RESUMEN DEL LIBRO DE AUDITORIA ENFOQUE PRACTICO

MISCAURI SANCHEZ

1.Introducción  ............................................................................................................................... 5

Capítulo I: Auditoría Continua  .................................................................................................. 9

2.1. ¿Desaparecen los rastros de auditoría? .............................................................................. 9

Resumen introductorio

Desde la antigüedad se ha dado gran importancia a los asuntos, económicos, financieros y contables y ha sido necesario identificar un método que sirva como soporte para verificar sus registros. De esta forma surge la auditoria para dar respuesta a esta necesidad de respaldo a los asuntos financieros.

Hoy en día escuchamos hablar de auditoria y es fácil traer a nuestras mentes la idea de tecnología de información. A partir del 1950 la auditoria encuentra en la informática su mayor aliado, su herramienta más valiosa. La auditoría con el computador surge de esta alianza, es decir el computador de convierte en una herramienta para el auditor financiero, pero no podemos nunca confundir los conceptos de auditoria con el computador y la auditoria informática.

Concepto de Auditoria

El concepto de auditoria consiste en el análisis exhaustivo por un profesional sobre un sujeto en cuestión para evaluar y determinar si este está realmente cumpliendo o no el rol para el cual esta designado y si está sometido al cumplimiento de las normas establecidas. Estas evaluaciones se realizan posteriores a las actividades realizadas para emitir una opinión.

Auditoria Informática.

Es el  conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con la finalidad de proteger sus activos y recursos, y verificar si las actividades y procesos se desarrollan de manera eficiente  con la correcta utilización de los recursos informáticos disponibles y en cumplimiento de las normas establecidas.

 Auditoria  Continua.

La auditoría continua (CA) es una metodología que permite a los auditores independientes proveer certificación sobre la materia bajo análisis usando reportes de auditoria simultáneos (o pertenecientes a cortos periodos  posteriores) a la ocurrencia de los eventos controlados.

(Fuente: CIA/AICPA, 1999)

Algunas características que marcan el cambio a la auditoría basada en sistemas de información es la tendencia a la minimización del uso de papel como medio de soporte para archivar datos.

Las razones: mayor disponibilidad de datos, mayor velocidad de procesamiento y menores costos. . Esta situación hace que la documentación física relacionada con las operaciones de la empresa gradualmente desaparezca, por lo que,  se pierden las correspondientes pistas de auditoría de las transacciones.  Cada día se encuentra mayor cantidad de operaciones que se ejecutan totalmente en forma electrónica, sin documentación física que las perfeccione.

 La seguridad de los servicios y recursos informáticos que se ha convertido en un tema prioritario en la agenda de las empresas. la seguridad informática es el aspecto más dependiente de la tecnología y, por consiguiente, está sumamente afectada por la permanente evolución que opera en el ambiente TI. La seguridad depende de factores culturales, procedimentales y tecnológicos. Aquí se hará hincapié en especial de los procedimentales. No es su misión solucionar técnicamente las fallas de seguridad  y control que encuentre en el sistema, pero sí debe alertar respecto a las que identifique.

El sistema de tratamiento de la información, especialmente si se trata de sistemas integrados, capta la información una sola vez, la que es objeto de numerosas transacciones, para convertirse en información elaborada a distintos niveles. Ello supone que las transacciones iniciales pueden ser sometidas a procedimientos muy complejos, haciendo difícil establecer la correspondencia entre resultados y transacciones iniciales. En estos casos, las pistas de auditoría -prueba de la validez de una transacción electrónica- quedan en formato digital, grabados en los dispositivos de almacenamiento de las computadoras que intervienen en su procesamiento.

Las transacciones electrónicas son una tendencia que por razones funcionales y de eficiencia operativa prometen desplazar el modo "presencial" de efectuar operaciones comerciales como está ocurriendo con el comercio electrónico a través de Internet o con las ya tradicionales operaciones financieras realizadas por medio de la red de cajeros automáticos donde los usuarios del sistema realizan sus transacciones interactuando con un computador y la identificación personal se constata con el ingreso de una tarjeta plástica y una clave secreta de acceso al sistema. La documentación que se genera no es personalizada: no lleva firmas ni rastros físicos del autor. La seguridad del sistema se asienta en la posesión de la tarjeta -con los datos del usuario grabados en una banda magnética o en un chip de memoria- y en la clave de acceso, cuya confidencialidad es la piedra angular de la confianza en el sistema.

 Auditoría Continua, caracterizadas por su capacidad para gestionar grandes volúmenes de datos y brindar información en períodos menores de latencia entre los eventos y los reportes.

Las técnicas de Auditoría Continua permiten al auditor virtualmente acceder y controlar en tiempo real los flujos de datos de todas las transacciones procesadas por la empresa. Este modelo reemplaza el paradigma actual donde la auditoría se restringe a la revisión de un número acotado de operaciones en momentos fijos de tiempo. La esencia de la Auditoría Continua es que disminuye la latencia entre la registración de operaciones y la provisión de aseguramiento, esto tiene profundas implicancias para la visión de auditoría como un control o verificación ex-post.

Con Auditoría Continua la monitorización puede ser a tiempo real, donde el foco pasa a identificar las transacciones con excepciones y analizar los resultados fuera de lo esperado. En resumen, las ventajas de la

Auditoría Continua son:

• Permite ciclos de auditoría más cortos, facilitando mejor control de riesgos y aseguramiento del control.

• Permite un alcance mayor de la cobertura de auditoría sin necesidad de ampliar los recursos afectados.

• Permite conducir auditorías más frecuentes: diarias, semanales, mensuales.

• Permite testeos periódicos automáticos y mejora los ciclos temporales de auditoría.

• Permite auditar el total de las operaciones procesadas.

• Permite el recalculo y comparación de todas las transacciones procesadas

• Hace los procesos de auditoría más rápidos, baratos y eficientes.

• Mejora la calidad y velocidad de las tareas de auditoría.

Objetivos de la Auditoria Continua

·         Obtener y gestionar el respaldo de la alta dirección

·         Determinar el grado en que la dirección está cumpliendo su función de supervisión

·         Identificar y establecer prioridades entre las áreas a abordar y los tipos de Auditoría Continua a realizar

·         Identificar sistemas de información clave y fuentes de datos

·         Comprender los sistemas de aplicación y los procesos subyacentes de negocio

·         Desarrollar relaciones con la gestión de TI

LEANDRO ALFONSO CIRIACO DOMÍNGUEZ

3.2. Concepto de Auditoría Continua...................................................................................... 11

4.2.1. Situación actual de la Auditoría Continua ................................................................ 14

5.2.2. Monitoreo Continuo para obtener pistas de auditoría digitales ................................ 17

6.3. Archivo Auditor............................................................................................................... 19

WILLIAN ANDRES ROSARIO JOAQUIN

7.3.1. Aportes del archivo Auditor...................................................................................... 19

8.3.2. Requisitos del Archivo Auditor ................................................................................ 20

9.4. Servidor de Auditoría....................................................................................................... 21

RESUMEN

Las auditorias existen porque añaden valor a través de disminuir el coste de la asimetría de información, no porque sean requeridos por la ley. Por ejemplo, una empresa privada que tiene un problema de valores en una bolsa de público pueda contratar a una empresa para auditar sus estados financieros con el fin de obtener unas condiciones de préstamo más deseable de una institución financiera o comercio cuentas con sus clientes.

Los registros destinados a ser pistas de auditoría se deben grabar en un único archivo del sistema informático, al que denominamos “Archivo Auditor”. Este archivo está destinado a ser usado con fines específicos de control, sus registros deberán contener la totalidad de los datos necesarios para reconstruir las transacciones a las que pretenden servir como pistas de auditoría.

Sin la auditoría, la parte que concede el préstamo no tendría garantías de que la situación financiera de la empresa es correcta. A su vez, el prestamista pondría precio de la protección contra esta asimetría de la información.

En esta situación, en los casos de una auditoría al sistema de información contable, la primera tarea del auditor consistiría en introducir un juego de transacciones y verificar su reflejo en el archivo Auditor; de esta manera valida también parte del sistema de control interno. Luego, pasaría a la fase de “auditoría de balance". Esta consistiría en recoger y procesar la información del archivo Auditor, obteniendo como resultado las cifras de los estados contables que se están verificando según sus cálculos. Por último, sólo le quedaría comparar su “balance” con el que le entregó la entidad objeto de revisión.

El auditor no busca una prueba absoluta. Se ocupa de acuerdo con los requerimientos del encargo, de asegurar a una persona responsable y competente de la razonabilidad de las manifestaciones financieras de la dirección y/o de la adecuación de las actividades del Control Interno.

Deben obtenerse evidencias suficientes, competentes y relevantes para fundamentar los juicios y conclusiones que formule el auditor.

Evidencia física: se obtiene mediante inspección y observación directa de las actividades, bienes o sucesos; esta evidencia puede presentarse en forma de documentos, fotografías, gráficos, cuadros, mapas o muestras materiales. Cuando la evidencia física es decisiva para lograr los objetivos de la Auditoría Interna, debe ser confirmada adecuada y oportunamente por los auditores internos.

Evidencia documental: puede ser de carácter física o electrónica. Pueden ser externas o internas a la organización.

YULIXANDEL MICHEL LA HOZ ENCARNACIÓN

13.4.4. Aportes del Servidor de Auditoría ............................................................................ 26

 Capítulo II: Auditoría de Tecnologías de Información............................................................ 29

14.1. Ámbitos de la Auditoría Informática ............................................................................... 29

 15.2. Administración................................................................................................................. 33

resumen

 Aportes del Servidor de Auditoría

Como señala el mencionado estudio de Hui Du y Saeed Roohani, los CPAS proveen una plataforma de trabajo para examinar los datos recibidos desde los procesos monitoreados sin afectar el sistema auditado, proveyendo dos grandes ventajas:

1. Las herramientas de auditoría están en un ambiente separado del sistema auditado, este ambiente separado cuenta con su propio sistema operativo y, lo más importante, su propia base de dato, incluyendo aplicaciones de herramientas de auditoría. Así, el diseño de las herramientas del sistema auditor son independientes del diseño e implementación del sistema auditado. Es importante destacar que cualquier modificación y/o ampliación del sistema auditado no impactará en el sistema de herramientas de auditoría o viceversa.

2. El sistema de herramientas de auditoría debe ser efectivamente conectado al sistema auditado de manera que el sistema auditor pueda extraer datos desde el otro sistema para alcanzar los propósitos de auditoría. La comunicación entre el sistema de herramientas de auditoría y el sistema auditado puede ser construida en base a distintas herramientas (por ejemplo: XML, CORBA) de manera de asegurar una conexión “silenciosa”. Una vez establecida la conexión entre ambos sistemas, las herramientas de auditoría deben ser capaces de acomodar y procesar los datos en diferentes formatos. Al igual que lo señalado anteriormente, el Servidor de Auditoría cuenta con su propio sistema operativo, software de gestión de bases de datos (DBMS), herramientas de monitoreo de red y programas de análisis de datos específicos para las funciones de análisis y control; estando su administración bajo responsabilidad del área Auditoría Interna. Además de las ventajas mencionadas arriba, el modelo propuesto en este estudio aporta lo siguiente:

• Brinda un ambiente específico y propio de procesamiento al área de Auditoría Interna de la organización, independiente del control e intervención del área Sistemas. Virtualmente es una "caja negra" que contiene los datos de todas las operaciones procesadas por los sistemas de gestión, generando los correspondientes datos duplicados (pistas de auditoría digitales); todo bajo la responsabilidad y control de Auditoría Interna.

• Independiza el trabajo del auditor de los condicionamientos impuestos por la operatoria del sistema de gestión. Actualmente el trabajo de los auditores debe subordinarse a las prioridades fijadas por quienes administran el sistema de gestión. Disponiendo de un servidor propio, afectado a su tarea, independiza al 28 área Auditoría de la organización de los condicionamientos fijados por la operación del negocio.

• Permite mejorar el sistema de control interno de la empresa, ya que provee una nueva fuente de información adicional para corroborar los datos brindados por el sistema de gestión comercial.

• Reduce a su mínima expresión el riesgo asociado a la alteración de la información que utilizará el auditor para sus tareas de control, logrando el objetivo primordial de mantener la integridad de los datos.

 Ámbitos de la Auditoría Informática

Los trabajos de Auditoría Informática se desarrollan en el contexto del área o departamento de Sistemas de una organización. Estos trabajos implican la revisión de aspectos técnicos, económicos y de administración de las tecnologías de información y comunicaciones (TIC) utilizadas para la gestión de la empresa. Siguiendo el consejo de Rivas12, el auditor informático debería tener entidad para opinar sobre el costo del plan informático, los presupuestos del servicio informático, los métodos de dirección, la estructuración y asignación del personal informático, la confidencialidad de los datos, la seguridad de acceso, la protección de las instalaciones, y otros temas relacionados con los servicios prestados por el área de Sistemas. Clasifica las actividades (objetivos) de una auditoría informática en los siguientes tipos:

• Auditoría informática en el área de la planificación

• Auditoría informática en el área de organización y administración

• Auditoría informática en el área de construcción de sistemas

• Auditoría informática en el área de explotación

• Auditoría informática del entorno operativo hardware

• Auditoría informática del entorno operativo software Para cada uno de estos tipos de trabajos de auditoría informática el autor analiza los objetivos, propone la metodología para abordar el trabajo y aporta cuestionarios (check list) para facilitar la tarea del auditor. Derrien13 presenta un enfoque distinto. Su propuesta se basa en que los trabajos de auditoría informática deben permitir comprobar que se hayan respetado los principios básicos de organización de la actividad informática. Los puntos claves para evaluar la fiabilidad del entorno computacional son entonces:

• La organización general del servicio

• Los procedimientos de desarrollo y mantenimiento de las aplicaciones

• El entorno de producción

• Las funciones técnicas

• La protección y confiabilidad de los datos

 Administración

En este apartado se analizan las técnicas y procedimientos que se usan para evaluar cómo se gestiona el área que presta los servicios de computación y sistemas dentro de la organización.

Los trabajos de esta naturaleza son denominados por los autores citados como “Auditoría de la organización general del servicio informático” (Derrien), “Auditoría  informática en el área de organización y administración” (Rivas) y “Auditoría del CIS” (Price Waterhouse).

Se corresponde también con el apartado “Organización funcional y gestión de tecnología informática y sistemas” del BCRA y el dominio "Planificación y Organización" de COBIT. Para describir didácticamente las tareas involucradas en este tipo de trabajos de auditoría, se van a agrupar los aspectos considerados en cuatro grandes unidades: estructura organizacional del área de Sistemas, recursos humanos afectados a la misma, normas y políticas del área y situación presupuestaria-financiera. 

ORELVY RAFAEL REMIGIO DURAN

16.2.1 Análisis de la estructura organizacional..................................................................... 34

17.2.2. Análisis de los recursos humanos ............................................................................. 36

18.2.3. Análisis de las normas y políticas del área de sistemas............................................ 38

ANÁLISIS DE LA ESTRUCTURA ORGANIZACIONAL.

Resumen:

Implica evaluar la organización interna del área de Sistemas y su dependencia dentro de la estructura general de la empresa.

Para analizar la estructura orgánica del área de Sistemas se deberá solicitar toda la información y documentación referida a la organización interna de la misma.

-Para hacer este análisis se necesitan varios documentos entre este tenemos:

1-Organigrama.

2-Objetivos y políticas del área fijados por la Dirección de la empresa.

3-Regulaciones externas y normas internas.

4-Manuales de procedimientos, instructivos de trabajo y guías de actividad.

5-Manuales de descripción de puestos y funcione.

-Modelos típicos de estructuras organizacionales utilizados para establecer las dependencias funcionales del área Sistemas:

Modelo 1: Dependiente de alguna dirección, departamento o gerencia.

Modelo 2: Dependiente de los niveles superiores de la organización.

Modelo 3: Múltiples áreas de Sistemas en la empresa.

Modelo 4: Tercerización (outsourcing) de la prestación de servicios informáticos.

PARÁFRASIS.

Esta se encarga de la organización de la estructura física en una empresa en el área de sistemas.

Para analizar la estructura orgánica del área de Sistemas se deberá solicitar toda la información y documentación referida a la organización interna de la misma.

ANÁLISIS DE LOS RECURSOS HUMANOS.

Resumen:

El aspecto a evaluar en este rumbo por una auditoría informática es considerar si el área Sistemas cuenta con los recursos humanos adecuados para garantizar la continuidad del servicio, es decir, si puede asegurar la operación de los sistemas en producción en el tiempo.

Se revisa la situación de los recursos humanos del área, para lo cual se entrevista al personal de Sistemas: gerentes, analistas, programadores, técnicos, operadores, personal administrativo, etc.

A tales efectos es conveniente relevar:

1-Los recursos humanos disponibles en el área.

2-La calidad del personal de sistemas.

De esta cantidad del personal en el cuestionario de entrevistas es conveniente contemplar lo siguiente:

a-El desempeño y comportamiento.

b-El conocimiento del personal respecto al reglamento interno de la empresa, objetivos del negocio, etc.

c-Las condiciones generales del trabajo.

d- Las estructura de remuneraciones.

e-La organización del trabajo.

f-El ambiente general del trabajo.

g-Las políticas de desarrollo y la motivación del personal.

h-Las políticas de capacitación del personal.

i-La política de selección de personal para el área.

 

PARÁFRASIS.

Esta se encarga de evaluar en una empresa que esta cuente con los recursos humanos necesarios y organizados que permitan a la empresa trabajar en un área limpia ordenada sin ningún desperfecto ya sea físico o lógico etc.

Se revisa la situación de los recursos humanos del área, para lo cual se entrevista al personal de Sistemas: gerentes, analistas, programadores, técnicos, operadores, personal administrativo, etc.

ANÁLISIS DE LAS NORMAS Y POLÍTICAS DEL ÁREA DE SISTEMAS.

 Resumen

Implica revisar la documentación que contienen los planes de trabajo y los controles y estándares que regulan la actividad del área Sistemas. Además, deberá evaluar el grado de cumplimiento de lo planificado en dicha documentación.

En este punto, se controla que las normas y políticas sean adecuadas, estén vigentes y definidas correctamente, que los planes de trabajo concuerdan con los objetivos de la empresa, etc.

PARÁFRASIS.

Este se encarga de evaluar las leyes o reglas de la empresa para así notar o ver que dichas leyes sean cumplidas al pie de la letra o como están diseñadas.

En este punto, se controla que las normas y políticas sean adecuadas, estén vigentes y definidas correctamente, que los planes de trabajo concuerdan con los objetivos de la empresa, etc.

KIRSY NALLELY FELIZ SILVA

19.2.4. Análisis de la situación presupuestaria y financiera ................................................. 38

20.2.5. Documentos para la gestión del área Sistemas ......................................................... 39

21.3. Explotación u Operaciones .............................................................................................. 43

Resumen

19.2.4. Análisis de la situación presupuestaria y financiera ............................... 38

Evaluar este aspecto implica analizar si el área de Sistemas cuenta con los recursos de infraestructura edilicia, equipamiento, productos de software y recursos financieros suficientes para cumplir adecuadamente con su misión. Se verifica:

• si la infraestructura edilicia, mobiliario y elementos de trabajo son adecuados.

• si los recursos financieros son suficientes para alcanzar los objetivos y metas que le han sido asignadas al área, es decir, si el presupuesto es suficiente o excesivo, si es flexible o rígido, si trabaja con el corto plazo o prevé planes plurianuales, si se maneja según demandas, etc.

• si los recursos de equipamiento y productos de software disponibles se corresponden para cumplir con las funciones asignadas al área, si están subutilizados, son obsoletos, etc.

La información obtenida acerca de los aspectos tratados precedentemente servirá para determinar la situación del área de Sistemas dentro de la organización.

20.2.5. Documentos para la gestión del área Sistemas ....................................... 39

La propuesta es considerar los mismos instrumentos que se utilizan para administrar cualquier departamento de la empresa y aplicarlos en el área de Sistemas para controlar el uso de los recursos informáticos disponibles.

Se agrupan en dos categorías:

1. Estructurales: son los documentos que permanecen relativamente estables durante la vida de la empresa, sirven para posicionar el área, definir sus funciones y relaciones con los otros sectores de la organización. Se Incluye en esta categoría al Organigrama, Manuales de puestos y funciones, Manuales de procedimientos, etc.

2. Cíclicos: son los instrumentos de administración destinados a programar la actividad de los ejercicios por los que transita la empresa. Regulan el funcionamiento y la producción del área, cambian en consonancia con los períodos de su evolución. Se Incluye en esta categoría los documentos periódicos (generalmente anuales), tales como: Plan estratégico de sistema, Planes de sistemas de información, Presupuesto del área de Sistemas, Proyectos de desarrollo de sistemas de información, Proyectos informáticos, Plan de seguridad informática, Plan de contingencia, etc.

Estos documentos, similares a los usados para gestionar otras áreas de una empresa, deberían servir de base para auditar el área Sistemas; la carencia de ellos impide al auditor juzgar la marcha de la misma.

Objetivos de Control de Sistemas y Tecnologías de Información

este material describe la documentación a revisar cuando se auditen los servicios informáticos de los organismos del Estado Argentino.

Planeamiento:

Debe existir un documento aprobado donde conste el planeamiento a largo plazo para la unidad responsable del servicio de procesamiento de la información, el cual debe contemplar los aspectos pertinentes a su contribución al logro de las metas a largo plazo del organismo.

• El plan de largo plazo de la unidad debe ser coherente con el plan general a largo plazo fijado por la autoridad superior y debe estar integrado al mismo. Además, debe reconocer las metas del organismo, la evolución tecnológica y los requerimientos normativos.

• El plan de largo plazo de la tecnología de información debe traducirse periódicamente en planes de corto plazo donde se especifiquen los objetivos parciales a cumplir. Estos planes a corto plazo deben contemplar la asignación de recursos suficientes.

• El responsable de la unidad del servicio de procesamiento de la información debe controlar e informar a la alta gerencia acerca del avance en las metas aprobadas.

Políticas, Normas y Procedimientos:

• Deben desarrollarse y comunicarse a las áreas involucradas, políticas que reflejen las directivas de la alta gerencia sobre los objetivos y metas institucionales que se relacionen con la función de procesamiento de la información.

• Deben definirse y comunicarse a todos los funcionarios afectados, las normas actualizadas que regulan la adquisición de bienes informáticos y servicios de comunicaciones asociados, el diseño, desarrollo y modificación de los Sistemas Computadorizados de Información y las operaciones específicas de la función de servicio de procesamiento de información.

• Se deben definir y comunicar a todos los funcionarios afectados, procedimientos actualizados que regulen la metodología a aplicar para las relaciones entre la unidad de servicio de procesamiento de información y las unidades usuarias.

Nivel y Responsabilidades:

• La responsabilidad por los servicios de procesamiento de la información del organismo debe recaer en una unidad o comité de sistemas que asegure la homogeneidad de criterios y la unificación de objetivos a alcanzar.

• La unidad responsable de los servicios de procesamiento de información debe encontrarse ubicada en la estructura en una posición tal que garantice la necesaria independencia respecto de las unidades usuarias.

• El manual de organización debe incluir la descripción de las principales áreas que abarca la unidad y las responsabilidades asignadas.

Separación de funciones:

• Debe existir una adecuada y documentada separación de funciones dentro de la unidad, asegurando la correcta segregación de las siguientes tareas:

·         producción/procesamiento

·         desarrollo y mantenimiento de sistemas

·         administración de las redes/telecomunicaciones

·         administración de base de datos

·         administración de seguridad

·         control de calidad

·         auditoría

·         áreas usuarias

• Debe establecerse por escrito la descripción de puestos de trabajo abarcando tanto la autoridad como la responsabilidad. Debe incluir definiciones de las destrezas técnicas que se requieren en los puestos pertinentes y ser adecuada para su utilización en la evaluación del rendimiento.

Auditoría Interna de Sistemas:

• El sistema de información debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones.

• Los recursos de la tecnología de información deben ser controlados con el objetivo de garantizar el cumplimiento de los requisitos del sistema de información que el organismo necesita para el logro de su misión.

• Debe definirse por escrito la responsabilidad y autoridad asignada a la función de auditoría interna de sistemas.

• Los auditores de sistemas responsables de la revisión de las actividades de la Unidad de Servicios de Procesamiento de la Información del organismo deben ser competentes técnicamente, con las destrezas y conocimientos necesarios para realizar tales revisiones en forma eficaz y eficiente.

• Aquellos miembros del personal de la unidad de auditoría interna del organismo a quienes se les asignan las tareas de auditoría de sistemas de información deben ser asistidos para mantener su competencia técnica por medio de formación profesional permanente y adecuada.

21.3. Explotación u Operaciones .................................................................. 43

Este tipo de trabajos de auditoría informática tiene por objetivo evaluar la calidad de los servicios prestados por el área Sistemas y el desempeño de las aplicaciones en producción. Se ocupa de evaluar:

Los servicios generales del área Sistemas han ganado relevancia en los últimos tiempos y ha hecho resurgir el protagonismo del área como centro prestador de servicios. La conectividad a Internet, correo electrónico y mensajería digital, producción y mantenimiento del Sitio Web de la empresa, la vinculación a operatorias de comercio electrónico y otros servicios conexos, se han transformado imprescindibles para las organizaciones actuales.

• La seguridad informática: en los últimos tiempos y a partir del fenómeno Internet ha cobrado especial relevancia la evaluación de la seguridad informática. Debe analizarse, por ejemplo, los mecanismos de protección contra accesos externos (firewalls, criptografía, antivirus), los procedimientos operativos para control de acceso, permisos y derechos; copias de seguridad, seguimiento de incidentes, administración de los datos, tolerancia a los fallos, etc.

• La operatividad y funcionalidad de las aplicaciones en producción. En este caso se utilizan técnicas similares a las utilizadas en las auditorías a los sistemas de información, aunque con un objetivo distinto.

Aspectos a considerar cuando se audita el sector Explotación:

Hacer auditoría se requiere determinar previamente los estándares de comparación o comportamiento esperado del aspecto a evaluar, luego se releva el funcionamiento del mismo y, por último, se compara el rendimiento real con el esperado, material que sirve de base al auditor para realizar sus observaciones. También debe considerarse en este tipo de trabajos de auditoría el expertise (conocimiento y experiencia) requerido por el auditor. Cada uno de los distintos servicios que abarca Explotación requiere de conocimientos específicos o sea de expertise propio. Por consiguiente, es muy difícil que un único especialista pueda evaluar el desempeño de dicho sector en toda su dimensión. Normalmente se requiere formar un equipo con expertos en cada aspecto a auditar.

Paráfrasis

Análisis de la situación presupuestaria y financiera

Analiza el área de sistemas y se basa en los servicios de infraestructura como si los elementos de trabajo son adecuados, si el presupuesto financiero es suficiente, si el equipamiento de hardware y software cumplen y no están en la obsolescencia, esta información determinará la situación del área de sistemas dentro de la empresa.

Documento para la gestión del área de sistemas

El objetivo es considerar los instrumentos que se utilizan en cualquier departamento y aplicarlas en el área de sistemas para controlar los recursos informáticos, estos instrumentos se clasifican en dos: instrumentos estructurales, que son los instrumentos que permanecen estables y sirven para definir el área; y los instrumentos cíclicos, son los instrumentos de administración y programan las actividades que se realizan en la empresa.

Objetivos de control de sistemas y tecnologías

 Describe la documentación a revisar cuando se auditan los servicios informáticos.

Se dividen en:

Planeamiento que es donde debe existir un documento aprobado, el plan para el planteamiento debe ser coherente, debe reconocer las metas del organismo, la evolución tecnológica y requerimientos normativos.

En las políticas, normas y procedimientos

Se deben definir y comunicar los funcionamientos afectados sobre las normas que regulan la adquisición de bienes informáticos y servicios de comunicación.

Nivel y responsabilidades

La unidad responsable de los servicios de procesamiento de información debe encontrarse ubicada en la estructura en una posición que garantiza  la independencia respecto a las unidades usuarias.

Auditoría interna de sistemas

El sistema  de información debe ser controlado con el objetivo de su correcto funcionamiento.

Explotación u operaciones

Tiene por objetivo evaluar la capacidad de los servicios prestados del área de sistemas y su desempeño en las aplicaciones de producción.

Aspectos a evaluar cuando se audita el sector explotación

Se considera evaluar el comportamiento y comprensión en el sistema,  se compara el rendimiento real con el esperado, material que sirve de base al auditor para  realizar sus observaciones.

Mapa mental

 

JUAN GABRIEL DE LEON JIMENEZ

22.4. Desarrollo......................................................................................................................... 45

23.5. Justificación de una Auditoría Informática... ................................................................... 49

Capítulo III: Seguridad Informática......................................................................................... 52

24.1. Antecedentes.................................................................................................................... 52

       Juan Gabriel - Auditoría Informática En El Sector Bancario

                                                           Resumen

La auditoría informática en entidades bancarias tiene características generales que hacen de esta una eficiente herramienta para el buen manejo y funcionamiento de las mismas.

Esta tiene necesidades y beneficios en la banca, la creación de la función de la auditoría informática en las organizaciones bancarias es relativamente reciente, hasta el punto  de que aún actualmente en algunas entidades financieras se encuentra en proceso de definición o consolidación.

Sin embargo su existencia aporta innumerables ventajas a las entidades que disponen de ella, ventajas que, si bien en ocasiones muestren elementos de coincidencia con las habidas en cualquier sector empresarial, en otros casos son específicamente propias y derivadas de las características particulares del negocio bancario.

Tipologías de las actividades a auditar. No analizaremos aquí todas las posibles actividades a auditar en aquellas áreas que son comunes a cualquier otra actividad empresarial, auditoría de seguridad lógica, seguridad física, etc. Por tanto, no presentan particularidades especiales en el sector bancario.

Distinguiremos en primer lugar, por su importancia en el conjunto de procesos informáticos de un banco, así como por las implicaciones de cualquier posible error, la auditoría de aplicaciones informáticas que tratan y soportan productos bancarios típicos planes y fondos de pensiones, fondos de inversión, cuentas corrientes de ahorro de plazo y demás productos del pasivo tradicional.

En el estudio de este capítulo trataremos temas de gran relevancia como lo son los objetivos de la auditoria y preparación del plan de trabajo para la eficiencia de la misma.

En lo que concierne a aplicaciones informática, la auditoría trata de supervisar el uso y transacciones de las aplicaciones bancarias típicas que hacen que esta tenga su máximo nivel de clientes que proporcionan alto nivel de seguridad operacional en el mundo.

Es importante entender que la seguridad del usuario está ante todo y es necesario comprender que esta seguridad es la que se busca para la eficiencia de todos.

Es imprescindible tomar en cuenta que la planificación es parte de una buena auditoría y en  lo porvenir tomaremos como punto de referencia las grandes entidades bancarias y sus excelente funcionamiento.   

A parte del funcionamiento de la auditorias en ciertas entidades, aprenderemos cuales son los objetivos de esta para beneficiar la banca, ya que todo lo que se aplica en una empresa determinada trata de cumplir un fin u objetivo en pro del crecimiento de la misma.

La protección de datos personales en bancos es algo de mucho interés e importancia, ya que un banco que haga vulnerable los datos de sus clientes corre riesgos y futuras demandas, por lo que la auditoría busca salvaguardar toda la informaciones clasificadas de sus usuarios en las entidades bancarias.

Desde mucho tiempo se ha estado evolucionando en lo que concierne al turismo , y estamos en siglos donde la reservaciones de hotel vía web ya está presente, existe una auditoría informática que se le aplica al sector aéreo en lo que concierne a las millones de reservaciones que realizan los clientes a aerolíneas nacionales e internacionales, la auditoría en este caso trata de evitar los fraudes y que las gestiones de procesos de reservas sean lo más eficientes posible en pro de la seguridad de los clientes  o pasajeros .

Tema de gran relevancia son las facturaciones entre compañías aéreas, ya que se vinculan de manera tal que los precios de boletos aéreos son equitativos de modo que la competencia tenga estabilidad, la auditoría informática es de gama amplia ya que no se limita a un sector determinado

                                                              Paráfrasis

Es plenamente interesante tomar en cuenta la importancia de la auditoría informática en lo que concierne a entidades financieras, ya que estas manejan mucho dinero, bienes, y sobre todo una preciada información personal de los clientes, la auditoría busca preservar dicha seguridad de los mismos para que los beneficios pueden aumentar, una de las problemáticas que enfrentan grandes entidades bancarias es la poca seguridad que poseen , por lo que en cuanto a procesos y transacciones de servicios bancarios , la auditoría informática no se detiene y trata de hacer un buen trabajo en esta área.

A nivel mundial la seguridad de   los clientes de bancos se ve afectado, y millones de personas son estafadas de una forma u otra, el auditor deberá entender que mientras más barreras de seguridad poseen los procesos bancarios, más eficiente será el trabajo de los bancos y el cliente tendrá una amplia y eficaz satisfacción.

Otro tema de gran relevancia es la auditoría en las líneas aéreas y reservaciones, el cliente paga por un servicio aéreo determinado , y es menester que todo sus pasos desde el ordenador sean los correctos y que las grandes aerolíneas garanticen las seguridad del mismo en pro de una excelente estadía en el avión, la auditoría en líneas aérea va desde procesos cómo reservar un vuelo o cancelar el mismo, por lo que podemos decir que es un arduo trabajo del auditor informático tratar de buscar mejoras y soluciones a grandes problemas existentes.

Son pequeños tópicos sobre lo más impactante de los capítulos 22-23-24 del libro enfoque práctico, y cabe tomar en cuenta que se mantiene dándonos muchos interesantes temas sobre la conducta auditoría de grandes procesos que van desde un banco hasta una aerolínea, todo buscando evitar presentes o futuros fraudes.   

ADRIAN MORFE SUERO

25.2. Conceptos relacionados con Seguridad Informática........................................................ 54

26.3. Evaluación del Riesgo...................................................................................................... 58

27.4. Medidas de Seguridad Informática .................................................................................. 59

28.5. Plan de Seguridad Informática......................................................................................... 59

29.6. Planes de Contingencia .................................................................................................... 63

30.Conclusiones............................................................................................................................ 66

Resumen

Adrian Morfe Suero 13-EISS-3-016

Es imposible eliminar el riesgo

Seguridad es un concepto asociado a la certeza, falta de riesgo o contingencia, conviene aclarar que no siendo posible la certeza absoluta, el elemento de riesgo está siempre presente independiente de las medidas que tomemos, por lo que debemos hablar de niveles de seguridad, la seguridad absoluta no es posible y en adelante entenderemos que la seguridad informática es un conjunto de técnicas encaminadas a obtener altos niveles de seguridad en los sistemas informáticos

La Seguridad de la Información se puede definir como conjunto de medidas técnicas, organizativas y legales que permiten a la organización asegurar la confidencialidad, integridad y disponibilidad de su sistema de información.

Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información de interés de una organización se guardaba en papel y se almacenaba en grandes cantidades de abultados archivadores. Datos de los clientes o proveedores de la organización, o de los empleados quedaban registrados en papel, con todos los problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

Los sistemas informáticos permiten la digitalización de todo este volumen de información reduciendo el espacio ocupado, pero, sobre todo, facilitando su análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de dicha información y mejoras en la presentación de dicha información.

Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil transportar la información también hay más posibilidades de que desaparezca 'por el camino'. Si es más fácil acceder a ella también es más fácil modificar su contenido, etc.

Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la información han ido también cambiando, evolucionando, pero están ahí y las soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos. Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la solución, pero la esencia es la misma.

                                  Paráfrasis

Yo entiendo  que este tema de los Conceptos Básicos de Seguridad Informática habla de los que ese las seguridad de los datos informatice también no habla los que son los datos y la disponibilidad de la información también yo entiendo que al que tener muchas cuenta a las hora de envía información ya sea atraves de una memoria o un correo electrónico porque atraves de la esa información puedas ser que alga un virus informático, que te puedes dañar todas las información que ya tienes en tu computadora.

Evaluación del Riesgo

En todo sistema informático se hacer los que es una evaluación de riego en el sistema informático porque se evalúa los que puede ser la vulnerabilidad antes los virus atraves de internet también se evalúa los que las accesibilidad a sistema informático también como los siguiente riego

Tipo de Riesgo

Robo de hardware                          

Robo de información                     

Vandalismo                                     

Fallas en los equipos                     

Virus Informáticos

Equivocaciones                              

Accesos no autorizados                

Fraude                                              

Fuego

Terremotos

Plan de Seguridad Informática

Las medidas que se establecen en el presente Plan de Seguridad Informática son de obligatorio cumplimiento para todo el personal que haga uso de las tecnologías informáticas instaladas en la institución. Políticas de Seguridad Informática de los usuarios que hacen uso de las tecnologías informáticas

En los actuales momentos la seguridad informática ha tomado gran importancia, debido al avance de la tecnología. La posibilidad de interconectarse a través de redes, permite explorar más allá de las fronteras nacionales, y con estas nuevas amenazas para los sistemas de información.

Estos riesgos que se están enfrentando han llevado a que se desarrolle un documento de directrices que orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones para obtener el mayor provecho de estas ventajas, y evitar el  mal  uso de las mismas

Resumen

YULIXANDEL MICHEL LA HOZ ENCARNACIÓN

13.4.4. Aportes del Servidor de Auditoría ............................................................................ 26

Capítulo II: Auditoría de Tecnologías de Información............................................................ 29

14.1. Ámbitos de la Auditoría Informática ............................................................................... 29

15.2. Administración................................................................................................................. 3

Proveen una plataforma de trabajo para examinar los datos recibidos desde los procesos monitoreados sin afectar el sistema auditado, proveyendo dos grandes ventajas:

1. Las herramientas de auditoría están en un ambiente separado del sistema

Auditado, este ambiente separado cuenta con su propio sistema operativo y lo

Más importante, su propia base de dato, incluyendo aplicaciones de herramientas

De auditoría. Así, el diseño de las herramientas del sistema auditor es

Independientes del diseño e implementación del sistema auditado. Es importante

Destacar que cualquier modificación y/o ampliación del sistema auditado no

Impactará en el sistema de herramientas de auditoría o viceversa.

2. El sistema de herramientas de auditoría debe ser efectivamente conectado al

Sistema auditado de manera que el sistema auditor pueda extraer datos desde el

Otro sistema para alcanzar los propósitos de auditoría. La comunicación entre el

Sistema de herramientas de auditoría y el sistema auditado puede ser construido

En base a distintas herramientas.

Al igual que lo señalado anteriormente, el Servidor de Auditoría cuenta con su propio

Sistema operativo, software de gestión de bases de datos (DBMS), herramientas de monitoreo de red y programas de análisis de datos específicos para las funciones de análisis y control; Estando su administración bajo responsabilidad del área Auditoría Interna.

Además de las ventajas mencionadas, el modelo propuesto en este estudio aporta

Lo siguiente:

• Brinda un ambiente específico y propio de procesamiento al área de Auditoría

Interna de la organización, independiente del control e intervención del área

Sistemas. Virtualmente es una "caja negra" que contiene los datos de todas las

operaciones procesadas por los sistemas de gestión, generando los

correspondientes datos duplicados (pistas de auditoría digitales); todo bajo la

responsabilidad y control de Auditoría Interna.

• Independiza el trabajo del auditor de los condicionamientos impuestos por la

operatoria del sistema de gestión. Actualmente el trabajo de los auditores debe

subordinarse a las prioridades fijadas por quienes administran el sistema de

gestión. Disponiendo de un servidor propio, afectado a su tarea, independiza al

área Auditoría de la organización de los condicionamientos fijados por la

operación del negocio.

• Permite mejorar el sistema de control interno de la empresa, ya que provee una

nueva fuente de información adicional para corroborar los datos brindados por el

sistema de gestión comercial.

• Reduce a su mínima expresión el riesgo asociado a la alteración de la

información que utilizará el auditor para sus tareas de control, logrando el

objetivo primordial de mantener la integridad de los datos.

1. Independencia respecto del área de Sistemas; esto posibilita el trabajo de

evaluación y control sobre las operaciones de la organización sin requerir de la

ayuda (y condicionamiento) de los técnicos encargados de mantener el sistema

de gestión.

2. Prescindencia del sistema auditado: la implementación del Servidor de Auditoría

No requiere modificar la programación ni la operatoria del sistema auditado

Ámbitos de la Auditoría Informática

Los trabajos de Auditoría Informática se desarrollan en el contexto del área o departamento de Sistemas de una organización. Estos trabajos implican la revisión de aspectos técnicos, económicos y de administración de las tecnologías de información y comunicaciones (TIC) utilizadas para la gestión de la empresa.  el auditor informático debería tener entidad para opinar sobre el costo del plan informático, los presupuestos del servicio informático, los métodos de dirección, la estructuración y asignación del personal informático, la confidencialidad de los datos, la seguridad de acceso, la protección de las instalaciones, y otros temas relacionados con los servicios prestados por el área de Sistemas. Clasifica las actividades (objetivos) de una auditoría informática en los siguientes tipos:

• Auditoría informática en el área de la planificación

• Auditoría informática en el área de organización y administración

• Auditoría informática en el área de construcción de sistemas

• Auditoría informática en el área de explotación

• Auditoría informática del entorno operativo hardware

• Auditoría informática del entorno operativo software Para cada uno de estos tipos de trabajos de auditoría informática el autor analiza los objetivos, propone la metodología para abordar el trabajo y aporta cuestionarios para facilitar la tarea del auditor. Presenta un enfoque distinto. Su propuesta se basa en que los trabajos de auditoría informática deben permitir comprobar que se hayan respetado los principios básicos de organización de la actividad informática. Los puntos claves para evaluar la fiabilidad del entorno computacional son entonces:

• La organización general del servicio

• Los procedimientos de desarrollo y mantenimiento de las aplicaciones

• El entorno de producción

• Las funciones técnicas

• La protección y confiabilidad de los datos Piattini y del Peso14 van más allá y en su clásico libro "Áreas de la Auditoría Informática", proponen catorce (14) áreas de análisis:

• Auditoría Física

• Auditoría de la Ofimática

• Auditoría de la Dirección

• Auditoría de la Explotación

• Auditoría del Desarrollo

• Auditoría del Mantenimiento

• Auditoría de Bases de Datos,

• Auditoria de Técnicas de Sistemas

• Auditoría de la Calidad

• Auditoría de la Seguridad

• Auditoría de Redes

• Auditoría de Aplicaciones

Administración

En este apartado se analizan las técnicas y procedimientos que se usan para evaluar cómo se gestiona el área que presta los servicios de computación y sistemas dentro de la organización. Los trabajos de esta naturaleza son denominados por los autores citados como “Auditoría de la organización general del servicio informático” “Auditoría Informática en el área de organización y administración” Se corresponde también con el apartado “Organización funcional y gestión de tecnología informática y sistemas” del BCRA y el dominio "Planificación y Organización" de COBIT. Para describir didácticamente las tareas involucradas en este tipo de trabajos de auditoría, se van a agrupar los aspectos considerados en cuatro grandes unidades: estructura organizacional del área de Sistemas, recursos humanos afectados a la misma, normas y políticas del área y situación presupuestaria-financiera.