UNIVERSIDAD TECNOLÓGICA DE SAN JUAN
DEL RÍO.
TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA
COMUNICACIÓN.
TIC02SM-15.
FUNDAMENTOS DE LA AUDITORIA EN
FUNCIÓN DE LA INFORMÁTICA.
HISTORIA DE LA AUDITORÍA DE
SI
La Auditoría de los Sistemas de Información ha surgido cuando las empresas e instituciones han tomado conciencia de que la información que adquieren, conservan, procesan y emiten, es vital para su propia supervivencia diaria y proyección de progreso. Por tanto, han elevado a la categoría de sistemas críticos prácticamente todos los sistemas internos que manejan información, agregándolos en uno solo denominado sistema de información. En consecuencia, por su naturaleza crítica, el enfoque de auditoría debe adoptar una perspectiva que se adecue absolutamente a estos sistemas, sea mediante la transformación de métodos, técnicas y procedimientos de la auditoría tradicional, o sea mediante la creación de unos nuevos. Pero al principio esto no era así.
La introducción de las máquinas de proceso de datos en las empresas se produjo en los años 50, principalmente dedicadas a sustituir a los empleados en las tareas repetitivas en el cálculo de nóminas y facturas de clientes. Dada su utilización como
supercalculadoras, con un volumen considerable de datos
función de los anteriores, el auditor se limitaba a verificar la corrección de los datos de salida frente a los datos de entrada, ignorando la lógica y funcionamiento interno de las máquinas de proceso de datos. Este tipo de auditoría se suele denominar
auditoría alrededor del ordenador. Prácticamente era una
auditoría convencional con un elemento exótico que producía información de distinta manera que los empleados de la empresa.
Esta situación se prolongó hasta mediados de la década de los 60, cuando las organizaciones de auditoría propugnaron un cambio en el enfoque, en base a los resultados de baja calidad obtenidos en las auditorías de áreas que comportaban proceso de datos a través de ordenadores. Este cambio consistía fundamentalmente en la adaptación de los criterios para la evaluación del control interno, en los sistemas organizativos, financieros y contables, al centro de proceso de datos y, concretamente, a la sala del ordenador. Esta etapa se suele denominar auditoría del ordenador.
auditoría y el auditor era incapaz de controlar determinadas actividades. Así, a finales de los años 70, se llega a una tercera etapa: la auditoría a través del ordenador. En este enfoque se estudia también el
tratamiento lógico de la información a través de los programas y las aplicaciones que los integran.
Posteriormente, a principios de los años 80, se empieza a aplicar técnicas de tratamiento de la información por medio de ordenadores, como apoyo a la labor de los auditores. El auditor de sistemas de información empieza a ser también experto en el uso de lenguajes informáticos que le sirven para escribir, compilar y ejecutar programas para la consecución de pruebas y obtención de evidencia. Surge de este modo la denominada auditoría con el ordenador.
En la misma década se empieza a aplicar los principios básicos de la auditoría operativa a la auditoría de los sistemas de información, dando lugar a la auditoría operativa de proceso de datos, que se centra principalmente en la eficacia y eficiencia del tratamiento automático de los datos.
“Ciencia del tratamiento sistemático y eficaz, realizado especialmente mediante máquinas automáticas” (BAUTISTA, 2010)
La auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
LOS OBJETIVOS DE LA
AUDITORÍA INFORMÁTICA SON:
El análisis de la eficiencia de los Sistemas Informáticos.
La revisión de la eficaz gestión de los recursos informáticos.
Sus beneficios son:
Mejora la imagen pública.
Confianza en los usuarios sobre la seguridad y control de los servicios de TI.
Optimiza las relaciones internas y del clima de trabajo.
Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).
Genera un balance de los riesgos en TI.
Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
La auditoría informática sirve para mejorar ciertas características en la empresa como:
Desempeño
Fiabilidad
Eficacia
Rentabilidad
Seguridad
Privacidad
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y Recuperación de desastres
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, COSO e ITIL.
Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de
las más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
TIPOS DE AUDITORIA
AUDITORIA EXTERNA: como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos. Los mecanismos de control pueden ser directivos, preventivos, de detección, correctivos o de recuperación ante una contingencia.
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
Auditoría de la gestión: la contratación de bienes y
servicios, documentación de los programas, etc.
Auditoría legal del Reglamento de Protección de
Datos: Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.
Auditoría de los datos: Clasificación de los datos,
estudio de las aplicaciones y análisis de los flujogramas.
Auditoría de las bases de datos: Controles de
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la
ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los
métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la
auditoría de los procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a
errores, accidentes y fraudes.
(BAUTISTA J. D., 2010)
Importancia de la Auditoría Informática ahora
cualquier tipo de influencia en los resultados de la misma.
La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.
Principales pruebas y herramientas para efectuar una auditoría informática
En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:
Pruebas sustantivas: Verifican el grado de
confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.
Pruebas de cumplimiento: Verifican el grado de
Áreas a auditar en informática
Las áreas a auditar en donde se puede realizar la auditoría informática, puede ser:
A toda la entidad
A un departamento
A un área
A una función
A una subfuncion
Se pueden aplicar los siguientes tipos de auditoría:
Auditoría al ciclo de vida del desarrollo de un
sistema
Auditoría a un sistema en operación
Auditoría a controles generales (gestión)
Auditoría a la administración de la función
informática
Auditoría a microcomputadoras aisladas
Auditoría a redes
Las principales herramientas de las que dispone un auditor informático son:
Observación
Realización de cuestionarios
Entrevistas a auditados y no auditados
Muestreo estadístico
Flujogramas
Mapas conceptuales
(DESCONOCIDO, 2016)
La auditoría informática es una parte fundamental de la
Seguridad Computacional que permite medir y controlar riesgos informáticos que pueden ser aprovechados por personas o sistemas ajenos a nuestra organización o que no deben tener acceso a nuestros datos.
En este sentido, identificar los riesgos de manera oportuna ayudará a implementar de manera preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes metodologías que ayudan en el proceso de revisión de riesgos informáticos. Dos de las más utilizadas son Octave y Magerit.
Octave
La metodología Octave es una evaluación que se basa
de la seguridad. De esta manera es más fácil determinar los riesgos críticos.
A diferencia de las evaluaciones típicas enfocadas en la tecnología, OCTAVE está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones.
En esta revisión es necesario que las empresas manejen el proceso de la evaluación y tomen las decisiones para proteger la información. El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación, debido a que todas las perspectivas son cruciales para controlar los riesgos de seguridad computacional.
Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
La metodología Magerit fue desarrollada en España debido
al rápido crecimiento de las tecnologías de información con la finalidad de hacerle frente a los diversos riesgos relacionados con la seguridad informática.
“Las fases que contempla el modelo MAGERIT son:
1. Planificación del Proyecto.- establece el marco general de referencia para el proyecto.
2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo están protegidos los activos.
3. Gestión de Riesgos.- permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados”.
Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.
La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información y generan confianza cuando se utilicen tales medios.
Inclusive, se ha desarrollado software como Pilar basado
RAZONES PARA LA AUDITORIA Y
EL CONTROL DE LOS SISTEMAS
DE INFORMACIÓN
Debido a la cada vez mayor dependencia de las organizaciones de su sistema informático, dado que los ordenadores juegan un papel decisivo en el procesamiento de los datos y en la toma de decisiones, es importante que su utilización sea controlada.
Costes organizacionales por pérdida de los datos
Los datos de una organización son un recurso crítico necesario para que esta continúe operando. Los datos suministran a las organizaciones una imagen de sí mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se incrementa la habilidad de una organización para adaptarse y sobrevivir en un entorno cada vez más cambiante.
Consideremos el caso de una organización que pierda su fichero de cuentas a pagar. No podría pagar sus deudas a tiempo y sufriría tanto una pérdida de su nivel de crédito nivel de crédito como cualquier descuento que pudiese tener por pronto pago. Si pidiese ayuda a sus acreedores, tendría que confiar en la honestidad de sus acreedores para saber la cantidad adeudada. Además, los acreedores pondrían en cuestión la competencia de dicha organización y podrían eliminar el nivel del crédito en el futuro.
Tales pérdidas pueden provenir de controles débiles en los sistemas informáticos. La dirección puede no haber previsto respaldos adecuados de los ficheros, por lo que la pérdida de un fichero debida a un error en un programa, a un sabotaje, o a un desastre natural significaría que el fichero no se podría recuperar y las operaciones de la organización quedarían deterioradas.
Toma de decisiones incorrectas
La importancia de la exactitud de los datos
depende del tipo de decisiones que se tomen en una organización. Por ejemplo, los datos utilizados en la toma de decisiones de nivel estratégico probablemente tolerarán cierto margen de error debido a la naturaleza de las decisiones estratégicas –su perspectiva a largo plazo y su nivel de incertidumbre -. Sin embargo, las decisiones del nivel del control y de las operaciones normalmente requieren datos exactos. Los datos
inexactos pueden acarrear costosas investigaciones o procesos fuera de control sin detectar.
Fraude informático
Una definición de fraude informático puede ser cualquier incidente asociado con la tecnología informática en el que una víctima sufre o puede sufrir pérdidas y un causante intencionadamente gana o puede ganar.
El control del fraude informático es a menudo difícil debido a temas legales. Puede ser muy difícil encausar a alguien que realiza una utilización de un sistema informático de forma no autorizada, debido a que la ley no considera que un ordenador sea una persona – física o
jurídica- y solo las personas pueden ser defraudadas.
Valor del hardware, software y del personal
Además de los datos, el hardware, software y el personal son recursos críticos en una organización. Incluso con aseguramiento adecuado, la perdida intencionada o no del hardware puede causar interrupciones considerables. Si el software se corrompe o destruye, puede que la organización no pueda continuar las operaciones si no lo recupera prontamente. Finalmente, el personal siempre es un recurso muy valioso, particularmente en el entorno informático debido al alto nivel de cualificación requerido.
Altos costes de los errores informáticos
de un paciente durante una operación, calculan y pagan intereses en cuentas de inversión, dirigen el rumbo de un barco. Consecuentemente, el coste de un error informático puede ser muy alto.
Privacidad
Hoy en día se recogen muchos datos acerca de nosotros como individuos, impuestos, créditos, datos de salud, de educación, empleo, residencia, etc. Aunque antes también se recogían este tipo de datos, la posibilidad del procesamiento automático de estos datos hace que la gente se pregunte si se está erosionando la privacidad de los datos personales y de las organizaciones.
Muchas naciones consideran que la privacidad es un derecho humano y que la responsabilidad del personal informático es que el uso de la informática no pase al nivel en que los diferentes datos personales puedan ser recogidos, integrados, procesados y recuperados rápidamente. Otra responsabilidad es que los datos solo sean utilizados para el único propósito para el que hayan sido recogidos.
La evolución controlada del uso de las tecnologías de la información
que tomar grandes decisiones en cómo se deben utilizar los ordenadores en nuestra sociedad, por ejemplo, ¿hasta qué nivel se puede permitir a la informática desplazar el trabajo de las personas?
Concierne a los gobiernos, asociaciones profesionales y grupos de presión la evaluación del uso de la tecnología, pero también se entiende que las organizaciones deben tener una conciencia social del uso de la informática.
DEFINICIÓN DE AUDITORIA
DE SISTEMAS
DE
INFORMACIÓN
La Auditoría de Sistemas de Información es el proceso de recoger y evaluar las evidencias para determinar la seguridad de los sistemas informáticos, la salvaguarda de los activos, la integridad de los datos y conseguir los objetivos de la organización con eficacia y con consumo de recursos eficiente.
organizaciones a conseguir mejor estos objetivos (figura 4.2).
Figura 4.2 Impacto de la función de auditoría de sistemas de información en las organizaciones
Objetivos de salvaguarda de los activos
Objetivos de integridad de los datos
La integridad de los datos es un concepto fundamental en la auditoría de SSII. La integridad de los datos tiene varios aspectos: exactitud, completitud y fiabilidad. Si no se mantiene la integridad de los datos, una organización no tiene una verdadera representación de sí misma ni de los eventos del mundo real.
La integridad solo se puede conseguir a un coste. Los beneficios obtenidos deben superar al coste de los procedimientos de control que se necesiten.
El valor que representa un elemento de datos para una organización es función de dos factores (a) el valor del contenido informacional del elemento de datos para la toma de decisiones individuales y (b) el nivel al que un elemento de datos es compartido entre los que toman las decisiones. El valor del elemento de datos determina lo importante que es el mantenimiento de la integridad del dato.
Si los datos se comparten, su corrupción afecta no solo a un único usuario sino a múltiples. El valor de un dato es una función de agregación del valor que tiene para cada uno de los usuarios del dato. Por tanto, en un entorno de datos compartido, el mantenimiento de la integridad de los datos pasa a ser más crítico.
Objetivos de efectividad del sistema
Un sistema de informático efectivo es aquel que consigue sus objetivos. La evaluación de la efectividad implica el conocimiento de las necesidades de los usuarios. Para evaluar si un sistema suministra información de manera que facilita la toma de decisiones por sus usuarios, el auditor debe conocer las características de los usuarios y el marco de la toma de decisiones.
La auditoría de la efectividad normalmente se realiza después de que un sistema ha estado funcionando cierto tiempo. Esta evaluación provee información para decidir si continuar con el sistema, modificarlo o eliminarlo.
puede querer una evaluación independiente de la probabilidad de que el diseño responda a las necesidades de los usuarios. El auditor puede ser el responsable de realizar esta evaluación independiente para la gerencia.
Objetivos de eficiencia del sistema
Un sistema eficiente es el que utiliza un mínimo de recursos para conseguir sus objetivos. Los sistemas informáticos consumen varios tipos de recursos: tiempo de máquina, periféricos, canales, software de base, trabajo. Los recursos son escasos y diferentes sistemas demandan su utilización.
La pregunta de sí un sistema informático es eficiente no tiene una respuesta clara. La eficiencia de un sistema específico no se puede considerar de forma aislada de otros sistemas. Ocurren problemas de suboptimización cuando se optimiza un sistema a cuenta de otro sistema. Por ejemplo, minimizar el tiempo de ejecución de una aplicación puede requerir la dedicación total de un canal a esta aplicación; y el recurso que normalmente estaba disponible para otras aplicaciones deja de estarlo.
extras. Como el hardware y software es caro, la gerencia tiene que saber si la capacidad disponible ha sido agotada debido a que las aplicaciones individuales son ineficientes o la asignación de recursos está causando un cuello de botella.
Aquí, también, la gerencia puede pedir a los auditores, debido a su independencia, que realicen o que ayuden en la evaluación de la eficiencia.
EFECTOS DEL PROCESO
ELECTRÓNICO DE DATOS (PED)
SOBRE LOS CONTROLES
INTERNOS
En un sistema de PED el sistema de control interno sigue teniendo los mismos componentes que uno manual, pero la implementación de estos componentes queda afectada en diferentes formas, como se presenta brevemente a continuación.
Segregación de funciones
las transacciones y custodiar los activos. Como control básico la segregación de funciones previene o detecta errores e irregularidades.
En un sistema informatizado esto no siempre puede aplicarse; por ejemplo, un programa puede reconciliar una factura de un proveedor contra el albarán de entrega e imprimir un talón por la cantidad adeudada al proveedor. En este caso, el programa realiza funciones que en un sistema manual se podrían considerar como incompatibles. No obstante, la segregación de funciones sigue existiendo pero de una forma diferente, una vez que se ha determinado que el programa funciona correctamente, se deben separar la capacidad de ejecutar el programa en el entorno de producción y la capacidad de modificar el programa.
En entornos de miniordenadores, la segregación de funciones puede ser difícil de conseguir. Muchas veces los usuarios pueden cambiar los datos y los programas fácilmente, en este caso si el miniordenador no tiene la capacidad de llevar un registro de los cambios, puede ser muy difícil determinar si los usuarios han realizado o no funciones incompatibles.
Delegación de la responsabilidad y de la autoridad
Una especificación clara de la responsabilidad y de la autoridad es un control esencial, tanto en sistemas manuales como informatizados.
En un sistema informatizado, la delegación de la responsabilidad y de la autoridad de una forma no ambigua puede ser difícil de conseguir porque hay recursos que están compartidos por distintos usuarios.
Existencia de personal competente y de confianza
La tecnología informática es cada vez más compleja, por lo que se necesita personal muy cualificado para desarrollar, modificar, mantener y operar los sistemas informáticos actuales. Así, la existencia de personal competente y de confianza es cada vez más importante, ya que un relativamente pequeño número de personas asume la responsabilidad de la integridad de los datos.
La alta rotación del personal informático hace a veces difícil para la dirección el evaluar la adecuada cualificación de dicho personal.
Sistema de autorizaciones
La dirección da dos tipos de autorización para ejecutar las transacciones: las generales y las específicas.
Las generales establecen políticas a seguir, por ejemplo, una lista fija de precios para usar por el personal cuando venda los productos.
Las específicas aplican a transacciones específicas,
por ejemplo, que las compras por encima de un determinado valor deban ser aprobadas por el comité de dirección.
Documentación y registros adecuados
En un sistema manual hay un soporte documental para permitir un rastro de auditoría.
En un sistema informático, muchas veces no hay un soporte documental para iniciar, ejecutar y registrar algunas transacciones, por ejemplo, en un sistema de entrada de pedidos, los pedidos de los clientes recibidos vía teléfono se introducen directamente en el sistema. Igualmente, algunas transacciones pueden ser activadas automáticamente, por ejemplo, un programa de reaprovisionamiento de inventario puede iniciar una orden de compra cuando el nivel de inventario de un artículo cae por debajo de una determinada cantidad.
La ausencia de un rastro de auditoría visible no es un problema para el auditor si el sistema registra todos los eventos y se puede acceder a estos registros. Pero, no todos los sistemas están bien diseñados. Algunos paquetes para miniordenadores tienen controles de acceso y de registro inadecuados para conseguir un rastro de auditoría exacto y completo. Cuando a esto se le añade una habilidad decreciente para segregar funciones incompatibles pueden aparecer serios problemas de control.
Control físico sobre activos y registros
suceder debido a un fraude informático o a un desastre, por ejemplo, si sucede un incendio que destruye los archivos maestros y no se tiene el adecuado respaldo, puede suceder que no se puedan continuar las operaciones.
Adecuada supervisión de la gestión
En un sistema manual esto puede ser relativamente fácil de conseguir dado que los supervisores y los subordinados están, a menudo, en la misma localización geográfica. Sin embargo, uno informático puede permitir, debido a las redes de comunicaciones, que los empleados estén más cerca de sus clientes, lo que hace más difícil la supervisión. Se deben implementar controles de supervisión en el sistema informático que compensen los controles que antes se hacían por observación y consulta.
Verificación independiente de las operaciones
Sin embargo, en un sistema informático, debido a que el código del programa está autorizado, es exacto y completo, el sistema siempre seguirá los procedimientos, haciendo que la verificación sea innecesaria. Aquí, el énfasis cambia a asegurar la veracidad del programa evaluando los controles establecidos para el desarrollo y mantenimiento de los programas.
Comparación periódica de los registros contabilizados con los activos
Periódicamente, hay que comparar los datos y los activos que los datos pretenden representar para determinar si hay inexactitudes en los datos o pérdidas de activos.
En un sistema manual, personal independiente prepara los datos para realizar la comparación.
EFECTOS DEL PED SOBRE LA
AUDITORÍA
Los auditores han de ser competentes e independientes para evaluar la correspondencia entre las actividades de una organización y los estándares o criterios establecidos.
El PED ha impactado en las dos funciones básicas de la auditoría:
•
la recogida de las evidencias
• la evaluación de las evidencias
Cambios en la recogida de las evidencias
La recogida de las evidencias en un sistema informático es más compleja que en un sistema manual. Los auditores tienen que evaluar un conjunto de controles tecnológicos, variado y complejo, que no existía en un sistema manual. por ejemplo, una operación precisa y completa de un dispositivo de disco requiere un conjunto de controles de hardware. Un auditor que tenga que evaluar la fiabilidad de estos controles tiene que entender estos controles para poder recoger las evidencias, de una forma competente.
Entender los controles tecnológicos no es fácil, dado que el hardware y el software evolucionan rápidamente y, aunque con un cierto desfase, los controles asociados también evolucionan, por ejemplo, debido a la gran cantidad de información de todo tipo que viaja por las líneas de comunicaciones ha habido una actividad de investigación muy fuerte en el desarrollo de controles criptográficos para proteger la privacidad de los datos.
Los auditores deben estar al tanto de estos desarrollos para poder evaluar la fiabilidad de las redes de comunicaciones.
forma manual, por lo que los auditores también necesitan sistemas de PED para poder recoger la evidencia.
Cambios en la evaluación de las evidencias
Debido a la continua evolución de los sistemas de PED y de los controles tecnológicos que llevan asociados, es más difícil el evaluar las consecuencias de las fortalezas y debilidades de los controles en la fiabilidad total del sistema.
Primero, el auditor debe entender cuando un control está funcionando bien o mal. Después, debe rastrear las consecuencias de la debilidad o de la fortaleza del control a través del sistema. En un entorno compartido, esto puede ser una tarea difícil, por ejemplo, una simple transacción de entrada de datos puede actualizar múltiples elementos de datos que son utilizados por múltiples usuarios ubicados en distintas localizaciones geográficas. Algunas veces los auditores deben rastrear las consecuencias de un error en una transacción de entrada para todos los usuarios del dato actualizado.
introducir un precio de un artículo. Sin embargo, en un sistema informático los errores tienden a presentarse de una forma determinista, un programa erróneo siempre producirá el mismo error.
Además los errores se generan a una alta velocidad y el coste de corregir y re ejecutar un programa puede ser alto. Los errores en los programas pueden conllevar un gran trabajo de rediseño y reprogramación, por lo que se tienen que implementar controles que aseguren que los sistemas se diseñan, implementan y mantienen con una alta calidad. La responsabilidad de los auditores es asegurar que estos controles son suficientes para mantener la salvaguarda de los activos, la integridad de los datos y la efectividad y la eficiencia del sistema y que, dichos controles, funcionan.
FUNDAMENTOS DE LA
AUDITORÍA DE SISTEMAS DE
INFORMACIÓN
necesidad de una función de Auditoría de SSII emana de dos direcciones:
Los auditores se han dado cuenta de que los ordenadores han impactado su habilidad para la realización de la función de dar una clara prueba
La alta dirección considera que los sistemas informáticos son recursos valiosos que necesitan ser controlados como cualquier otro recurso valioso dentro de una organización.
Intersección de cuatro disciplinas:
Auditoría tradicional
La auditoría tradicional aporta un importante bagaje de conocimientos y experiencia en control interno. Hay trabajos administrativos como las actividades de preparación de datos para introducir en el sistema informático. Estas actividades deben estar sujetas a principios de control interno tales como segregación de funciones, personal competente y de confianza, etc. La aplicación de estos principios incrementa la integridad de los datos antes de que se introduzcan en un sistema informático y en la consiguiente distribución de la los datos de salida una vez procesado los datos.
Por otra parte, conceptos tales como totales de control son relevantes en la actualización de los ficheros por un programa. Un programa debe asegurar que todas las transacciones se procesan correctamente de la misma forma que un sistema manual debe asegurarlo. Muchos de los controles que se han utilizado en los sistemas manuales se han llevado directamente a los sistemas informáticos.
Quizás lo más importante que aporta la auditoría tradicional a la Auditoria de SI es la filosofía del control. La naturaleza de esta filosofía es difícil de articular. No obstante, se pueden recoger elementos de esta filosofía leyendo literatura de auditoría u observando el trabajo de los auditores. La filosofía comprende examinar el proceso de los datos con espíritu crítico, cuestionando la habilidad de un sistema para salvaguardar los activos, mantener la integridad de los datos y conseguir sus objetivos de una forma efectiva y eficiente.
Gestión de sistemas de información
Ciencias del comportamiento
Hay estudios que han demostrado que la principal razón de que fallen los sistemas informáticos es la ignorancia de los problemas del comportamiento de las personas involucradas en el desarrollo e implementación de los sistemas. Los auditores de SSII deben conocer las condiciones que llevan a problemas de comportamiento y al posible fallo del sistema. Los especialistas en organización han contribuido mucho a entender los problemas de las personas dentro de las organizaciones. Este conocimiento se está aplicando al desarrollo e implementación de los sistemas. Cada vez más se está enfatizando en la necesidad de que los desarrolladores de sistemas consideren a la vez el impacto de un sistema informático en el cumplimiento de las tareas - el sistema técnico -, y la calidad de vida en el trabajo de los individuos - el sistema social -.
Tecnologías de la información
A los especialistas en TTII también les concierne la salvaguarda de los activos, la integridad de los datos y la efectividad y eficiencia del sistema.
CONCLUSIÓN
La auditoría trata de estados financieros, una opinión de José de Jesús dice que la información se realiza mediante la práctica.
Hay distintos tipos de auditoria, cada una de ellas nos habla de distintas cosas como gestión, datos, auditoria legal etc.
Esta auditoria tiene una serie de herramientas o pruebas que verifican el grado de confiabilidad, cumplimiento, observaciones, etc.
BIBLIOGRAFÍA
https://es.wikipedia.org/wiki/Auditor%C3%ADa_inform %C3%A1tica
http://www.escet.urjc.es/~ai/T2Apuntes.pdf
http://fcasua.contad.unam.mx/apuntes/interiores/docs/ 2005/informatica/6/1664.pdf
http://datateca.unad.edu.co/contenidos/233004/ riesgos/
leccin_27_fases_de_la_auditora_informtica_y_de_sistem as.html
REFERENCIAS.
1. Gómez Ramírez, Victor Manuel (2014). «Evaluación de la seguridad de la información con la metodología Octave». Institución Universitaria Pascual Bravo.
