Está en la página 1de 13

Universidad Central

Empresa y Sociedad del Conocimiento


Importancia de las Tics en la
Auditora.
Empresa y Sociedad del Conocimiento
Profesor: Jorge Israel
Integrantes: iselle Arangui!
"adia Ca#ello
Eduardo $i%uelme
&arla $ivas
Jenny $odrgue!
$omina Silva
Santiago '( de )unio de (*'*.
'
Universidad Central
Empresa y Sociedad del Conocimiento
Introduccin:
En este informe veremos la importancia %ue tiene la Tecnologa de la Informaci+n y de
la Comunicaci+n en la Auditoria, en como se -a convertido en un recurso
imprescindi#le en el tra#a)o diario del controlador financiero y el auditor y del
comple)o proceso de este procedimiento %ue re%uiere -erramientas inform.ticas
adecuadas para el desempe/o de nuestra funci+n como futuros Auditores.
Para introducirnos en el tema principal de#emos sa#er Qu son las Tic?
Tecnologas: Aplicaci+n de los conocimientos cientficos para facilitar la reali!aci+n de
las actividades -umanas. Supone la creaci+n de productos, instrumentos, lengua)es y m0todos
al servicio de las personas.
Informacin: 1atos %ue tienen significado para determinados colectivos. 2a informaci+n
resulta fundamental para las personas, ya %ue a partir del proceso cognitivo de la informaci+n
%ue o#tenemos continuamente con nuestros sentidos vamos tomando las decisiones %ue dan
lugar a todas nuestras acciones.
Comunicacin: Transmisi+n de mensa)es entre personas. Como seres sociales las personas,
adem.s de reci#ir informaci+n de los dem.s, necesitamos comunicarnos para sa#er m.s de ellos,
e3presar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los
grupos en convivencia, etc.
Tecnologas de la Informacin y la comunicacin (TIC) : Cuando unimos estas tres pala#ras
-acemos referencia al con)unto de avances tecnol+gicos %ue nos proporcionan la inform.tica,
las telecomunicaciones y las tecnologas audiovisuales, %ue comprenden los desarrollos
relacionados con los ordenadores, Internet, la telefona, los 4mas media4, las aplicaciones
multimedia y la realidad virtual. Estas tecnologas #.sicamente nos proporcionan informaci+n,
-erramientas para su proceso y canales de comunicaci+n.
(
Universidad Central
Empresa y Sociedad del Conocimiento
2a aparici+n de la inform.tica -a supuesto una revoluci+n en la conta#ilidad. 2a
creaci+n de programas conta#les especficos en un entorno 5indo6s, acerc+ las
aplicaciones inform.ticas al usuario, -aciendo %ue fueran m.s f.ciles de utili!ar y m.s
vers.tiles. El siguiente paso, fue la revoluci+n de las comunicaciones, especialmente de
Internet, as como la ampliaci+n del a#anico de posi#ilidades de la conta#ilidad a
actividades tales como la #anca electr+nica y el envo de declaraciones fiscales por
Internet %ue facilitaron el intercam#io de datos con mayor facilidad, fia#ilidad y
rapide!. 7ay %ue se/alar adem.s, %ue el nacimiento y posterior regulaci+n de la
8irma electr+nica reconocida como medio de autentificar los mensa)es enviados
-aciendo muy difcil su falsificaci+n, incrementa en gran medida el inter0s de las nuevas
tecnologas de la informaci+n y la comunicaci+n 9TIC:.
2os profesionales TIC, auditores inform.ticos, pasan por ser los recursos cualificados
para contri#uir a la construcci+n de la confian!a en la Administraci+n Electr+nica,
configur.ndose como los garantes de la prestaci+n de servicios de calidad, y en la
consecuci+n de las polticas p;#licas relacionadas.
2a funci+n de la Auditoria Inform.tica en las organi!aciones, comien!a con la
implantaci+n de un proceso para supervisar el control de las tecnologas y de los
procesos asociados, y la evoluci+n -acia un enfo%ue proactivo participando en otras
fases del ciclo del control.
2as distintas .reas operativas de las organi!aciones se sostienen y apoyan cada ve! m.s
en los servicios de las tecnologas de la informaci+n y las comunicaciones 9TIC:, %ue
-an acompa/ado la automati!aci+n y el crecimiento de todos los procesos productivos,
y la prestaci+n de nuevos servicios. Como consecuencia, son muc-as las organi!aciones
en las %ue la informaci+n y la tecnologa %ue la soporta representan los activos m.s
valiosos, y a su ve!, reconocen los #eneficios potenciales %ue las nuevas tecnologas les
pueden proporcionar. 2a productividad de cual%uier organi!aci+n depende del
funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno
como un proceso crtico adicional.
Por tanto, se re%uiere contar con una efectiva administraci+n de los riesgos asociados
con las TIC, y %ue viene dada por:
< 2a necesidad de dar respuestas adecuadas a los pro#lemas planteados por la creciente
1ependencia de la informaci+n y de los sistemas %ue la proporcionan.
< El incremento de la vulnera#ilidad de los sistemas, por el amplio espectro de amena!as
a las %ue est.n e3puestos.
< 2a importancia y magnitud de los costes y las inversiones TIC.
< 2a desconfian!a %ue los procedimientos automati!ados o los servicios electr+nicos
pudieran provocar en el colectivo usuario y en los ciudadanos en general.
=
Universidad Central
Empresa y Sociedad del Conocimiento
< El potencial de las nuevas tecnologas de la informaci+n es tal %ue pueden llegar a
introducir importantes cam#ios en la organi!aci+n, y en las pr.cticas de su actividad,
para crear nuevas oportunidades y reducir costos.
$esulta de ello el rol #.sico %ue de#e desempe/ar la funci+n de Auditoria Inform.tica
> Auditoria de los Sistemas de Informaci+n, en una organi!aci+n: supervisi+n de los
controles efectivamente implementados y determinaci+n de la eficiencia de los mismos.
1ada la especiali!aci+n de los controles a supervisar, es induda#le %ue en la
Administraci+n P;#lica el perfil de los profesionales TIC es el id+neo para asumir y
reali!ar directamente esas funciones, ayudando a las organi!aciones a fortalecer la
confian!a en los servicios prestados, en especial los enmarcados dentro de la
Administraci+n Electr+nica.
2os Auditores inform.ticos pueden recomendar cam#ios en los procesos de negocios
para lograr los o#)etivos econ+micos o sociales de la organi!aci+n. Tam#i0n es posi#le
%ue las investigaciones revelen fraudes, desperdicios o a#usos. 2os auditores
inform.ticos modernos proceden de manera sistem.tica en sus estudios, planificando
sus acciones y enfoc.ndose en las .reas de mayor riesgo.
1ada la dependencia creciente de las organi!aciones en las TIC y el surgimiento de
normativa para su #uen go#ierno, el auditor inform.tico tam#i0n tra#a)a como conse)ero
empresarial, asesorando en cuanto al esta#lecimiento de polticas y est.ndares %ue
aseguren la informaci+n y el control de las TIC.
Es as %ue los profesionales TIC de la Administraci+n tienen ante si un reto en su
carrera profesional: reali!ar tareas propias de la funci+n de auditoria, para contri#uir a la
me)ora de la calidad de los servicios prestados a los ciudadanos.
?
Universidad Central
Empresa y Sociedad del Conocimiento
Servicios de uditoria de Tecnologas de la Informacin
2a uditoria de las Tecnologas de la Informacin y las Comunicaciones est.
ad%uiriendo cada ve! una mayor importancia de#ido a la necesidad de garanti!ar la
seguridad, continuidad y disponi#ilidad de las infraestructuras inform.ticas so#re las
%ue se sustentan los procesos de negocio de toda empresa u organismo, necesitando
adicionalmente %ue todos estos procesos se realicen de forma eficiente.
Por otro lado, los entornos legislativos actuales -acen referencia a la o#ligatoriedad de
acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de
Informaci+n y como parte in-erente de la Auditora 8inanciera, se est. re%uiriendo cada
ve! m.s %ue los Sistemas de Informaci+n sean, a su ve!, auditados.
!ireccin estratgica de las TICS: auditando los Sistemas de Informacin
Un servicio muy ;til a la -ora de gestionar los Sistemas de Informaci+n 9SI: de una
empresa o sus Tecnologas de la Informaci+n y Comunicaciones 9TIC: son las
Auditorias" Una Auditora es una radiografa de una parte de una empresa u
organi!aci+n. 2as auditoras pueden ser e3ternas 97ec-as por un consultor e3terno a la
organi!aci+n: o Internas 97ec-as por gente de la misma organi!aci+n:.
El o#)etivo de una Auditora es descu#rir las causas de pro#lemas en el funcionamiento,
la verificaci+n de presuntas causas o simplemente me)orar su funcionamiento" Algunos
e)emplos son:
Auditora t0cnica de sistemas para conocer el estado actual del -ard6are de la
empresa 9Estado, Antig@edad, Si es el adecuado, etc.:,
Auditora de la e3plotaci+n para conocer el estado actual de los elementos de
una e3plotaci+n 92icencias, $ecursos de e3plotaci+n, :,
Auditora de las redes de la empresa y evaluar su adecuaci+n, seguridad, etc.
A
Universidad Central
Empresa y Sociedad del Conocimiento
2a informaci+n o#tenida de la auditora de#e servir a la direcci+n de la empresa para la
toma de decisiones, como por e)emplo: Implementar un soft6are u otro seg;n sus
necesidades, Conocer los puntos flacos de la infraestructura de la empresa, $eali!ar un
plan de me)ora de los SI de la empresa, Implementar medidas para reducir costes, etc.
El tipo de auditora puede variar 9puede ser interna o e3terna, auditora de o#)etivos,
etc.:. "o o#stante, como com;n denominador, el ciclo de vida #.sico de una auditora es
el siguiente:
#$ Inicio de la auditora: Contrato y definici+n del alcance. 2a definici+n del alcance
de la auditora es un punto crtico, -ay %ue acotar e3actamente el tra#a)o -a -acer para
o#tener los resultado deseados 9Buc-a gente no presta atenci+n a esto:.
%$ &evisin de la documentacin y 're'aracin de las actividades: A%u se define el
plan de auditora, se organi!a la inspecci+n y se preparan los documentos de tra#a)o
98ormularios, 2istas de verificaci+n, etc.:.
($ !esarrollo del 'lan de auditora
)$ *re'aracin del informe de la auditora y 'resentacin de resultados: Una ve!
finali!adas las acciones del plan de auditora se de#e preparar el informe de auditora
donde de#e aparecer toda la documentaci+n de la auditora y sus conclusiones. Tam#i0n
de#e reali!arse la presentaci+n de los resultados a la persona auditada y asegurarse %ue
son comprendidos.
En resumen, la auditora es una -erramienta poco conocida y muy valiosa a la -ora de
tomar decisiones en lo %ue a TICCSI se refiere. +na auditora (e,terna o interna) nos
-rinda la informacin necesaria 'ara tomar decisiones so-re una -ase slida y con
garantas de ,ito"
D
Universidad Central
Empresa y Sociedad del Conocimiento
*ro-lemas en las TICS"
En el mundo de las TICs, como en cual%uier otro, son varios los pro#lemas a los %ue los
administradores se de#en enfrentar, aun%ue los peores son a%uellos %ue no son
evidentes. 7emos identificado Esituaciones a evitarF %ue causan importantes p0rdidas
monetarias y %ue afectan a la productividad.
.os usuarios acceden a servicios e,ternos
El r.pido crecimiento de las tecnologas 5e# (.* -a puesto -erramientas potentes,
gratuitas y f.ciles de usar al alcance de todos, incluyendo los empleados %ue utili!an
estos servicios para facilitar y simplificar las tareas corporativas.
Como e)emplo, -ay empleados %ue cola#oran en la creaci+n de un informe utili!ando
oogle, se comunican con proveedores a trav0s del Bessenger o, incluso, utili!an
-erramientas de gesti+n SAAS 9soft6are por pago: en proyectos crticos. En la mayora
de los casos, estas -erramientas se utili!an sin la supervisi+n del personal de TI.
Sin em#argo, este tipo de situaci+n puede causar pro#lemas para todos. 2os empleados
%ue descu#ren pro#lemas de acceso a los servicios esenciales se pueden encontrar con
%ue el personal de TI no dispone de la preparaci+n adecuada para proporcionarles
ayuda. Por otra parte, el personal de TI se enfrenta a-ora a la posi#ilidad de una
infecci+n de mal6are %ue entre por estos puntos.
As, los responsa#les de Tecnologa de#en asegurar %ue los servicios e3ternos forman
parte de cual%uier discusi+n so#re las aplicaciones necesitadas por los departamentos.
2as encuestas pueden ayudar a la -ora de darnos una pista so#re los servicios e3ternos
utili!ados as como las -erramientas %ue proporcionan informaci+n so#re las
estadsticas de uso.
G
Universidad Central
Empresa y Sociedad del Conocimiento
.os datos sensi-les des encri'tados est/n siendo transmitidos
Su negocio dispone de lo %ue usted considera una configuraci+n de red est.ndar y
segura. Un cortafuego protege todo el tr.fico interno. Servidores 5e# y otros sistemas
%ue re%uieren un acceso directo a Internet disponen de t;neles encriptados a las fuentes
de datos dentro de los cortafuegos.
B.s all. de esta configuraci+n tradicional, muc-as empresas podran #eneficiarse con
otras opciones de encriptaci+n.
Por e)emplo, el -ec-o de %ue una red se encuentre dentro de los cortafuegos no significa
%ue 0sta est0 protegida. Incluso a%uellos empleados con un poco de destre!a tecnol+gica
tienen a su alcance -erramientas %ue permiten escanear las redes para rastrear
informaci+n sensi#le, desde datos empresariales a las n+minas del personal.
2os administradores de redes de#en pensar como -acHers y utili!ar las mismas
-erramientas de rastreo %ue estos para identificar todos los datos, movi0ndose por la
red. Si pueden ver esta informaci+n, cual%uier otro usuario tam#i0n la puede ver. Una
ve! identificados estos datos descu#iertos, las cone3iones se pueden ro#ustecer con
seguridad.
.as a'licaciones 0e- est/n re'letas de fallos de seguridad
Aun%ue son ya muc-as las compa/as %ue se -an puesto EseriasF en cuando a la
implementaci+n de parc-es y actuali!aciones de las aplicaciones, esta pr.ctica no cu#re
el perfil entero de la seguridad de aplicaciones.
2a ra!+n radica en %ue e3isten aplicaciones corporativas %ue se suelen descartar o
ignorar en las polticas de actuali!aciones y, frecuentemente, 0stas contienen
informaci+n sensi#le.
I
Universidad Central
Empresa y Sociedad del Conocimiento
.os 'ro-lemas en las em'resas
2a topologa actual de aplicaciones empresariales es mi3ta y est. compuesta tanto por
programas internos como e3ternos. Buc-os de estos programas no son m.s %ue
pe%ue/os scripts. J estos son precisamente los %ue m.s riesgo conllevan por%ue son
sencillos y f.ciles de descifrar.
2as compa/as de#en tener a mano un listado de todas las aplicaciones 5e# y scripts
%ue residen en la red. Aseg;rese de %ue dispone de las ;ltimas versiones de las
aplicaciones y componentes %ue -ay detr.s de los 6iHis y #logs, por e)emplo. En el caso
de aplicaciones customi!adas, mantenga un fic-ero de los scripts %ue 0stas puedan
incorporar.
Esto significa la monitori!aci+n peri+dica de servicios de seguridad como CE$T y las
p.ginas 5e# o comunidades %ue ofrecen estos servicios. Asegurar la integridad de las
aplicaciones %ue son un punto de entrada a la red corporativa es una inversi+n sin
precio.
!atos no audita-les
Una #uena auditora de los datos almacenados en su organi!aci+n es un de#er com;n en
las industrias reguladas, pero es una tarea pendiente para muc-as de las nuevas
empresas.
2as industrias reguladas, como son Kanca, Seguros y Sanidad, est.n acostum#radas al
proceso de auditoras peri+dicas y disponen de un #anco de conocimientos so#re la
u#icaci+n de los datos. Sin em#argo, las industrias emergentes no son tan detallistas.
Esta discrepancia en el ciclo de datos re%uiere una estrategia do#le %ue asegure tanto el
cumplimiento de las normas como la seguridad de la informaci+n.
2a seguridad afecta tanto a la protecci+n de la informaci+n como a la aplicaci+n de
parc-es para asegurar %ue las aplicaciones funcionan como de#en. Una #uena manera
de evitar pro#lemas de cumplimiento de normas es la implementaci+n estricta de
polticas %ue monitori!an cada modificaci+n de los servidores y los dispositivos de red.
L
Universidad Central
Empresa y Sociedad del Conocimiento
1scasos recursos de almacenamiento
2as facturas de los sistemas de almacenamiento %ue -a ad%uirido para su empresa frente
a la utili!aci+n actual, sugieren %ue su organi!aci+n dispone de muc-a capacidad. Sin
em#argo, un sistema de fic-eros ineficiente puede poner en riesgo la capacidad de un
recurso esencial.
2os administradores de#en evaluar los re%uerimientos de capacidad y rendimiento de
las aplicaciones )unto con los recursos disponi#les de almacenamiento. 2as
organi!aciones pueden ma3imi!ar la utili!aci+n de capacidad y mantener un nivel de
rendimiento acepta#le.
Su I* 'odra ser deficiente
B.s %ue nunca, las organi!aciones dependen de sus redes IP para todo tipo de tareas. En
muc-as compa/as, puntos de acceso inal.m#ricos, tel0fonos M>IP y c.maras de
seguridad ofrecen nuevas opciones de disminuir el n;mero de lneas fsicas y ca#les de
suministro de energa.
+na falta de 2usiness Intelligence
2a KI no es una tecnologa nueva. 2as grandes empresas, especialmente las del sector
financiero y de sanidad, -an utili!ado -erramientas de KI durante muc-os a/os.
2as medianas y pe%ue/as empresas %ue no implementan estas tecnologas se enfrentan a
pro#lemas de competitividad. 2e)os de ser tecnologas s+lo aptas para empresas
grandes, las -erramientas de an.lisis -an evolucionado de tal manera %ue son ase%ui#les
incluso para organi!aciones m.s modestas.
"o ca#e duda %ue estas -erramientas pueden marcar una diferencia importante en los
servicios y productos de una compa/a %ue llegan al mercado, incrementando la
renta#ilidad de transacciones comerciales.
Pero para poder aprovec-ar estas -erramientas -ay %ue comprometerse a unificar la
tecnologa y los procesos de negocio en una organi!aci+n. Esto significa una
infraestructura +ptimamente configurada con -erramientas %ue recogen la informaci+n
pertinente de una transacci+n.
'*
Universidad Central
Empresa y Sociedad del Conocimiento
.os consultores 3an de vigilarse
2as promesas de costes reducidos y pla!os cortos pueden a#rir las puertas a una serie de
errores %ue no #enefician a nadie.
2os consultores suelen tomar ata)os poco correctos para cumplir los pla!os de
cumplimiento. Nui!.s envan datos sensi#les inal.m#ricamente sin las protecciones
adecuadas. Nui!.s utili!an soft6are no licenciado para monitori!ar o gestionar alg;n
componente del despliegue. > %ui!.s a#ren un agu)ero en sus cortafuegos para o#tener
un acceso directo y despu0s se olvidan en cerrarlo.
2as compa/as de#en especificar claramente las normas de conducta y esta#lecer un
sistema de evaluaci+n medi#le.
En el contrato, las compa/as de#en decretar el comportamiento mnimo acepta#le con
respecto a las licencias, la seguridad, documentaci+n y gesti+n de cam#ios. 8inalmente,
-a de -a#er una evaluaci+n a posteriori para compro#ar el cumplimiento de o#)etivos y
asegurar %ue la infraestructura no -aya sufrido ning;n da/o colateral.
''
Universidad Central
Empresa y Sociedad del Conocimiento
Conclusin
El incremento masivo en el uso de medios inform.ticos, ya sea de ordenadores en los puestos de
tra#a)o como en las aplicaciones de tecnologa cada ve! m.s sofisticada, y en la prestaci+n de
servicios a los ciudadanos mediante la Administraci+n Electr+nica, -an llevado a la necesidad
de adaptar las t0cnicas de auditoria tradicionales para poder -acer frente a esos cam#ios.
Una ve! planteadas y reconocidas las nuevas e3igencias de control, surge la necesidad de contar
con un marco metodol+gico para organi!ar las actividades de Auditoria, y as definir las pautas
y los controles a considerar en las futuras actuaciones de auditoria. Esto se sustenta en el -ec-o
%ue el uso de una metodologa contrastada contri#uye a:
< Salvar las #rec-as e3istentes entre riesgos del proceso de gesti+n, necesidades de control y
aspectos t0cnicos. Esto es de#ido a %ue los riesgos de un proceso de gesti+n no son los mismos
%ue los riesgos a %ue se e3pone el sistema de informaci+n %ue le da apoyo. 2a Auditoria
Inform.tica de#e intentar asegurar %ue am#os est.n controlados, o sea, a)ustados a las
necesidades de control, o a lo %ue se asuma controlar, y a los medios y recursos t0cnicos
disponi#les.
< 1eterminar el alcance de la tarea de auditoria e identificar los controles mnimos, %ue de#e
estar dirigida no s+lo a auditores inform.ticos, sino tam#i0n a los gestores y a los usuarios.
< >#servar e incorporar los est.ndares y regulaciones nacionales o internacionales.
Al contar con una metodologa se podr.n tener predefinidos los procedimientos de actuaci+n,
%ue aun%ue s+lo lleguen a definir el %u0 y el c+mo -acer las actuaciones, permitir.n generar
resultados -omog0neos por los distintos miem#ros del e%uipo auditor. Asimismo, el marco
metodol+gico adoptado tendr. %ue definir las pautas y los controles a reali!ar con relaci+n a los
sistemas de informaci+n, tecnologas de -ard6are, seguridad, planificaci+n, desarrollo de
sistemas, etc.
'(
Universidad Central
Empresa y Sociedad del Conocimiento
'=