Documentos de Académico
Documentos de Profesional
Documentos de Cultura
’s EN LA AUDITORÍA
La Tecnología de la Información y de la Comunicación en la Auditoría, se ha convertido en un
recurso imprescindible en el trabajo diario del controlador financiero y el Auditor y del complejo
proceso de este procedimiento que requiere herramientas informáticas adecuadas para el
desempeño de nuestra función como futuros Auditores.
Para introducirnos en el tema principal debemos saber ¿Qué son las Tic?
CLG 1
Los profesionales TIC, Auditores informáticos, pasan por ser los recursos cualificados para
contribuir a la construcción de la confianza en la Administración Electrónica, configurándose
como los garantes de la prestación de servicios de calidad, y en la consecución de las políticas
públicas relacionadas.
Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más en los
servicios de las tecnologías de la información y las comunicaciones (TIC), que han acompañado
la automatización y el crecimiento de todos los procesos productivos, y la prestación de nuevos
servicios. Como consecuencia, son muchas las organizaciones en las que la información y la
tecnología que la soporta representan los activos más valiosos, y a su vez, reconocen los
beneficios potenciales que las nuevas tecnologías les pueden proporcionar. La productividad de
cualquier organización depende del funcionamiento ininterrumpido de los sistemas TIC,
transformando a todo el entorno como un proceso crítico adicional.
Por tanto, se requiere contar con una efectiva administración de los riesgos asociados con las
TIC, y que viene dada por:
CLG 2
Resulta de ello el rol básico que debe desempeñar la función de Auditoría Informática o
Auditoría de los Sistemas de Información, en una organización: supervisión de los controles
efectivamente implementados y determinación de la eficiencia de los mismos.
Los Auditores informáticos pueden recomendar cambios en los procesos de negocios para
lograr los objetivos económicos o sociales de la organización. También es posible que las
investigaciones revelen fraudes, desperdicios o abusos. Los Auditores informáticos modernos
proceden de manera sistemática en sus estudios, planificando sus acciones y enfocándose en las
áreas de mayor riesgo.
Es así que los profesionales TIC de la Administración tienen ante sí un reto en su carrera
profesional: realizar tareas propias de la función de Auditoría, para contribuir a la mejora de la
calidad de los servicios prestados a los ciudadanos.
CLG 3
SERVICIOS DE AUDITORÍA DE TECNOLOGÍAS DE LA INFORMACIÓN
Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar
el cumplimiento de sus normas mediante Auditorías de Sistemas de Información y como parte
inherente de la Auditoría Financiera, se está requiriendo cada vez más que los Sistemas de
Información sean, a su vez, auditados.
Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una empresa o
sus Tecnologías de la Información y Comunicaciones (TIC) son las Auditorías. Una Auditoría es
una radiografía de una parte de una empresa u organización. Las Auditorías pueden ser externas
(Hechas por un consultor externo a la organización) o Internas (Hechas por gente de la misma
organización).
CLG 4
El tipo de Auditoría puede variar (puede ser interna o externa, Auditoría de objetivos, etc.). No
obstante, como común denominador, el ciclo de vida básico de una Auditoría es el siguiente:
En resumen, la Auditoría es una herramienta poco conocida y muy valiosa a la hora de tomar
decisiones en lo que a TIC/SI se refiere. Una Auditoría (externa o interna) nos brinda la
información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.
CLG 5
PROBLEMAS EN LAS TICS
Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando Google, se
comunican con proveedores a través del Messenger o, incluso, utilizan herramientas de gestión
SAAS (software por pago) en proyectos críticos. En la mayoría de los casos, estas herramientas
se utilizan sin la supervisión del personal de TI.
Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados que
descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el
personal de TI no dispone de la preparación adecuada para proporcionarles ayuda. Por otra
parte, el personal de TI se enfrenta ahora a la posibilidad de una infección de malware que
entre por estos puntos.
Así, los responsables de Tecnología deben asegurar que los servicios externos forman parte de
cualquier discusión sobre las aplicaciones necesitadas por los departamentos. Las encuestas
pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados así como las
herramientas que proporcionan información sobre las estadísticas de uso.
Su negocio dispone de lo que usted considera una configuración de red estándar y segura. Un
cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas que requieren un
acceso directo a Internet disponen de túneles encriptados a las fuentes de datos dentro de los
cortafuegos.
Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con otras
opciones de encriptación.
Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que
ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica tienen a
su alcance herramientas que permiten escanear las redes para rastrear información sensible,
desde datos empresariales a las nóminas del personal.
CLG 6
Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de
rastreo que estos para identificar todos los datos, moviéndose por la red. Si pueden ver esta
información, cualquier otro usuario también la puede ver. Una vez identificados estos datos
descubiertos, las conexiones se pueden robustecer con seguridad.
Aunque son ya muchas las compañías que se han puesto “serias” en cuando a la
implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre el perfil
entero de la seguridad de aplicaciones.
La razón radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las
políticas de actualizaciones y, frecuentemente, éstas contienen información sensible.
Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts que
residen en la red. Asegúrese de que dispone de las últimas versiones de las aplicaciones y
componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso de aplicaciones
customizadas, mantenga un fichero de los scripts que éstas puedan incorporar.
Esto significa la monitorización periódica de servicios de seguridad como CERT y las páginas
Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que
son un punto de entrada a la red corporativa es una inversión sin precio.
CLG 7
DATOS NO AUDITABLES
Una buena Auditoría de los datos almacenados en su organización es un deber común en las
industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas.
Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al proceso
de Auditorías periódicas y disponen de un banco de conocimientos sobre la ubicación de los
datos. Sin embargo, las industrias emergentes no son tan detallistas.
Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el
cumplimiento de las normas como la seguridad de la información.
Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la
utilización actual, sugieren que su organización dispone de mucha capacidad. Sin embargo, un
sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial.
Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En
muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de seguridad
ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de suministro de
energía.
La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector financiero
y de sanidad, han utilizado herramientas de BI durante muchos años.
Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a
CLG 8
problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas grandes, las
herramientas de análisis han evolucionado de tal manera que son asequibles incluso para
organizaciones más modestas.
No cabe duda que estas herramientas pueden marcar una diferencia importante en los servicios
y productos de una compañía que llegan al mercado, incrementando la rentabilidad de
transacciones comerciales.
Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la tecnología
y los procesos de negocio en una organización. Esto significa una infraestructura óptimamente
configurada con herramientas que recogen la información pertinente de una transacción.
Las promesas de costos reducidos y plazos cortos pueden abrir las puertas a una serie de
errores que no benefician a nadie.
Los consultores suelen tomar atajos poco correctos para cumplir los plazos de cumplimiento.
Quizás envían datos sensibles inalámbricamente sin las protecciones adecuadas. Quizás utilizan
software no licenciado para monitorizar o gestionar algún componente del despliegue. O quizás
abren un agujero en sus cortafuegos para obtener un acceso directo y después se olvidan en
cerrarlo.
Las compañías deben especificar claramente las normas de conducta y establecer un sistema de
evaluación medible.
CLG 9
El incremento masivo en el uso de medios informáticos, ya sea de computadores en los puestos
de trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de
servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad de
adaptar las técnicas de Auditoría tradicionales para poder hacer frente a esos cambios.
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar
con un marco metodológico para organizar las actividades de Auditoría, y así definir las pautas y
los controles a considerar en las futuras actuaciones de Auditoría. Esto se sustenta en el hecho
que el uso de una metodología contrastada contribuye a:
- Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de
control y aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no
son los mismos que los riesgos a que se expone el sistema de información que le da
apoyo. La Auditoría Informática debe intentar asegurar que ambos están controlados, o
sea, ajustados a las necesidades de control, o a lo que se asuma controlar, y a los medios
y recursos técnicos disponibles.
Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación,
que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar
resultados homogéneos por los distintos miembros del equipo Auditor. Asimismo, el marco
metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los
sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de
sistemas, etc.
CLG 10