA PUBLICA VIII   SEMESTRE

ARAUCA - ARAUCA 2012

INTRODUCCIÓN

La naturaleza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de Normas Generales para la Auditoría de los Sistemas de Información.

La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus  sistemas,  organización y equipo.

A continuación, la descripción de los dos principales objetivos de una auditoría de sistemas, que son, las evaluaciones de los procesos de datos y de los equipos de cómputo, con controles, tipos y seguridad.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

·         Evaluación de los sistemas y procedimientos.

·         Evaluación de los equipos de cómputo.

QUE ES AUDITORIA DE SISTEMAS

auditor, que tiene la virtud de oír y revisar cuentas, pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se está operando para que, por medio del señalamiento de cursos alternativos de acción, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuación.

Algunos autores proporcionan otros conceptos pero todos coinciden en hacer énfasis en la revisión, evaluación y elaboración de un informe para el ejecutivo encaminado a un objetivo específico en el ambiente computacional y los sistemas.

Otros  conceptos:

 

Auditoría de Sistemas es:

•  La verificación de controles en el procesamiento de la información, desarrollo de sistemas e instalación con el objetivo de evaluar su efectividad y presentar recomendaciones a la Gerencia.

•  La actividad dirigida a verificar y juzgar información.

•  El examen y evaluación de los procesos del Área de Procesamiento automático de Datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.

TIPOS DE AUDITORIA

CLASE	CONTENIDO	OBJETO	FINALIDAD
Financiera	Opinión	Cuentos  Manuales	Presentar   realidad
Informática	Opinión	Sistemas de aplicación, recursos, informáticos planes contingentes	Definir la operatividad eficiencia y según normas establecidas
Gestión	Opinión	Dirección	Eficacia , eficiencia, economicidad
Cumplimiento	Opinión	Normas establecidas	Las operaciones se adecuan a estas normas

PRINCIPIOS DEONTOLÓGICOS

•          Beneficio del auditado
•          Calidad
•          Capacidad
•          Cautela
•          Comportamiento profesional
•          Concentración en el trabajo
•          Confianza
•          Criterio propio
•          Discreción
•          Economía
•          Formación continuad
•          Fortalecimiento y respeto a la profesión

PRINCIPIO DE INDEPENDENCIA

•          Información suficiente
•          Integridad moral
•          Legalidad
•          Libre competencia
•          No discriminación
•          No injerencia
•          Publicidad adecuada
•          Responsabilidad
•          Secreto profesional
•          Servicio publico

QUE ES SISTEMA DE INFORMACIÓN

Es un conjunto de elementos orientados al tratamiento y administración de dato e información, organizados y lista para su uso, generado para cubrir una necesidad  (objetivos). Dichos elementos tomaran parte de algunas de estas categorías.

•          Personas
•          Datos
•          Actividades o técnicas de trabajo
•          Recursos materiales en general (típicamente informáticos y de comunicación aunque no tiene que ser de este tipo obligatoriamente)

 Todos estos elementos interactúan entre sí para procesar los datos (incluyendo procesos manuales y automáticos).

COMO SE IMPLEMENTA EL SISTEMA DE INFORMACIÓN

• ETAPAS
• PLANIFICACIÓN
• ANÁLISIS
• MODELADO
• DISEÑO
• IMPLEMENTACIÓN
• PRUEBAS
• INSTALACIÓN

ETAPAS

•          Planificación
•          Análisis
•          Diseño
•          Implementación
•          Pruebas
•          Instalación/ despliegue
•          Uso y mantenimiento

PLANIFICACIÓN

•          Ámbito del proyecto
•          Estudio de viabilidad
•          Análisis de riesgos
•          Estimación
•          Planificación temporal
•          Asignación de recursos

ANÁLISIS

•          Licitación de requerimientos
•          Requerimientos funcionales
•          Requerimientos no funcionales

MODELADO

•          Modelado de datos
•          Modelado de procesos

DISEÑO

•          Estudio de alternativas y diseño de arquitectónico
•          Diseño de la base de datos
•          Diseño de las aplicaciones

IMPLEMENTACIÓN

•          Adquisición de componentes
•          Creación e integración de los recursos necesarios para que el sistema funcione

PRUEBAS

•          Pruebas de unidad
•          Pruebas de interacción
•          Pruebas de alta
•          Prueba de Beta
•          Test de aceptación

INSTALACIÓN

•          Mantenimiento adaptivo
•          Mantenimiento correctivo
•          Mantenimiento perfectivo

APLICACIÓN DE LOS SISTEMAS DE INFORMACIÓN

Los sistemas de información tratan el desarrollo, uso y administrativo de la infraestructura de la tecnología de la información en una organización en la era post-industrial, la era de la información, el enfoque de las compañías ha cambiado de la orientación hacia el producto a la orientación hacia el conocimiento, en este sentido el mercado compite hoy en día en términos del proceso y la innovación, en lugar del producto. El análisis ha cambiado de la calidad y cantidad de producción hacia el proceso de producción en sí mismo, y los servicios que acompañan este proceso

TIPOS DE AUDITORIA

Origen

•          Auditoria interna
•          Auditoria externa

ÁREA DONDE SE HACE

•          Financiera
•          Administrativa
•          Operacional
•          Gubernamental
•          Integral
•          Sistemas

ESPECIALIDAD EN LOS SISTEMAS DE INFORMACIÓN

•          Informática
•          Con la computadora
•          Sin la computadora
•          Gestión informática
•          Alrededor de la computadora
•          Seguridad de sistemas
•          Sistema de redes

AUDITORIA INTERNA

 VENTAJAS

•          Conocimiento más profundo sobre la empresa
•          Revisión más profunda
•          Informe domestico confidencial
•          No tiene U.S costo adicional
•          Detección de problemas a tiempo 

DESVENTAJAS

•          Veracidad cuestionada
•          Pueden resistir presiones
•          Pueden presentarse vicios en el uso de las herramientas, evaluación, informe.

OUTSOURCING

VENTAJAS

•          Mejores practicas
•          Uso de la tecnología
•          Simplificación incluida

OBJETIVOS E AUDITORIA DE SISTEMAS

•          Verificación de información
•          Verificación de controles en el procesamiento de la información
•          Evaluación de procesos automáticos (datos, recursos)
•          Debe estar conformadas por elementos que ayuden a recolectar y evaluar la información
•          Evaluar la contabilidad de los controles
•          Revisión de políticas y procedimientos utilizados por los sistemas de información.

ELEMENTOS DE ENFOQUE

•          Uso no autorizados
•          Daño o destrucción
•          Robo
•          Integridad de la información
•          Deficiencia y efectividad

ETAPAS

ENTRADA – PROCESO – SALIDA

TÉCNICA ASISTIDA POR COMPUTADORA

•          Análisis de códigos de programas
•          Datos de prueba
•          Análisis de bitácora
•          Simulación paralela
•          Código de integrado

DICTAMEN REPORTE (Opinión profesional)

• Operaciones
• Actividades
• Funciones

NORMA

Regla que se debe seguir o ajustar las conductas, tareas o actividades

ÁREA FINANCIERA

•   Las normas siempre va estar reguladas y las asociaciones
•   En todos los asuntos el auditor debe conservar una actitud mental independiente
•   El trabajo de la auditora que sea eficiente y eficaz deberá ser planeado y supervisado para llevarse a cabo
•   Evidencia que soporta el informe ha de ser suficiente competente y oportuna para presentar los resultados que presenta e auditor esto se logra mediante técnicas, métodos y procedimientos de auditoria
•   En el informe de auditoría deberán presentarse en estricto apego a las normas de auditoria y contabilidad generalmente aceptada
•   Los informes de auditoría financiera deberán contener la opinión razónale del auditor

1. INFORMATICA

La auditoría informática: es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.

Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.

1.1 .Los objetivos de la auditoría Informática son:

•       El análisis de la eficiencia de los Sistemas Informáticos
•       La verificación del cumplimiento de la Normativa en este ámbito
•       La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como.

•       Desempeño
•       Fiabilidad
•       Eficacia
•       Rentabilidad
•       Seguridad
•       Privacidad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

•       Gobierno corporativo
•       Administración del Ciclo de vida de los sistemas
•       Servicios de Entrega y Soporte
•       Protección y Seguridad
•       Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.

Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.

2. CON LA COMPUTADORA

Es la auditoria que se realiza con el apoyo de los equipos de computo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizada pero si susceptible de ser automatizada; dicha auditoria se realiza también a las actividades del propio centro  de sistemas y a sus componentes. La principal característica de este tipo de auditoria es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la evaluación de  las actividades que se revisaran, de cuerdo con las  necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.

Esta auditoria se caracteriza porque al realizarla se cuenta con el apoyo de los equipos de computo y de sus programas de revisión especifica para evaluar la propia área de sistemas, utilizando los servicios informáticos como si fueran elementos de soporte para auditar cualquier otra área de la empresa, no necesariamente computarizada de ser automatizada.

En esta auditoria se utilizan los sistemas computacionales de acuerdo con las necesidades especificas de las áreas a revisar, aprovechando las técnicas tradicionales de auditoria de computación que ofrecen los sistemas, mismas que se adaptan a las técnicas tradicionales de auditoria para realizar con ambos una revisión, evaluación y dictamen de las áreas de sistemas que serán auditadas. Esta auditoria también es aplicable a las propias actividades administrativas e informáticas del área de sistemas de la empresa.

Este tipo de revisión de auditoria se puede clasificar de acuerdo con las siguientes aplicaciones específicas:

• Uso de la computadora y aplicaciones exclusivamente en auditorias de los sistemas computacionales de la empresa.
• Uso de la computadora y aplicaciones exclusivamente en auditorias de las demás áreas de la empresa.
• Auditorias con la computadora y aplicaciones, en combinaciones con las herramientas tradicionales, para evaluar los sistemas computacionales.

3. AUDITORIA SIN LA COMPUTADORA

Es la auditoria cuyos métodos, técnicas  y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y validez delas transacciones económicas, administrativas y operacionales de un área de computo, y en si de todos los aspectos que afectan a las actividades en la que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de los sistemas computacionales. Es también la evaluación tanto a la estructura de organización, funciones y actividades de funcionarios y personal de un centro de computo, así como a los perfiles de sus puestos, a los  reportes, informes y bitácoras de los sistemas, a la existencia y aplicación de planes, programas y presupuestos en dicho centro, así como del uso y aprovechamiento de los recursos informáticos para la realización de actividades, operaciones y tareas. Asimismo, es la evaluación de los sistemas de seguridad y prevención de contingencia, de la adquisición y uso de hardware, software y personal informático, y en si de todo lo relacionado con el centro de cómputo, pero sin el uso directo de los sistemas computacionales.

En este tipo de auditorias, el auditor utiliza las técnicas, métodos y procedimientos tradicionales de revisión, con  el propósito de hacer evaluación manual del área de sistemas computacionales de la empresa, abarcando en ello todos los aspectos administrativos, contables, financieros, estadísticos, de personal y de las demás especialidades de las gestiones de carácter administrativo que intervienen en la operación de un centro de computo de una empresa, a fin de emitir un dictamen sobre la actuación de sus directivos y empleados, sobre el aprovechamiento  y uso de todos los recursos  asignados a esa área, en cuanto a sus equipos de computación, sus instalaciones y la administración de sus consumibles, así como sobre los planes, presupuestos y programas que afectan el comportamiento financiero de dicha área.

4. AUDITORIA A LA GESTION INFORMATICA DEL AREA DE SISTEMAS

Es la auditoria cuya aplicación se enfoca exclusivamente a la revisión de las funciones y actividades de tipo administrativo que se realiza dentro de un centro de cómputo, tales como la planeación, organización, dirección y control de dicho centro. Esta  auditoria también se realiza con el fin de verificar el cumplimiento de las funciones y actividades asignadas a los funcionarios, empleados y usuarios de las áreas de sistematización, así también para revisar y evaluar las operaciones del sistema, el uso y protección de los sistemas de procesamiento, de los programas y de la información. Se aplica también para verificar el desarrollo correcto, instalaciones, mantenimiento y explotación de los sistemas computacionales, así como de sus equipos e instalaciones. Todo se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas computacionales de una empresa y del proprio centro informático.

Este tipo de auditoria sirve para evaluar la gestiona administrativa del sistema computacional, el funcionamiento correcto de su hardware, software, componentes asociados, así como las instalaciones,  programas, información, mobiliario ,equipo y demás activos informáticos del área de sistemas de la empresa; también sirve para evaluar el cumplimiento adecuado de las funciones, operaciones y actividades de carácter  administrativo que ayudan a satisfacer las necesidades de información de las áreas de la empresa que utilizan sistemas computacionales, a fin de hacer mas eficiente al desempeño del centro de computo.

En estas auditorias   se deben evaluar la gestión administrativa de la actividad informática de la empresa y del área de sistemas, y también la gestión netamente administrativa de los directivos, empleados y usuarios de dicha área. Sin embargo, con alarmante frecuencia esta evaluación no se realiza, se evita o se realiza muy superficialmente. Esto se debe en gran medida a la poca importancia que algunos “administradores  de sistemas” otorgan a esta actividad tan importante.

5. AUDITORIA ALREDEDOR DE LA COMPUTADORA

La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.

La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse pues  tiene objetivos muy importantes como:

1. Verificar la existencia de una adecuada segregación funcional
2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres.

6. AUDITORIA DE SEGURIDAD DE SISTEMAS

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Una vez obtenidos los resultados, se detallan, archivan y reportan a los responsables quienes deberán establecer medidas preventivas de refuerzo y/o corrección siguiendo siempre un proceso secuencial que permita a los administradores mejorar la seguridad de sus sistemas aprendiendo de los errores cometidos con anterioridad.

Las auditorías de seguridad de SI permiten conocer en el momento de su realización cuál es la situación exacta de sus activos de información en cuanto a protección, control y medidas de seguridad.

Con una auditoría de seguridad se da una visión exacta del nivel de exposición de sus Sistemas de Información a nivel de seguridad .En la auditoría se verifica la seguridad en la autenticidad, confidencialidad, integridad, disponibilidad y audibilidad de la información tratada por los sistemas.

Seguridad

·         Casos reales de problemas solucionados por nosotros

·         Clientes representativos de auditorias informáticas.

·         Seguridad Informática indicando ámbitos que incluye y artículos relacionados.

·         Políticas de seguridad auditoria, consultoría e implantación.

 Los objetivos de una auditoría de seguridad de los sistemas de información son:

•Revisar la seguridad de los entornos y sistemas.
•Verificar el cumplimiento de la normativa y legislación vigentes
•Elaborar un informe independiente.
• Utilización de estándares ISACA, OSSTMM, ISO/IEC 17799 y CIS