auditoria y evaluación de sistemas
DESCRIPTION
Auditoria.TRANSCRIPT
INSTITUTO POLITECNICO SANTIAGO MARIÑO.
EXTENSION MARACAIBO
ESCUELA: INGENIERIA DE SISTEMAS
CATEDRA: AUDITORIA Y EVALUACION DE SISTEMAS
AUDITORIA INFORMATICA
Autores:
Miguel Ramírez, CI 21.354.096
Maracaibo, 20 de Octubre de 2014
Introducción
Desde que el hombre empezó a realizar tareas organizadas en beneficio propio
o de un grupo se ha requerido de una correcta planificación y una posterior
evaluación para determinar su correcta ejecución.
A raíz de estos procesos de evaluación se tuvieron que crear normas estándar
para la evaluación lo que dio origen a la auditoria y sus diferentes ramas de aplicación
que se han determinado con el avanzar de los estudios y tecnologías.
El informe a continuación se encuentra conformado por los siguientes puntos:
1- Definición.
2- Mapa cronológico: Historia y evolución de la auditoria según Carlos
Muños Razo.
3- Tipos de auditoría según Carlos Muñoz Razo.
4- Ventajas y desventajas de las auditorías externas e internas.
5- Auditoria informática y su alcance e importancia dentro de una
organización
6- Cuadro comparativo entre Auditoria en Sistemas de Información y
Auditoría Informática.
7- Características y objetivos de la Auditoria informática.
8- Síntomas de necesidad de una auditoria informática dentro de una
organización.
9- Perfil profesional de un auditor Informático.
Auditoria
1- Definición:
1.1- Auditoria: actividad independiente de los departamentos de cualquier
organización, la cual se basa en estudiar las operaciones llevadas a cabo dentro de una
empresa y verificar si se están realizando correctamente o si se está cometiendo
alguna falla que pueda afectar el objetivo principal de la organización, corregirlo y
encontrar la raíz del problema. Además una de sus tareas más importantes es guiar y
proponer la utilización de mejores y nuevos métodos de operación a la alta gerencia y
al gobierno empresarial. Por otro lado con los avances de la auditoria, esta se ha
venido encargando desde algunos años de evaluar los riesgos presentes en los
diferentes tipos de mercados al que pertenecen las empresas.
La auditoria cuenta con Normas Internacionales para el Ejercicio Profesional
de la Auditoría Interna, que deben cumplir para llevar a cabo un buen ejercicio de la
auditoria en cualquier empresa, además a estas se les suma las normas y reglas
impuesta por la empresa que se le practique dicha auditoria tomando en cuenta los
controles básicos de revisión y actualización los cuales son el medio ambiente
empresarial, riesgos relevantes externos e internos, política empresarial, los sistemas
de información que utilice la empresa y el chequeo de los supervisores y sus
operaciones departamentales. Por último, se encuentra el área de los fraudes, donde el
auditor deber estar siempre documentado, informado y alerta a los hechos y
actividades relacionadas con fraudes que puedan atacar a la organización
ocasionándole tanto problemas legales como económicos a la alta gerencia.
1.2- Auditor: actor quien lleva acabo las auditorias en empresas públicas y
privadas, el cual debe poseer conocimientos de una carrera profesional y un maestría
del área a auditar (por lo menos); un auditor generalmente debe ser profesional con
diversos conocimientos empresariales y tecnológicos para que pueda prestar un buen
servicio de revisión de todos los procesos del área que se esté evaluando, sin
embargo, los auditores se clasifican en dos grandes grupos los cuales son: a) junior,
posee una experiencia menor a 5 años (auditando); y b) sénior: posee una experiencia
mayor a 5 años (auditando). Los años de experiencia del auditor sea junior o sénior,
son importantes para los políticos empresariales ya que a mayor experiencia mayor
será la fiabilidad del diagnostico y resultado final arrojado por el mismo ante la alta
gerencia.
Generalmente el auditor pertenece (junior) o posee un grupo de trabajo
(sénior), los cuales en conjunto son los que realizan las evaluaciones a cada estructura
que conforman a una empresa y en conjunto tomas las decisiones de la eficiencia
operacional de los trabajadores arrojando también las posibles falla que tengas que
corregir, modificar o cambiar por completo.
2- Mapa cronológico: Historia y evolución de la auditoria según Carlos
Muños Razo:
En base al autor, se presentaran tres mapas cronológicos de la evolución de la
auditoria según los tipos de perspectivas del mismo.
2.1- Mapa Cronológico A:
2.2- Mapa Cronológico B:
2.3- Mapa Cronológico C:
3- Tipos de auditoría según Carlos Muñoz Razo:
3.1- Integral: actividad llevada a cabo por un grupo interdisciplinario
especializado para la evaluación de las áreas comunes y no comunes en su correcto
desarrollo de cada una de sus funciones administrativas departamentales, para regular
las actividades compartidas en función de los objetivos de la organización.
La meta de esta auditoría tan especializada es que cada personaje colegiado
evalué las actividades de la empresa en estudio, según sea su rama empresarial y de
esta manera no afecte la operatividad de los demás departamentos.
3.2- Gubernamental: auditoria desarrollada para evaluar las actividades de
los diferentes tipos de gobierno, debido a que estos son los responsables directos del
manejo y uso de los ingresos adquiridos por los contribuyentes así como el control de
los egresos generados para la satisfacción de las necesidades de los ciudadanos.
Este tipo de auditoria evalúa las diferentes ramas especializadas que
conforman el gobierno para el cumplimiento de todos los objetivos y el buen uso de
sus recursos, debido a la estrecha vigilancia a la cual se someten las funciones
gubernamentales para el cumplimiento de los programas, actividades y funciones por
parte de quienes tienen la responsabilidad ante la sociedad.
Cuando se iniciaron estas evaluaciones especializadas, la auditoria tradicional
fue incapaz de cubrir todas sus áreas, por lo que se dio origen a la auditoria
gubernamental.
3.3- Informática: evaluación desarrollada a través de especialistas tanto a
nivel informático como de cómputo. Se basa en la evaluación de los programas,
equipos, dispositivos, redes y todo instrumento lógico y físico que se utilice para el
manejo de los datos que administra, recibe y procesa para arrojar la información
solicitada por sus usuarios.
Otra área que evalúa este tipo de auditoría son los niveles de acceso que
poseen los sistemas de información identificando a los usuarios según sus funciones
en la organización.
3.4- Con computadora: evaluación que no necesariamente se realiza a
centros o equipos de cómputos; se tiene esta clasificación debido a que son
evaluaciones de sistemas utilizando equipos computarizados como herramientas
principales para el registro y análisis de las operaciones llevadas a cabo por el auditor
tanto de centros computacionales como no computacionales.
3.5- Sin computadora: evaluación llevada a cabo a las transacciones
económicas, administrativas y operacionales tanto a centros de cómputos como a
otras especialidades, a través de la vía óptica del auditor haciendo uso de las técnicas
tradicionales aceptadas por las normas de la auditoria. Además evalúa la estructura
organizacional, funciones y operaciones llevadas a cabo por el personal, así como su
uso de los recursos informáticos y computacionales ante la empresa, verificando de
esta manera la seguridad de la información que maneja la organización.
3.6- Sistema de cómputo: evaluación técnica especializada a todo equipo que
conforme el sistema de cómputo como el software, hardware, dispositivos de
almacenamiento externos, entre otros. Este tipo de auditoría abarca también equipos
asociados, redes que se compartan, comunicación externa e interna y la arquitectura
que conforme dicho sistema de cómputo.
3.7- Alrededor de la computadora: auditoria que se lleva a cabo a nivel no
técnico, es decir evalúa el ambiente y medio al cual pertenece el sistema
computarizado sin tomar en cuenta el computador como tal, basando su evaluación en
la seguridad de la información del sistema ante la empresa, el control de acceso
administrativo a los equipos computarizados a los empleados, la comunicación
interna o externa manejada a través del sistema y todos las áreas que lo utilicen o se
relacionen directamente con los equipos automatizados con el sistema de computo.
3.8- De la seguridad de los sistemas computacionales: evaluación profunda
técnica especializada exclusivamente de la seguridad de todo lo que conforma el
sistema de cómputo (base de datos, redes, memorias externas, dispositivos, usuarios y
accesos, datos, funciones, actividades y procedimientos), tomando como base
principalmente el respaldo de la información almacenada o en proceso en caso de que
ocurran accidentes informáticos. El principal objetivo de esta auditoría es reguardar el
sistema de cómputo de cualquier posible daño o ataque tanto externo e interno el cual
pueda dañar la información almacenada en el sistema, además se mantener el sistema
libre de las acciones de los virus informáticos.
3.9- Sistema de redes: evaluación estricta técnica y especializada del sistema
de redes que utilice la empresa, revisando sus protocolos de comunicación, accesos,
administración y demás aspectos relacionados a la instalación, uso, administración y
mantenimiento de las redes dentro de cualquier organización; además se encarga de
chequear los software, dispositivos y equipos que se conectan a la redes para el
transporte de datos y almacenamiento de los mismo en los diferentes niveles de la
empresa.
3.10- Integral de los centros de computo: evaluación técnica especializada a
nivel global de todo los que conforma a un sistema de computo tanto forma directa e
indirecta, llevada a cabo por un grupo multidisciplinario el cual verifica el estado,
acceso y seguridad de los equipos y sus procesos de registro, procesamiento y entrega
de datos e información a los usuarios que los solicitan según los niveles de acceso
que posea el sistema computarizado. Esta auditoría se caracteriza por realizar una
evaluación global que cubra todos los aspectos de auditorías especializadas en cada
área del sistema de cómputo.
3.11- ISO-9000 de sistemas computacionales: son evaluaciones exhaustivas
por auditores certificados a las empresas que utilizan la calidad de ISO-9000,
guiándose de las normas y procedimientos descritos por esta asociación, certificando
de esta manera que la empresa se encuentra en correcto funcionamiento y calidad del
sistema computacional el cual se apega a los requerimientos de la ISO-9000.
3.12- Outsourcing: evaluación estricta de los soportes de asesoramiento
técnico y análisis de los procesamientos de los datos que se realiza de una empresa a
otra; de esta manera se certifica la calidad tanto del servicio computarizado prestado
como del servicio de asesoramiento especializado. Este tipo de auditoría también
puede evaluar la funcionalidad del equipo donde se lleven a cabo los servicios de
cómputos prestados.
3.13- Ergonómica de sistemas computacionales: evaluación especializadas
que se centra en el medio ambiente y la relación hombre maquina, con la correcta
adquisición de equipos automatizados computacionales, donde se identifica la
correcta utilización de las herramientas que provee el sistemas, así como de las
posibles comodidades o repercusión que trae el sistema, para continuarlas o
solucionarla en beneficio de la salud, comodidad y bienestar de los usuarios de la
empresa que lo utilicen.
4- Ventajas y desventajas de las auditorías externas e internas:
Ventajas Desventajas
Auditoría Interna
1- Se mantiene al personal en
supervisión constante para que
se cumplan las planificaciones
realizadas por la alta gerencia
de la empresa.
1- Los empleados normalmente
por esta supervisión constante
pueden sentirse presionados,
ocasionando fallas por errores
humanos.
2- Se vela por la correcta
aplicación de las normas de
seguridad impuesta por la
gerencia y departamentos
especializados de la empresa.
2- Los costos iníciales por la
instalación o
acondicionamiento de los
sistemas de seguridad suelen
ser elevados.
3- Tras la evaluación de los
procedimientos, técnicas y
procesos, los auditores pueden
sugerir mejoras al sistema
operacional o proponer la
implantación de un nuevo.
3- Las malos procedimientos
detectados por el auditor
generalmente vienen asociadas
a una amonestación al
empleado o encargado del
departamento.
4- Estas evaluaciones son
llevadas a cabo por especialistas
colegiados los cuales mantienen
a la alta gerencia de los nuevos
avances tecnológicos y teóricos.
4- El sueldo y salario de este
tipo de auditores suele ser
elevado, debido a la gran
cantidad de estudios que debe
poseer para ejecutar esta tarea.
5- La credibilidad del informe
presentado por el auditor podría
verse cuestionado debido a que
es otro empleado que trabaja
para la empresa.
Auditoría Externa
1- Es una evaluación realizada
por un grupo multidisciplinario
contratado por la empresa
solicitante el cual a través de las
políticas, normas y
procedimientos descritos a una
previa reunión, los auditores
evalúan todos los procesos
empresariales a los que se les de
acceso, además de evaluar la
efectividad operacional del
auditor interno según los
resultados obtenidos.
1- La evaluaciones por los
auditores externos pueden que
no sean llevadas a cabo a gran
profundidad debido a que los
conocimientos que poseen de
los procedimientos de la
empresa fuero los descritos en
la previa reunión, por lo tanto,
si un punto no es tratado en
dicha reunión lo más posible es
que no sea evaluado.
2- El auditor externo puede
presentar nuevos proyectos e
instrumentos de trabajos y
tecnológicas, que sean más
actualizados de los que se
encuentren en uso en la
2- Las nuevas propuestas
pueden significar que el auditor
interno no se encuentra bien
documentado y actualizado en
cuanto a la rama de
especialización a la cual audita
organización, que no hayan sido
propuestos por el auditor
interno.
en la organización.
3- Son evaluaciones sumamente
importantes que deben ser
llevadas a cabo periódicamente,
para identificar posibles fallas
internas en la organización que
la alta gerencia y el auditor
interno no haya identificado;
además estos auditores
generalmente llegan con nuevos
proyectos y propuestas.
3- La asesoría de estos tipos de
auditores suelen ser sumamente
costosas, debido al grupo
multidisciplinario,
instrumentos, equipos
computacionales y otras
herramientas que estos utilicen
para llevar a cabo estas
evaluaciones.
4- Estos auditores evalúan a
través de un contexto externo a
la empresa, por lo tanto su
validez operacional no tendrá
relación con el personal interno
de la empresa; por lo tanto, el
informe presentado a la
gerencia luego de culminar la
auditoria, su porcentaje de
credibilidad será sumamente
alto, debido a que es una
persona totalmente externa a la
organización y a sus objetivos.
5- Auditoria informática y su alcance e importancia dentro de una
organización:
Auditoria de tipo especializada la cual evalúa exhaustivamente de los
periféricos, software, discos de almacenamiento, redes, dispositivos eléctricos de
emergencia y todo equipo que utilice el sistema de cómputo para su buen
funcionamiento; esta evaluación se encarga de verificar la correcta operatividad tanto
del equipo como al medio ambiente al cual pertenece el equipo y se desenvuelve
según los diferentes niveles de acceso de los usuarios, además de validad el respaldo
de la información que maneje el sistema en caso de emergencias o situaciones no
esperadas.
Los sistemas informáticos por lo general abarcan varios departamentos de las
organizaciones, por lo tanto el personaje colegiado especializado en la auditoria debe
encargarse de analizar, evaluar, validar, proponer o corregir tanto los procesos como
las tecnologías aplicadas y utilizadas en la organización. El auditor informático,
realiza esta evaluación global de todo el campo del sistema informático de la
organización, diferenciando los datos recolectados con los informes de otras ramas de
auditoría en la organización y de esta manera generar un informe adecuado que sea
validado y aceptado en su totalidad por la alta gerencia y gobierno de la empresa.
6- Cuadro comparativo entre Auditoria en Sistemas de Información y
Auditoría Informática:
A. Sistema de Información A. Informática 1- Requiere de profesional colegiado, el cual
pueda evaluar sistemas de información tanto
computacionales como no computacionales, por
ello el auditor que lleve a cabo la evaluación no
requiere de conocimiento informáticos, sino del
tratado, métodos, técnicas y otras prácticas
relacionadas con la información
1- Requiere de profesional colegiado, el cual
posea altos conocimientos a nivel informático y
sistemas de computo, además de posee los
conocimientos necesarios para evaluar procesos
de información a través de sistemas informáticos.
2- Evalúa los diferentes niveles de acceso a la
información relacionados directamente con los
niveles de accesos y tipos de trabajadores
correspondientes a los departamentos de la
organización lo cuales tengas acceso a los
registros de los datos confidenciales
almacenados.
2- Evalúa la seguridad de la información según
niveles de accesos al sistema, además los
métodos de almacenamiento de la información
que administra el sistema con sus
correspondiente sistema y método de
recuperación en caso de ataques inesperados,
accesos no permitidos, fallas de energía eléctrica
(dispositivos de energía eléctrica para
emergencia), en otros, elementos y acciones que
intenten acceder o dañar la información
almacenada en el sistema informático.
3- Presenta ante la alta gerencia y gobierno de la
empresa nuevos métodos acordes a los avances
de los sistemas de información.
3- Presenta ante la alta gerencia y gobierno de la
empresa nuevas tecnologías de información para
mejorar parcial o totalmente el sistema de
cómputo que posea la organización. Además de
proponer nuevas tecnologías, también presentan
los avances tecnológicos para el ahorro de
energía, menor consumo de papeles, equipos de
energía, entre otros.
4- Verifica los procesos y fases que
componen el sistema de información en
busca de posibles fugas de información,
mal uso de la información o validación
del buen cumplimiento y ejecución del
sistema de información.
5- Verifica líneas de código, línea de
comunicación, redes internas y externas,
estado de los dispositivos de computo y
eléctricos, y todo lo relacionado con
equipos del medio y fuera del mismo
para su funcionamiento.
7- Características y objetivos de la Auditoria informática:
La auditoria informática posee características de evaluación específicas por la
cual se creó esta rama en la auditoria global, debido a los altos conocimientos,
certificados y validaciones de normas a nivel internacional que debe posee poseer un
auditor informático.
La auditoria informática se centra en la evaluación y mejoras de los sistemas
de cómputos como memorias extraíbles, dispositivos, equipos energéticos, entre otros
que utilice la empresa que utilice para su funcionamiento, además de los equipos,
metodologías y diseño de comunicación y redes que deben estar bien desarrollados
para que funcionen eficientemente a la par con el sistema informático
proporcionando los resultados solicitados por los diferentes departamentos o usuarios
(según sea su nivel de acceso al sistema) del sistema, cumpliendo determinados
puntos de seguridad que debe poseer el sistema a auditar.
Otro punto sumamente importante que evalúa el auditor informático es la
eficiencia de respaldo de dato temporales en tiempos definidos a través de las líneas
de programación en caso de situaciones inesperadas o ataques de virus informáticos,
con el objetivo de resguardar la información administrada por el sistema en
dispositivos de almacenamiento externo o creando copias de seguridad, evitando de
esta manera la pérdida total de los datos de relevancia para la organización.
Seguidamente de evaluar el correcto funcionamiento y uso por parte de los
usuarios del sistema, el auditor debe verificar y certificar la eficiencia operacional del
sistema con respecto a las áreas externas indirectamente relacionadas con este a la
organización, que puede afectar la operatividad de estos departamentos o divisiones si
llegase a fallar el sistema de computo o alguno de sus dispositivos y programas.
Por otro lado, la auditoria informática esencialmente abarca 3 objetivos los
cuales son:
* Mejorar la eficacia de la organización informática y proteger sus archivos y
recursos (seguridad, políticas, normas, entre otras); buscando con esto proteger la
operatividad de la organización con respecto a los datos, programas y equipos los
cuales han representado altas inversiones económicas y operacionales para la
empresa.
* Garantizar resultados fiables en el tiempo, coste y utilidad de los sistemas
informáticos, es decir, asegurar la eficiencia operacional del sistema en cuanto a los
resultados solicitados en tiempos específicos y que no vallan a ocurrir errores que
representen problemas y pérdidas económicas para la empresa.
* Mejorar los procedimientos, estándares y planificación, colaborando en su
diseño y en la actualización de las normas; siendo certificados por el auditor donde
señala en su informe de actividades en correcto uso y aplicación del sistema
informático según las normas vigentes para el momento de la auditoria.
8- Síntomas de necesidad de una auditoria informática dentro de una
organización:
Los sistemas de requerir la actividad de auditar en una organización, varían
según la empresa, los equipos computacionales y las fallas que se encuentre afectando
la organización.
Por lo tanto se podría decir que los síntomas generales que puede presentar
una organización son:
* Fallas en la eficacia de la organización informática, la cual afecte la
seguridad de los archivos y funcionalidad de los recursos.
* Los resultados proporcionados por el sistema informático no son los
esperados o se duda de sus fiabilidad, retrasos elevados en el tiempo, los costo se
consumo de recursos se han elevado en grandes porcentajes.
* Los procedimientos, estándares y planificación no se están ejecutando
correctamente o se posee alguna duda de su efectividad debido a indeficiente diseño o
falta de actualización de las normas
9- Perfil profesional de un auditor Informático:
Un auditor informático debería cumplir un mínimo perfil profesional como el
que se muestra a continuación:
* Licenciado o Ingeniero en Informática, Computación, Sistemas.
* Maestrías, especialidad o cursos en sistemas de redes.
* Maestría, especialidad o cursos en sistemas computacionales.
* Maestría, especialidad o cursos en sistemas de comunicación.
* Maestría, especialidad o cursos de dispositivos energéticos de emergencia.
* Especialidad en normas de usos tecnológicos, según sea el campo de
aplicación de la empresa a evaluar.
* Conocimientos generales de los tipos de auditoría.
Conclusión
La auditoria es una evaluación exhaustiva de todas las operaciones, funciones,
dispositivos y todo lo que componga la unidad a auditar. A través de los años la
auditoria ha ido creciendo en cuanto a sus ramas de aplicación, debido que al
principio de sus tiempo solo se aplica a las actividades contables y administrativas de
las organización, sin embargo, por los avances en áreas como administración,
medicina, ciencias, ingeniería, entre otras, se requiriendo que el actor principal de la
auditoria, es decir, el auditor, poseyera determinados y específicos conocimientos
básicos para poder evaluar las diferentes ramas que fueron surgiendo de la auditoria
tradicional.
Hoy en día la auditoria es aplicada a casi todos los campos laborales de la
sociedad, en busca de mejorar las eficiencias operacionales de las organizaciones,
asegurando el buen uso de los sistemas y recursos para que lo resultados esperados
sean alcanzados a través de los planes y normas establecidos en los reglamentos
internacionales y de la organización. Por otro lado, estas auditoria poseen dos grandes
divisiones las cuales son: a) interna, llevada a cabo por un empleado de la
organización el cual vela por el cumplimiento correcto de las funciones y el buen uso
de los recurso en base a los objetivos de la empresa; y b) externa, donde la empresa
solicita profesionales externos para que realicen avalúos de los procesos y recursos en
busca de solucionar algún problema o con el objetivo de actualizar la empresa en
cuanto a procesos, funciones, normas, tecnologías, entre otras vigentes para el
momento de la auditoria.
Otras áreas que han evolucionado a gran velocidad, son la informática la cual
a través de la tecnología a alcanzo automatizar gran cantidad de trabajo que
anteriormente requerían de horas de trabajos, materiales y muchos empleados para
poder llevarse a cabo las tareas diarias de las empresa; y los sistemas de información,
los cuales han generado procesos, técnicas y normas para el uso, traslado, análisis y
almacenado de los datos de cualquier organización. Ambas áreas son auditadas por
especialistas diferentes en las ramas de procesos de información y de sistemas
cómputo correspondientemente, requiriendo conocimiento y validaciones de normas
certificadas a nivel internacional para laborar correctamente.
Se puede decir con certeza que toda organización requiere de las auditorias
para asegurar la veracidad y fiabilidad de sus resultados que son obtenidos a través de
los planes, recursos, técnicas en otras, además la auditoría es un proceso no solo de
evaluación sino también de actualización de los avances tecnológicos relacionados
directamente con las áreas de operaciones de los distintos tipos de organización.