Material de Apoyo
AUDITORIA DE LA TECNOLOGÌ A DE LA
INFORMACIÒN
1
www.auditool.org
AUDITORIA DE LA TECNOLOGÍA DE LA INFORMACIÓN
La auditoría informática aparece en respuesta al desarrollo acelerado de la informática y tecnología, que hace necesario la actualización y adaptación constante, tanto de los escenarios como controles a proponer e implementar en una entidad. Hoy en día la información se ha convertido en uno de los activos principales de las empresas, y es la base de la mayoría de las decisiones adoptadas por los directivos; dando origen a los sistemas de información, por lo cual surge la necesidad de verificar y evaluar estos sistemas, y determinar si son eficaces y eficientes, así como la adopción de sistemas y procedimientos para la protección de los mismos.
El fácil acceso a la información, debido al rápido avance de la tecnología, ha generado que las organizaciones hagan un uso más frecuente de las TICs (Tecnologías de la información y la comunicación), lo que por una parte ha ayudado a automatizar y agilizar procesos; pero por otro lado, ha generado situaciones, tales como, la fuga de información, robo y modificación ilegal de datos, pérdida de capacidad de procesamiento, daño de equipos, entre otras, que han hecho susceptibles a las organizaciones y provocado en algunas, grandes pérdidas.
Es por esto, que el papel de los auditores informáticos es fundamental para minimizar los riesgos de fraude y de malversación de los recursos informáticos, y ayudar a aprovechar al máximo los recursos informáticos en una entidad; por lo tanto existe una gran necesidad de su formación, capacitación y actualización continua.
Garantizar un control y administración adecuada de los recursos informáticos, ayuda en la prevención, detección y corrección oportuna de cualquier falla, acciones que con la ayuda de una auditoria informática, fortalecen el entorno informático de la entidad. El centro informático tiene entonces, una importancia crucial debido a que soporta los sistemas de información del negocio, aumentando las necesidades de control y auditoria en la entidad, aún más teniendo en cuenta que hoy en día las empresas han tenido que reorganizarse y tomar medidas como la restructuración de los procesos empresariales (BPR, Bussiness Process Re-Engineering), Gestión de Calidad Total (TQM, Total Quality Management), Contratación externa (Outsourcing), entre otras.
En una auditoria, el auditor emite una opinión profesional sobre si el objeto analizado, se presenta acorde a la realidad y cumple con las características prescritas. De esta manera, una auditoria informática consiste en la revisión, evaluación y valoración sistémica de la aplicabilidad de controles generales y específicos, con el fin de salvaguardar los recursos informáticos de una entidad, mantener la integridad de los datos y utilizar eficientemente los recursos. Este trabajo tiene como objeto de estudio los recursos informáticos, tales como hardware, software, bases de datos, redes, o instalaciones; e implica la creación, apropiación y adaptación de metodologías y procedimientos de desarrollo de auditoria informática, que orienten y guíen al auditor de manera eficiente y eficaz, con el fin de proporcionar una seguridad razonable de lo que se afirma.
Por consiguiente, el auditor debe estar preparado para encontrar diferentes entornos informáticos en las empresas, debido a que mientras unas empresas cuentan con una infraestructura actualizada y a la vanguardia de las tecnologías de información, otras están iniciando los procesos informáticos. Estos entornos heterogéneos requieren que el auditor esté preparado para actuar en dos áreas, la auditoria y la informática; el auditor debe revisar, diagnosticar y controlar los sistemas de información y los sistemas informáticos.
Por lo tanto el auditor debe trabajar en las áreas de seguridad, control interno operativo, eficacia y eficiencia, tecnología informática, continuidad de operaciones y gestión de riesgos, así como tener conocimiento en:
2
www.auditool.org
Desarrollo informático y gestión de proyectos
Gestión del departamento de sistemas
Análisis de riesgos en un ambiente informático
Sistemas operativos
Telecomunicaciones
Gestión de bases de datos
Redes
Seguridad física y lógica de los sistemas
Operaciones y planificación informática
Gestión de planes de contingencia
Gestión de problemas y de cambios en los entornos informáticos
Administración de datos
Ofimática
Comercio electrónico
Encriptación de datos
Este curso tiene como objetivo presentar al auditor, en primera medida, conceptos claros de sistemas informáticos, tecnología de información y seguridad informática, para luego presentar la auditoria informática, su concepto y área de trabajo, objetivos, etapas y tipos de auditoria dentro de la auditoria informática. Esta información le brinda al auditor las herramientas necesarias para el desarrollo exitoso de una auditoria informática. Finalmente, se presenta la estructura del modelo COBIT, establecido por ISACA.
SISTEMAS DE INFORMACIÓN
Los datos son símbolos que describen condiciones, hechos, situaciones, o valores; los cuales al estar en conjunto se convierten en información, la cual obtiene un significado e importancia dentro del ámbito que se maneje. La mayoría de los datos que maneja una entidad, ya sean contables, de fabricación, de recursos humanos, entre otros, son recolectados, tratados, y almacenados en sistemas informáticos, los cuales sirven para prestar un servicio específico, y para la toma de decisiones en una organización.
La información puede envolver cuatro niveles:
Técnico: Aspectos de eficiencia y capacidad de los canales de transmisión.
Semántico: Significado de la información.
Pragmático: Contexto especifico del receptor.
Normativo: Uso de la información.
Estos niveles deben ser abarcados por la informática, entendida como la utilización de las aplicaciones del computador para almacenar y procesar información, debido a que el uso de medios electrónicos permite manejar la información de forma rápida y a grandes volúmenes, así como, duplicar y distribuir la información de forma sorprendente, haciendo necesario un control más grande en el cuarto nivel, asegurando que la información sea usada y manipulada por personas autorizadas para fines correctos y establecidos en una empresa.
Un sistema de información se define como un conjunto de componentes que interactúan para que la empresa alcance los objetivos planteados de manera satisfactoria. Estos componentes son datos, aplicaciones, tecnología, instalaciones y personal.
3
www.auditool.org
La creación de un sistema de información para una empresa, comprende aspectos como, función de análisis de sistemas de información, función de diseño y construcción de sistemas de información, administración y control de sistemas de información y el entorno operativo de los sistemas de información, hasta llegar a la adaptación e implementación de la tecnología de información, seguridad y gestión en la función informática, y procesamiento electrónico de los datos.
Este proceso inicia con la función de análisis de los sistemas de información, que permite definir los requerimientos y necesidades de información y especificar la funcionalidad del sistema ideal de información. A través de diagramas de flujo, en esta función se realiza la modelación conceptual de la información o laicalización de las funciones de la organización. Cuando no se realiza un análisis adecuado de los sistemas de información pueden presentarse problemas como:
Falta de integralidad entre las aplicaciones
Información redundante
Un departamento informático caótico y sin un plan estratégico de sistemas e información
Aplicaciones que no soportan la misión de la empresa
Sistemas de información de vida útil corta
Falta de políticas de mantenimiento de los sistemas
La función de diseño y construcción de sistemas de información comprende el modelamiento de la solución de información ideal a implementar en la organización, por lo cual la actividad más importante a realizar, es la definición del esquema o estructura lógica de la base de datos. Acompañada a esta actividad se realiza el diseño externo o interfaz de usuario, durante la cual se diseñan las pantallas, menús y reportes que cubren las necesidades de información de los usuarios, y recolección e introducción de datos al sistema. Si esta función no se desarrolla adecuadamente, pueden presentarse los siguientes problemas:
Sistemas de difícil operación, ineficaces, inseguros y con vida útil corta.
Sistemas que no propician la integralidad con otros sistemas de información de la organización.
Sistemas con redundancia de datos
La administración y control de los sistemas de información comprenden todos los aspectos relacionados al desarrollo de los sistemas de información, relacionados a los lineamientos y políticas establecidas en la empresa. Sin una buena administración y control de los sistemas de información se pueden generar problemas como:
NORMAS
CONTROL PROCESOS
ENTRADA SALIDA
4
www.auditool.org
Ausencia de políticas y objetivos corporativos
Inexistencia de un plan estratégico y sistema de control interno en la entidad
Recursos informáticos obsoletos
Falta de metodologías y estrategias para gerenciar proyectos de tecnología de información La productividad de un sistema de información implica las políticas de operación y los recursos de infraestructura, que garanticen la prestación eficiente de un servicio, facilitando a los usuarios información oportuna y confiable. Esta función debe incluir un mantenimiento preventivo oportuno y apropiado de los equipos, así como la instalación de nuevos cuando sea necesario. Algunos problemas que se pueden presentar por una inadecuada operación de los sistemas de información son:
Falta de políticas, normas y procedimientos de operación y mantenimiento de los sistemas
Inapropiada infraestructura locativa y eléctrica
Escasa infraestructura de hardware y software
Obsoleta infraestructura de comunicaciones
Presupuesto insuficiente
Clasificación de los sistemas de información
De acuerdo al nivel organizacional y función, los sistemas se clasifican en:
Sistemas de información según el nivel organizacional que respaldan
Sistemas a nivel operativo: Sistemas diseñados para apoyar a los gerentes operativos en el seguimiento de las actividades y transacciones de la organización, tales como ventas, ingresos, nomina, flujo de materiales, entre otros. Ejemplo: Sistema de procesamiento de transacciones (SPT), Transaction Processin System (TPS).
Sistemas a nivel de conocimiento: Apoyan a los trabajadores del conocimiento y datos de una organización. Ejemplo: Sistema del trabajo del conocimiento (STC), Knowledge Work system (KWS), Sistemas de Oficina (SO), Office System (OS). Sistemas a nivel administrativo: Sirven a las actividades de supervisión, control,
toma de decisiones y administrativas de la gerencia. Ejemplo: Sistema de
Análisis de sistemas de informacion Diseño y construccion de sistemas de informacion Administracion y control de sistemas de informacion
Entorno operativo de los sistemas de informacion Adaptacion e implementacionde tecnologia de informacion Seguridad y gestion de la funcion informatica Procesamiento electronico de los datos
5
www.auditool.org
Información Gerencial (SIG), Management Information System (MIS), Sistema de apoyo a la toma de decisiones (SAD), Decision Support System (DSS).
Sistemas a nivel estratégico: Apoyan a los directivos para enfrentar y resolver aspectos estratégicos y tendencias a largo plazo, tanto en la empresa como en el entorno, y permiten adquirir una ventaja competitiva. Ejemplo: Sistemas de apoyo a ejecutivos (SAE), Executive Support Systems (ESS).
Sistemas de información según la función organizacional a que dan servicio Sistemas de ventas y marketing
Sistemas de manufactura y producción Sistemas de finanzas y contabilidad Sistemas de recursos humanos
Aplicaciones empresariales especificas
Sistemas empresariales, ERP, Enterprise Resource Planning, Planeación de recursos empresariales: Son sistemas que integran aplicaciones informáticas para gestionar todos los departamentos y funciones de una empresa. Estos sistemas influyen en cuatro dimensiones de la empresa: estructura de la empresa, proceso administrativo, plataforma tecnológica, y capacidad de negocios.
Sistemas de administración de la cadena de abastecimiento, SCM, Supply Chain Management: Son sistemas enfocados a que la empresa administre su relación con los proveedores.
Administración de la relación con el cliente, Customer Relationship Management: Metodología, información y procesos que le permiten a una empresa administrar sus contactos con los clientes de una forma organizada y adecuada.
TECNOLOGIA DE INFORMACIÓN
Las exigencias del mundo de hoy han hecho que la forma de manejar una empresa cambie y se adapte a las necesidades de sus usuarios y clientes. Una de estas, es la tecnología de información, la cual en los últimos años ha alcanzado una gran amplitud e impacto en diferentes sectores, cambiando así la forma y el lugar para hacer el trabajo. Ahora, las organizaciones deben satisfacer la calidad, requerimientos y seguridad de su información, a través de la optimización de los recursos de TI disponibles, incluyendo aplicaciones, información, infraestructura y personal.
Las primeras generaciones de computadoras se limitaban a guardar los registros y monitorear el desempeño operativo de una entidad, sin embargo la información no era pertinente ya que esta obedecía a tiempos pasados y desactualizados dentro de los distintos procesos de las entidades. Con los nuevos avances tecnológicos, las tecnologías hacen posible capturar y utilizar la información en el momento en que se crea, es decir procesos en línea. Cuando se llevan a cabo las distintas labores de una entidad apoyadas en la tecnología de la información se beneficia con un procesamiento más rápido y confiable de los datos, por lo tanto la información que resulta es favorecida con mayor movilidad y de fácil acceso, además de proveer una visión de más integralidad. La tecnología de información, TI, se refiere al uso de la tecnología para el manejo y procesamiento de información, como lo es la captura, procesamiento, almacenamiento, protección y recuperación de datos e información, para la toma oportuna y eficiente de decisiones, evidenciando así una gestión pertinente, apropiada y precisa para los distintos procesos de la entidad.
6
www.auditool.org
En una empresa debe existir un departamento o área que se encargue de estudiar, diseñar, desarrollar, implementar y administrar los sistemas de información, utilizados para el manejo de la información dentro de la empresa, para gestionar los procesos del negocio, como lo son los registros financieros y transaccionales, registros de empleados, facturación, pagos, compras, entre otros. El uso de TI garantiza ventajas en competitividad en la empresa, debido a que puede:
Obtener presencia y reconocimiento a través de internet.
Mantener un control exacto y preciso de los procesos de la entidad u organización.
Tomar decisiones argumentadas por medio de métodos cuantitativos.
Uso de la comunicación oportuna e inmediata en todos los niveles de la entidad u organización.
Acceso a procesos en línea.
Usar herramientas que le permiten diferenciar sus recursos humanos, productos y servicios en relación a sus competidores.
Facilita la evaluación y medición de distintos procesos de la entidad u organización.
Acoger buenas prácticas que aportan a la alta calidad, seguridad y confiabilidad de los servicios de la entidad u organización.
Beneficia tiempos, costos y calidad en los distintos procesos de la entidad u organización, con el diseño e implementación de métodos apropiados y actualizados.
SEGURIDAD INFORMÁTICA
La seguridad informática es el conjunto de hardware, software y procedimientos establecidos para asegurar que personal no autorizado acceda a la información, o el personal que maneja los sistemas realice operaciones que puedan poner en peligro el sistema y los datos. Para esto la organización debe establecer controles informáticos para prevenir, detectar o corregir cualquier falla en la seguridad informática.
El aseguramiento de la información es imprescindible para la toma de decisiones en la empresa; si no se garantiza que la información sobre la que se sustentan es confiable, segura y está disponible, las decisiones de la dirección de la empresa no tendrán validez. Por esta razón, además de la auditoria informática, las empresas deben implementar un Plan de Seguridad, que permita llevar a cabo el análisis de riesgos, debido a que la auditoria identifica el nivel de exposición que pueda tener la empresa por falta de controles.
El acceso a la información de la empresa debe estar restringido y organizado, por lo tanto se deben establecer controles de acceso, los cuales encierran los siguientes aspectos:
Separación de funciones entre los usuarios del sistema con perfiles definidos, de acuerdo a la información que manejan.
Integridad de los log, e imposibilidad de desactivarlos por ningún perfil para revisarlos. Legibles e interpretables por control informático.
Contraseña única para los distintos sistemas de red, con autentificación de entrada una sola vez, y controles de derechos de uso.
Contraseña y archivos con perfiles y derechos inaccesibles a todos, incluyendo a los administradores de la seguridad.
El sistema debe rechazar e inhabilitar a los usuarios que no usan las claves o los derechos de uso correctamente, y avisar a control informático.
Cambio de contraseñas periódicamente.
Uso de mecanismos de auto-logout, el cual saca del sistema al usuario después de un tiempo determinado.
7
www.auditool.org
AUDITORIA INFORMATICA
Los sistemas de información de las empresas cada vez son más dependientes de la informática, sistemas de cómputo y tecnologías de información, lo que hace necesario verificar su correcto funcionamiento y eficiencia, para evitar cualquier riesgo de fraude o pérdida de información con ayuda de los computadores. Es así como, la auditoria informática cobra una real importancia para las empresas, más aun teniendo en cuenta que la información se ha convertido en uno de los activos principales, y que las inversiones en sistemas de información son cada vez más grandes
Sin embargo hoy en día todavía existen empresas que no asimilan las nuevas tecnologías, manejan aplicaciones obsoletas, no planifican los sistemas de información, e incluso llevan a cabo procesos manuales difíciles y costosos. Esto no solo causa pérdidas a las entidades sino que representa riesgos en el manejo de la información. La auditoría informática aquí juega un papel primordial, porque aporta soluciones tanto en el reconocimiento de fallas o indicios de un mal procedimiento, que pueda tener consecuencias negativas para la empresa, como una forma de mejorar los procesos en el ámbito de la informática aportando al funcionamiento general de la empresa y a la reducción de costos.
Ante estas situaciones, y los rápidos cambios en el mundo, los directivos deben tomar decisiones para revaluar y restructurar sus sistemas de información y controles internos, asegurando la integridad de la información.
Concepto
La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados, que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Además, la auditoria permite detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
El desarrollo de una auditoria informática es importante debido a que permite identificar fortalezas, debilidades y riesgos en la gestión de proyectos, funcionalidad de los sistemas de información, configuración de la plataforma informática, calidad en los servicios prestados, y demás aspectos incluidos en el ámbito del uso y aplicación de las Tics en la entidad. A partir de esta información, el auditor puede brindar recomendaciones y propuestas para el mejoramiento de los procesos de la entidad, dando así soluciones integrales y un apoyo para el logro de los objetivos establecidos en la entidad.
La auditoría informática se puede desarrollar de dos maneras, por medio de una auditoria interna, aquella que se hace dentro de la empresa por un auditor interno; y auditoria externa, como su nombre lo indica es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoria en su empresa. Asimismo, la auditoria informática se desarrolla en tres etapas, que aseguran su eficacia y eficiencia, planeación, ejecución e información. Estas etapas se llevan a cabo consecutivamente, y permiten una retroalimentación constante durante el desarrollo de la auditoria, garantizando así su calidad y pertinencia.
8
www.auditool.org
El auditor durante el desarrollo de la auditoria adquiere responsabilidades, tanto en el ejercicio de la auditoria como en la planeación y ejecución de la misma. Al aceptar la auditoria, el auditor debe definir sus objetivos y alcance, y planificar y evaluar los siguientes aspectos, trabajando bajo unos principios éticos:
Realización de un estudio inicial o diagnostico organizacional
Determinación de perfiles del equipo de trabajo
Elaboración de planes de evaluación
Elaboración de programas de control interno
Diseño de los cuestionarios de control interno
Definición del riesgo computacional
Aplicación de pruebas de auditoria
Contar con el apoyo de la dirección
Solicitar con antelación la información necesaria
Análisis de datos con software de auditoria
Elaboración del informa final
Formulación de conclusiones y recomendaciones
Realización de auditoria de seguimiento
Estas responsabilidades están contempladas en los diferentes aspectos de la auditoria informática, que permiten establecer el ámbito de actuación del auditor. Los aspectos funcionales se enfocan a la adecuación de los sistemas en función de las necesidades reales y la evaluación del rendimiento y fiabilidad de los mismos. Los aspectos económicos relacionados con la informática le permitirán al auditor conocer sobre los presupuestos del servicio informático o los costos del desarrollo de un plan de sistemas. Los aspectos técnicos envuelven los equipos, periféricos, procedimientos de captura de datos, redes, comunicaciones, entre otros. Los aspectos de dirección, contemplan las indicaciones hacia los planes informáticos, en cuanto a su adecuación y seguimiento. Finalmente, los aspectos de seguridad se relacionan a la confidencialidad de los datos, seguridad de acceso, protección de las instalaciones, y demás factores que garanticen la seguridad de los sistemas informáticos.
CAMPO DE ACCION DEL AUDITOR ELEMENTOS
Evaluación administrativa del área informática
Objetivos del departamento, dirección o gerencia. Metas, planes, políticas y procedimientos de procesos electrónicos estándares.
Organización del área y su estructura orgánica.
Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos.
Integración de los recursos materiales y técnicos. Dirección y controles administrativos del área de procesos electrónicos.
Costos y controles presupuestales. Evaluación de los sistemas y
procedimientos, y de la eficacia que se tiene en el uso de la información. Evaluación de la eficiencia y eficacia
con la que se trabaja.
Evaluación del análisis de los sistemas y sus diferentes etapas.
Evaluación del diseño lógico del sistema. Evaluación del desarrollo físico del sistema. Facilidades para la elaboración de los sistemas. Control de proyectos.
Control de sistemas y programación. Instructivos y documentación. Formas de implantación.
9
www.auditool.org
Seguridad física y lógica de los sistemas. Confidencialidad de los sistemas.
Control de mantenimiento y forma de respaldo de los sistemas.
Utilización de los sistemas.
Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastres.
Productividad.
Derechos de autor y secretos industriales.
Evaluación del proceso de datos, de los sistemas y equipos de cómputo (software, hardware, redes, bases de
datos y comunicaciones).
Control de los datos fuente y manejo de cifras de control.
Control de operación. Control de salida.
Control de asignación de trabajo.
Control de medios de almacenamiento masivos. Control de otros elementos de cómputo.
Control de medios de comunicación. Orden en el centro de cómputo.
Seguridad y confidencialidad de la información.
Seguridad física y lógica. Confidencialidad.
Respaldos.
Seguridad del personal. Seguros.
Seguridad en la utilización de los equipos.
Plan de contingencia y procedimiento de respaldo para casos de desastre.
Restauración de equipo y de sistemas. Aspectos legales de los sistemas de
información. Cumplimiento de las normas y leyes pertinentes.
El departamento o área de informática en una empresa, debe llevar a cabo un control interno informático, que permita controlar las actividades diarias de los sistemas de información y verificar si estas cumplen a cabalidad con los procedimientos, estándares y normas pertinentes, tanto dentro de la empresa como las establecidas nacional e internacionalmente. El trabajo realizado en control interno informático colabora y apoya el trabajo de la auditoria informática.
Perfil del auditor
Para el desarrollo de una auditoria informática exitosa, el auditor debe ser un profesional con un alto grado de conocimiento en informática y suficiente experiencia en el área, así como habilidad para comunicarse efectivamente y dar un trato adecuado a las personas. El auditor, ya sea interno o externo, debe ser independiente de las actividades que audita, asegurando un trabajo objetivo y profesional.
Al momento que el auditor acepta el trabajo de auditoria, está aceptando la responsabilidad de actuar a favor del interés público, cumpliendo no solo las necesidades de su cliente, sino acogiéndose a los requisitos establecidos en el Código de Ética para profesionales, el cual establece los principios fundamentales de ética profesional relevantes al auditor cuando conduce una auditoria, estos principios son:
10
www.auditool.org
Integridad: El auditor debe ser sincero y honesto en todas las relaciones profesionales y de negocios.
Objetividad: El auditor no debe permitir que favoritismos o conflictos de interés influyan en sus juicios profesionales.
Competencia profesional y debido cuidado: El auditor debe mantener sus habilidades y conocimientos profesionales en el nivel apropiado y actualizados, para prestar un servicio de calidad y competente, de acuerdo a las legislaciones o regulaciones vigentes.
Confidencialidad: El auditor debe respetar la confidencialidad de la información obtenida como resultado de su trabajo, y no debe revelar la información a terceros que no cuenten con la debida autorización.
Conducta profesional: El auditor debe cumplir con los reglamentos y leyes relevantes, así como rechazar cualquier acción que desacredite a la profesión.
1.1 Objetivos
Verificar si los riesgos del negocio y de Tecnología de información han sido identificados y gestionados apropiadamente.
Salvaguardar los activos, en términos de protección de hardware, software y recursos humanos.
Verificar control interno.
Control de la función informática:
Verificar que las aplicaciones proporcionen información oportuna, exacta, necesaria y suficiente.
Revisar las medidas de seguridad, integridad de la información, procedimientos de operación, infraestructura de sistemas, procedimientos de mantenimiento, proceso de desarrollo de sistemas, software y hardware.
Revisar y evaluar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
Análisis de la eficiencia de los sistemas informáticos y el estado del arte tecnológico de las instalaciones.
Análisis de la gestión de los riesgos de la información y de la seguridad implícita.
Diagnosticar el grado de cobertura de las aplicaciones a las necesidades estratégicas y operativas de la información de la organización.
Verificación del cumplimiento de la normatividad de la empresa
Verificar la protección de activos e integridad de los datos y nivel de continuidad de las operaciones.
Revisión de la eficaz gestión de los recursos materiales y humanos informáticos
Control interno informático
El control interno informático controla diariamente todas las actividades de los sistemas de información para asegurar que se estén cumpliendo los procedimientos, estándares y normas pertinentes dentro de la entidad. Esta tarea la lleva a cabo el personal asignado dentro del departamento de informática en la entidad, quienes tienen como objetivos:
Controlar que todas las actividades sean realizadas de acuerdo a los procedimientos, estándares y normas establecidas y pertinentes.
Asesorar sobre las normas y regulaciones pertinentes.
Colaborar y apoyar el trabajo de la auditoria informática.
11
www.auditool.org
Asegurar que las modificaciones de los procedimientos, correspondientes al mantenimiento, están adecuadamente diseñadas, probadas, aprobadas e implementadas.
Garantizar la protección en los procedimientos programados, evitando así cambios no autorizados.
Los controles se clasifican en controles preventivos, detectivos y correctivos, definidos de la siguiente manera:
Controles preventivos: Implica el software de seguridad que impide los accesos no autorizados al sistema.
Controles detectivos: En caso de que los controles preventivos no funcionen correctamente, los controles detectivos deben estar atentos para reconocer cualquier eventualidad.
Controles correctivos: Son la corrección de las fallas que se han producido, permitiendo que el sistema vuelva a su normalidad.
Para determinar la implementación de controles es importante conocer el sistema, sus elementos, productos y herramientas; lo que permite identificar los posibles riesgos. Este conocimiento envuelve el entorno de red, configuración del computador base, entorno de aplicaciones, productos y herramientas, y seguridad del computador base. La responsabilidad de este sistema de control interno informático es de la gerencia o dirección de la empresa, quienes deben definir las normas de funcionamiento del entorno informático mediante el establecimiento de procedimientos, estándares, metodologías y normas a seguir.
Controles internos:
Controles generales organizativos
Políticas: Son base para la planificación, control y evaluación de las actividades del departamento de informática.
Planificación: Realización del plan estratégico de información, plan informático, plan general de seguridad física y lógica, y plan de emergencia ante desastres.
Estándares: Regulan la adquisición de recursos, el diseño, desarrollo y modificación y explotación de sistemas.
Procedimientos: Describen la forma y responsabilidades de ejecución para regular las relaciones entre el departamento de informática y los usuarios.
Funciones y responsabilidades dentro del departamento. Políticas de selección, capacitación y evaluación del personal. Autorización y control de accesos al sistema.
Controles de desarrollo, adquisición y mantenimiento de sistemas de información: Permiten alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento de las leyes y regulaciones.
Metodología del ciclo de vida del desarrollo de sistemas
Explotación y mantenimiento: Asegurar que los datos se tratan de forma congruente y exacta, y que los cambios solo se realizaran con las autorizaciones pertinentes.
Controles de explotación de sistemas de información
Planificación y gestión de recursos: Definición de presupuesto operativo, plan de adquisición de equipos, y gestión de la capacidad de equipos.
12
www.auditool.org
Controles para uso de los recursos: Calendario de carga de trabajo, programación de personal, mantenimiento preventivo, gestión de problemas y cambios, procedimientos de facturación a usuarios, soportes.
Procedimientos de selección del software del sistema, de instalación, de mantenimiento, seguridad y control de cambios.
Seguridad física y lógica
Controles específicos de ciertas tecnologías
Controles en sistemas de gestión de bases de datos Controles en informática distribuida y redes
Controles sobre computadores personales y redes de área local
Etapas de una auditoria informática
Para que la auditoria informática se desarrolle apropiadamente, esta se debe llevar a cabo en tres etapas bien definidas, planeación, ejecución, e información.
Planeación
La planeación de la auditoria debe hacerse cuidadosa y objetivamente. Esta función de planear la auditoria se desarrolla en tres procesos: conocimiento general de la entidad, definición del ámbito y alcance de la auditoria, y definición del programa de auditoria; procesos que permiten llevar a cabo la auditoria de una manera eficaz y eficiente.
El proceso de planeación comprende el establecer metas, programas de trabajo de auditoria, planes de contratación de personal, presupuesto financiero, e informes de actividades. De esta manera, esta etapa inicia con un diagnostico general de la organización o entidad, en torno a los ambientes organizacional, informático y de control interno; que permite reconocer los sistemas y procesos dentro de la entidad, y a su vez identificar cualquier falla o anomalía que afecte los mismos.
Esta información permite que el auditor establezca el alcance y planeación de los procedimientos a seguir, así como:
Destinatario de las conclusiones, documentación a entregar y fechas.
Información y documentación previa a solicitar (informes previos de auditoría, organigrama funcional y departamental, esquema de arquitecturas, procesos o interfaces).
Programas de trabajo detallados y estándares que se van a seguir (COBIT, ISO).
Identificación de interlocutores (administradores de bases de datos, responsables de la seguridad) e identificación de herramientas tecnológicas para la realización del trabajo.
Conocimiento general de la entidad
El conocimiento de la entidad inicia desde la dirección y su plan estratégico corporativo, que contiene todos los lineamientos y políticas por las que se rige la empresa, así como su visión y misión. Todos los proyectos desarrollados en la empresa están bajo el plan estratégico, y deben obedecer a las necesidades de información de cada área de la empresa. La satisfacción de estas necesidades originan un plan estratégico informático y de sistemas, que une todos los recursos tanto de personal como tecnológicos, para la creación de estrategias informáticas, orientadas a la integralidad eficiente para la producción y gestión inteligente de información para la administración, operación y control de la empresa, así como la atención oportuna, eficaz y segura de clientes y proveedores.
13
www.auditool.org
Planeación: Determinar los objetivos del área y la forma en que se van a lograr.
Organización: Proveer las facilidades, estructura, división del trabajo, responsabilidades, actividades de grupo y personal, necesarios para realizar las metas.
Recursos humanos: Selección, capacitación y entrenamiento del personal requerido para realizar las metas.
Dirección: Coordinar las actividades y procesos dentro del área, con liderazgo, guía y motivando al personal.
Control: Comparar lo real con lo planeado, de tal manera que se identifiquen problemas o anomalías, para realizar los ajustes necesarios.
Por ende el auditor debe tener en cuenta los siguientes aspectos:
Estructura organizacional: Revisión de jerarquía, estructura orgánica, funciones y objetivos.
Políticas corporativas
Plan estratégico corporativo
Manual de funciones
Presupuesto
Indicadores de gestión
Misión y visión
Planta de cargos, número de personas y distribución por áreas
Plan anual operativo
Plan de capacitación
Recursos humanos
Políticas de selección y administración del recurso humano
Matriz DOFA
Plan de contingencias
Distribución geográfica
Soporte legal de las funciones
Plan de calidad ESTRATEGIA CORPORATIVA NECESIDADES DE INFORMACION ESTRATEGIA INFORMATICA PLAN ESTRATEGICO INFORMATICO Y DE
SISTEMAS
14
www.auditool.org
Evaluación de control interno
Al evaluar el área de control interno de la empresa, el auditor debe verificar las actividades, operaciones y actuaciones, administración de recursos en relación a las normas y políticas legales y definidas por la dirección de la empresa. Para esto debe tener en cuenta aspectos como:
Estructura de la auditoria interna
Funciones de control
Plan anual de revisión
Plan de contingencias
Políticas y normatividad de control y protección
Valoración de riesgos
Evaluaciones anteriores
Estructura funcional
Objetivos y metas del control interno
Tipos de control
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité de organizaciones patrocinadoras de la Comisión Treadway, COSO, en cuál fue diseñado con el fin de estudiar los factores que llevaran a acciones fraudulentas en las operaciones de una organización; y permite evaluar el sistema de control interno implementado en la organización.
El modelo COSO comprende cinco componentes de control, que permiten lograr los objetivos de control para alcanzar los objetivos del negocio y cumplir con las normas y regulaciones pertinentes, estos son:
Ambiente de control: Factores que inciden en el ambiente de control, tales como integridad y valores morales del personal, contratación de personal de calidad, capacidad de identificación de riesgos operacionales, entrenamiento especializado sobre la aplicación de controles internos, y roles y responsabilidades de la junta y comité de auditoría.
Evaluación de riesgos: Procedimientos para identificar cambios externos que puedan afectar a la organización; herramientas y metodologías para la identificación, evaluación y medición de los riesgos operacionales y evaluación periódica de riesgos en las diferentes áreas de la organización.
Actividades de control: Acciones tomadas para implementar políticas y estándares dentro de la organización. Estas actividades incluyen administración de los riesgos operacionales, control de acceso a los sistemas de información y recursos informáticos, controles para mitigar errores operacionales, y evaluación de controles generales de cómputo asociados al área de TI.
Información y comunicación: Información suficiente para la toma de decisiones, información adecuada y oportuna de los sistemas de información, y comunicación apropiada entre los diferentes departamentos de la organización, disponibilidad de medios para comunicar irregularidades y resultados de alta gerencia de la organización.
Monitoreo: Monitoreo continuo del sistema de control para asegurar que opera efectivamente, a través de actividades de supervisión, auditoria interna, monitoreo permanente de los indicadores de riesgos operacionales y situaciones críticas, efectividad de los controles implantados, y disponibilidad de herramientas.
15
www.auditool.org
Área informática
En cuanto al área informática el diagnostico comprende la revisión y evaluación de la organización, administración, operación, seguridad, infraestructura de computo, procesamientos electrónico de datos, y herramientas de tecnología de información. El auditor debe tener en cuenta los siguientes aspectos:
Estructura de funciones del área de sistemas
Estudios de viabilidad: Análisis de costos y beneficios sobre el uso de los computadores a largo plazo, definiendo tipo de hardware, software, periféricos, y equipo de comunicaciones, necesarios para lograr los objetivos de la organización y el departamento de informática. De la misma manera, este estudio permite evaluar si un procedimiento puede ser llevado a cabo por el computador, y cuáles son las alternativas para un mejor resultado. Los resultados del estudio de viabilidad deben ser distribuidos al personal de informática, como base y soporte para la compra, contratación o elaboración de un proyecto.
Plan estratégico de sistemas e informático: Definición de objetivos a largo plazo y las metas necesarias para lograrlos. Este plan envuelve el plan estratégico de organización, plan estratégico de sistemas de información, plan de requerimientos y plan de aplicaciones de sistemas de información.
Plan de proyectos: Plan básico para desarrollar un sistema y asegurar que el proyecto es consistente con las metas y objetivos de la organización.
Plan estratégico de instalaciones
Plan de seguridad: Debido a que las instalaciones de informática están expuestas a desastres por varias razones, huracanes, inundaciones, fuego, terremotos, entre otros; debe existir un plan que permita reducir los riesgos a un nivel aceptable, planeando los seguros que se deban obtener, y el plan de recuperación en caso de un desastre, que permita garantizar el funcionamiento de las operaciones en el menor tiempo posibles y con el menor impacto para la organización.
Plan de contingencias: En la organización pueden ocurrir diferentes accidentes debido a mal manejo de la administración, negligencia, ataques o desastres naturales. Es por esto que la organización debe contar con un plan de contingencia que prevea cualquier riesgo que afecta a la organización y determinar cuáles son las acciones a seguir. El plan de contingencias es definido como la identificación y protección de los procesos críticos de la organización y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecución, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organización en caso de desastre. Este plan debe asegurar la continuidad de las operaciones o la restauración de los equipos en el menor tiempo posible, evitando consecuencias negativas para la entidad. De la misma manera, el plan de seguridad debe garantizar la integridad y exactitud de los datos, permitir identificar la información confidencial, proteger los activos de desastres naturales u ocasionados por el hombre, asegurar la capacidad de la organización para sobrevivir a las eventualidades. El plan de contingencia debe ser probado, sobre la base de que puede ocurrir un desastre, para evaluar si responde adecuadamente.
En la elaboración del plan de contingencias debe intervenir los niveles ejecutivos de la organización y el personal usuario y técnico de los procesos, quienes determinaran el desarrollo del plan de contingencias, el cual envuelve:
Planificación: Definición del alcance, fases del plan de eventos, estrategia de planificación de la continuidad del negocio, identificación y asignación de los grupos de trabajo, definición de roles y responsabilidades.
16
www.auditool.org
Elaboración del directorio de emergencia. Objetivos del plan de contingencia:
elementos considerados como críticos, que componen los sistemas de información.
Definir acciones y procedimientos a ejecutar en caso de fallas de los elementos que componen el sistema de información.
Aprobación y respaldo de la empresa y directivos.
Identificación y Análisis de Riesgos: Esta fase busca minimizar las fallas que se puedan generar en los sistemas de información, a partir del análisis de los proyectos en desarrollo. Es importante realizar un análisis de impacto económico y legal, y determinar el efecto de las fallas de los principales sistemas de información y producción de la organización. Este análisis se lleva a cabo teniendo en cuenta:
Un diagnóstico integral del sistema de información.
Listado de servicios afectados, evaluando su importancia y magnitud de impacto.
Identificación de todos los procesos de los servicios afectados. Análisis de los procesos críticos de los servicios.
La naturaleza, extensión y complejidad de las actividades de la organización. Grado de riesgo al que la organización está expuesto.
Tamaño de las instalaciones de la organización.
Evaluación de los procesos considerados como críticos. Número de procesos críticos.
Análisis del impacto en la organización
Identificación de soluciones: Identificación de alternativas, eventos activadores, y soluciones.
Selección de la estrategia: Las estrategias permiten identificar prioridades y determinar en forma razonable las soluciones, algunas de estas pueden ser:
Respaldar toda la información importante en medio magnética.
Generar discos de arranque de acuerdo a los sistemas operativos, libres de virus y protegidos contra escritura.
Mantener copia de antivirus actualizado para emergencias.
Guardar una copia impresa de la documentación de los sistemas e interfaces, y planes de contingencia definidos.
Ubicación y disposición adecuada del centro de cómputo. Control de accesos
Vigilancia
Control adecuado y periódico de los medios magnéticos. Establecer controles de impresión.
Formulación de las medidas de seguridad necesarias.
Justificación del costo requerido para implantar las medidas de seguridad.
Documentación del proceso: Es necesario documentar todo el plan de contingencia y distribuirlo al personal y directivos de la organización.
Pruebas y Validación: Las pruebas permitirán evaluar el plan y determinar si está acorde a las necesidades de la organización. Es importante designar en cada unidad o departamento de la organización un responsable de la seguridad de la información de su área.
17
www.auditool.org
Implementación y mantenimiento:
Dentro del plan de contingencias esta un plan de respaldo, plan de emergencia, y plan de recuperación.
Plan de acción: Se deben establecer los procedimientos relacionados con los sistemas de información, equipos de cómputo, backups y políticas.
Plan de emergencia: Acciones a seguir en el momento del desastre, teniendo en cuenta los posibles escenarios de ocurrencia del siniestro, personal presente, vías y salidas de emergencia, plan de evacuación, ubicación y señalización de elementos contra el siniestro, secuencia de llamadas, elementos de iluminación, y listado de teléfonos.
Formación de equipos y entrenamiento: establecer claramente cada equipo y funciones, teniendo en cuenta el entrenamiento recibido para la lucha y reacción ante diferentes tipos de siniestros.
Plan de recuperación: Cuando ocurre una contingencia, se debe conocer el motivo que la origino en el menor tiempo posible, y el daño que se ha producido, lo que permitirá recuperar el proceso perdido. Este plan debe incluir actividades previas al desastre, actividades durante el desastre, y actividades después del desastre. Actividades después del desastre: Se debe evaluar los daños, priorización de
actividades del plan de acción, ejecución de actividades, evaluación de los resultados y retroalimentación del plan de acción.
Inventario de software y hardware
Políticas de operación, seguridad, capacitación y mantenimiento
Metodologías de desarrollo
Políticas de backup y recuperación
Planta de cargos y perfiles
Distribución física del área de sistemas
Infraestructura de comunicaciones
Inventario de aplicaciones
Planeación de cambios, modificaciones y actualización: Especificar metas y actividades para realizar los cambios y modificaciones necesarios.
Manual de procedimientos
Estándares de desarrollo
Recursos financieros
Herramientas de tecnología de información
18
www.auditool.org
Análisis y Evaluación de Controles
Una vez terminado el diagnostico, el auditor debe iniciar el análisis de la información obtenida para determinar los controles a evaluar. Por un lado se encuentra el ambiente de control específico, que evalúa todas aquellas normas, procedimientos, acciones y uso de recursos empleados en el procesamiento electrónico de datos, entrada, procesamiento, salida, bases de datos, aplicaciones y procesamiento distribuido, es decir todo lo relacionado a lo que ocurre al interior de los equipos de cómputo.
Y en segundo lugar está el ambiente de control general que evalúa todas aquellas normas, procedimientos, acciones y uso de recursos empleados para soportar el desarrollo y producción de los sistemas de información, es entonces todo lo concerniente a lo que ocurre alrededor de los equipos de cómputo. Esta información permite identificar los sectores de riesgo o que necesitan ser mejorados, para direccionar el desarrollo de la auditoria informática y definir su alcance.
Los controles se dividen en generales y de las aplicaciones, los de aplicaciones comprenden los operativos y técnicos.
Controles generales: Estos controles se aplican al procesamiento de la información y establecen un marco de referencia de control global sobre las actividades de TI, y proporcionar un nivel razonable de certeza de que se logran los objetivos globales del control interno: efectividad, eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y confiabilidad de la información.
Preinstalación
Controles operativos y de organización Políticas, procedimientos y estándares
Desarrollo de sistemas de aplicación y control de mantenimiento Administración de recursos
Controles sobre el desarrollo de programas y su documentación Controles sobre los programas y los equipos
Salida
Procesamiento
Entrada
Bases de datosAplicaciones Redes y comunicaciones
19
www.auditool.org
Seguridad y confidencialidad Controles de acceso
Controles sobre los procedimientos y los datos
Controles de las aplicaciones
Controles operativos: Comprenden cada uno de los sistemas en forma individual. Control de flujo de la información
Control de proyectos Organización del proyecto Reporte de avance
Revisiones del diseño del sistema Técnicas de usuario y de control Control de cambios a programas Mantenimiento y documentación Producción
Controles de documentación
Documentación del sistema y del programa Mantenimiento y acceso a la documentación Control de sistemas y programas
Sistemas en lote (batch) Reporte de control Validación de entradas
Controles de programas misceláneos Controles de entrada
Corrección de errores
Puntos de verificación y reinicio Controles de salida
Controles técnicos
Controles de operación y uso del computador Supervisor
Capturistas Bibliotecario Operadores
Controles de entrada y salida Recepción de información Detección y corrección de errores Distribución de la información Calendarización
Reporte de fallas y mantenimiento preventivo Controles sobre archivos
Recuperación de desastres Controles de preparación de datos Control de usuarios
Control de origen de datos Origen de documentación fuente Autorización de documentación fuente
Recolección y preparación de entrada y documentación fuente Manejo de errores de documentación fuente
Revisar procedimientos escritos para iniciar, autorizar, recoger, preparar y aprobar los datos de entrada en forma de manual de usuario.
20
www.auditool.org
Verificar que los usuarios entienden y siguen los procedimientos.
Verificar que todos los datos de entrada en el sistema pasan por validación y registro antes de su tratamiento.
Controles de entrada de datos
Controles de actualización y tratamiento de datos Controles de salida de datos
Controles de documentación Controles de back-up
Existencia de un plan de contingencia.
Evaluación de controles generales de tecnología de información, ITGCs (Information Technology General Controls)
El auditor debe entender y evaluar el ambiente de control general de tecnología de información. Los controles generales son las políticas y procedimientos que se aplican a los sistemas de información, infraestructura y plataformas de TI en una organización, asegurando así un correcto funcionamiento de todas las operaciones.
Dentro de este ambiente existen cuatro dominios:
Acceso a programas y datos: Verificar que solo el personal autorizado accede a los programas e información bajo la autentificación de la identidad de los usuarios.
Cambios en los programas: Verificar que los cambios a los programas y los componentes de infraestructura relacionados, son solicitados, autorizados, desarrollados, evaluados e implementados para alcanzar los objetivos de control de gestión de aplicaciones.
Operaciones informáticas: Confirmar que los sistemas de producción , y los problemas de procesos son identificados y solucionados adecuadamente para mantener la integridad de la información:
Desarrollo de programas: Determinar si los sistemas son desarrollados, configurados e implementados de acuerdo a los objetivos de control de gestión de aplicaciones.
Ámbito, Alcance y Programa de auditoria
De esta manera el auditor puede proceder a elaborar por escrito el programa de auditoria a seguir, teniendo en cuenta los siguientes puntos:
Introducción
Antecedentes
Justificación
Objetivos
Alcance
Evaluación de la dirección informática Evaluación de los sistemas
Evaluación de los equipos Evaluación de procesos de datos Evaluación de la seguridad
Información de apoyo
Metodología
Establecer comunicaciones necesarias con el personal involucrado en la auditoria
Tiempo y costo
Recursos
Comunicación de resultados
21
www.auditool.org
Así mismo, el plan del auditor debe definir:
Funciones: Descripción de forma precisa de las funciones y organización del departamento de auditoria, con todos sus recursos.
Procedimientos: Actividades a realizar en la auditoria, definiendo tipos de auditoria, sistema de evaluación, nivel de exposición, lista de distribución de informes, seguimiento de acciones correctivas, plan de cinco años y plan de trabajo anual.
Programa De Auditoría Informática
Organismo: Hoja
#: Fecha:
Fase Descripción Actividad Personal Participante
Periodo
Estimado Días Días Inicio Término
Ejecución
Durante la ejecución se diseñan y aplican los cuestionarios de control, se evalúa el riesgo computacional, y se realizan todos los procedimientos detallados en los programas para obtener evidencias del desarrollo del trabajo. Para obtener estas evidencias el auditor puede usar técnicas, métodos y herramientas:
Observación: Observación de los procedimientos y actividades más significativas realizadas por los usuarios, de tal manera que el auditor pueda identificar cualquier falla o falta de formación en los usuarios, o mejoras de diseño que puedan aumentar la agilidad y productividad en el uso de una aplicación o sistema de información. Así mismo, es una herramienta que brinda la oportunidad de probar la efectividad de los controles establecidos, solicitando la simulación de errores previsibles, para comprobar si la respuesta del sistema es la esperada.
Estudio de procesos concretos
Cuestionarios
Entrevistas: El auditor debe seleccionar las personas a entrevistar que puedan aportar a su propósito. Así mismo el auditor debe preparar la entrevista con anterioridad, estableciendo fecha y hora de la entrevista, autorización previa de los entrevistados, temas a tratar, documentos necesarios, e invitación a sugerir en el proceso, dejando abierta la posibilidad de nuevas entrevistas.
Encuestas: Se debe preparar un cuestionario que permita, recoger también las observaciones y sugerencias de los encuestados y datos de la entidad donde se está desarrollando y si es posible de los encuestados, cuando estos lo necesitan así.
Análisis de la documentación
Muestreo estadístico
Flujo-gramas, mapas conceptuales
Listas de chequeo: Son vitales para el trabajo de análisis, cruzamiento y síntesis posterior.
Verificaciones físicas
22
www.auditool.org
CAAT (Computer Assisted Audit Techniques), Técnicas de auditoria asistidas por computador: software de auditoria generalizado, software utilitario, datos de prueba y sistemas expertos de auditoria. Estas técnicas pueden ser utilizadas para varios procedimientos como: prueba de los detalles de operación y saldos, procedimientos de revisión analíticos, pruebas de cumplimiento de los controles generales de SI, y pruebas de cumplimiento de los controles de aplicación. Cuando el auditor decide utilizar herramientas CAAT, debe controlar el uso de las herramientas para asegurar que se cumple con los objetivos de la auditoria, y documentar el trabajo que se realice incluyendo: planificación, objetivos de los CAAT, CAATs a utilizar, controles a implementar, personal involucrado, tiempo y costos, procedimientos de la preparación y prueba de los CAAT y controles relacionados, detalle de las pruebas, detalles de los input, evidencia de auditoria – output, resultado de auditoria, conclusiones, y recomendaciones.
TIPOS DE HERRAMIENTAS CAAT HERRAMIENTA FUNCIÓN
IDEA
Esta herramienta permite leer, visualizar, analizar y manipular datos, llevar a cabo muestreos y extraer archivos de datos. Además, el uso de esta herramienta disminuye costos de análisis y realzar la calidad de trabajo.
Funciones: importación de datos, manejo de archivos y clientes, estadísticas de campo, historial, extracciones, extracción indexada, extracción por valor clave, funciones, conector visual, uniones, agregar, comparar, duplicados, omisiones, gráficos, Ley de Benford, estratificación, sumarización, antigüedad, tabal pivot, agrupador de procesos, muestreo, agregar campos, e IDEASscript.
ACL
Herramienta enfocada al acceso de datos, análisis y reportes para auditores y profesionales financieros. ACL lee y compara datos, permitiendo que la fuente de datos permanezca intacta, para una completa integridad y calidad de los datos. Así mismo ACL permite analizar datos para un completo aseguramiento, localizar errores y fraudes potenciales, identificar errores y controlarlos, limpiar y normalizar los datos para incrementar la consistencia de los resultados, realizar un test analítico automático y manda una notificación vía e-mail con el resultado.
Auto Audit
Sistema completo para la automatización de la función de auditoria, soportando todo el proceso del trabajo, desde la planificación, trabajo de campo, hasta la preparación del informe final. Auto Audit permite planificar la auditoria en función de evaluación de riesgos, asignación de auditores para el trabajo de campo, flexibilidad, mantenimiento de bibliotecas estándares, establecimiento de usuarios con perfil definidos, creación del informe final, monitoreo de hallazgos, registro de tiempos y costos, elaboración de encuestas y evaluaciones a los auditores, registro histórico, adaptar cualquier estructura de auditoria, y encriptamiento de datos asegurando la confidencialidad de la información.
AUDICONTROL APL
Metodología y software que asiste a los diseñadores de controles, analistas de seguridad y analistas de riesgos en el desarrollo de todas las etapas de proyectos de gestión de riesgos y diseño de controles Internos, reingeniería del sistema de
23
www.auditool.org
control interno, sistemas de información y la infraestructura de Tecnología de información de la organización.
AUDITMASTER
Solución de supervisión de transacciones a nivel de bases de datos, controlando toda la actividad que tiene lugar en una base de datos.
DELOS
Sistema experto que posee conocimientos específicos en materia de auditoria, seguridad y control de tecnología de información.
El auditor encuentra tres tipos de control, preventivos, de detección y correctivos. El control preventivo es la primera línea de defensa contra cualquier factor o elemento que pueda afectar los sistemas de información. El control de detección ofrece una segunda línea de defensa contra los agentes causales que no son detectados en la fase preventiva, además estos activan una alerta de alguna desviación; y los correctivos proceden a ejecutar una acción correctiva.
Esta fase de ejecución se desarrolla en tres procesos, evaluación del sistema de control interno, riesgo computacional y elaboración de pruebas de auditoria.
Evaluación del sistema de control interno
En la evaluación del sistema de control interno se aplican los cuestionarios de control por cada actividad de riesgo definida en el alcance de la auditoria, a partir de esta información se evalúa el riesgo computacional. Este proceso permite medir la eficiencia y eficacia de los diferentes mecanismos de control establecidos en la entidad, que deben garantizar la confiabilidad, confidencialidad, oportunidad, integralidad y seguridad en el manejo de la información como de los recursos informáticos.
Antes de evaluar el riesgo computacional, es importante determinar el tipo de software con que cuenta la organización para cumplir con los requerimientos. La selección de tipo de software a ser usado en la empresa, debe estar definida en el plan estratégico, evaluando las ventajas y desventajas de cada uno, y acorde a las necesidades y requerimientos de la entidad.
Estas pueden ser:
Software elaborado por el usuario
Software comercial
Software compartido o regalado
Software transportable
Un solo usuario o multiusuario
Categorización del software de aplicación por usuario
Software a la medida de la oficina
Los sistemas deben ser evaluados de acuerdo con su ciclo de vida, teniendo claridad del mismo.
Implantación Construcción Diseño Análisis Aprobacion, planificacion y gestion del proyecto Definicion del problema y requerimientos del usuario
24
www.auditool.org
Riesgo computacional
Al evaluar el riesgo computacional, el auditor debe conocer los diferentes riesgos informáticos que pueden presentarse en una entidad; un riesgo es una contingencia o proximidad de un daño o amenaza interna o externa que puede afectar la operación del sistema de control. Los riesgos pueden ser de perdida, estos exponen al sistema a interrupciones, inaccesibilidad y demoras en el procesamiento de la información, los cuales representan una perdida financiera para la empresa; riesgos de revelación de la información, estos vulneran el sistema debido al acceso sin autorización faltando así a los requerimientos de confidencialidad y seguridad; y los riesgos de modificación que hacen referencia a los cambios no autorizados en la información o componentes del sistema; Algunos de estos riesgos son:
Riesgo computacional Riesgos según su origen Naturaleza Incendio Inundación Terremoto Fallas de hardware
Daño del computador o impresora Daño del equipo de transcripción Daño en la transmisión
Fallas humanas Error de reporte, transcripción y transmisión Fallas humanas intencionales Saqueos Sabotajes Violación de la privacidad Fraude
Métodos de fraudes Fraudes
Alteración de la información
Caballo Troya: Colocar instrucciones adicionales en un programa, para que efectúe una función no autorizada.
Técnica del salami: Robo de información mediante el fraude de un programa.
Bombas lógicas: Diseño de un programa que busca una condición o estado especifico. El programa funciona correctamente hasta que esa condición se cumple y se realiza una acción no autorizada. Escobitas: Método que consigue información dejada en el computador después de la ejecución de un trabajo.
Accesos no autorizados a computadores o cualquier recurso del sistema a través del uso de passwords, códigos u otro método que suplante personal autorizado.
Intercepción: intervención de los circuitos de comunicación.
Desfalcos Desfalcos
Falsedad de la información en las nóminas de pago. Cuentas incobrables
No registro de ventas Malversar pagos de clientes Alteraciones en planillas Falsificación de inventarios
