Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La palabra auditoria tiene que ver con oír y revisar cuentas ya que proviene de latín
auditorius, para el caso de auditoría de sistemas esto lo debemos aplicar como la
recolección y evaluación de evidencias sobre la eficiencia y eficacia en el uso de los sistemas
en la organización, además de mencionar que se debe presentar un informe en donde se
especifiquen en caso de haberlos encontrado los problemas y las diferentes alternativas de
solución o se especifiquen áreas de mejora.
La auditoría nace como una necesidad de evaluar que los registros y resultados de
operaciones de contabilidad fueran correctos, su principal objetivo era prevenir que no
existieran fraudes o robos de bienes que eran encomendados a los administradores.
La actividad del auditor consistía en certificar que los resultados financieros emitidos por
las empresas que solicitaban un préstamo al banco fuera veraces y confiables. Esta actividad
se formalizó con el nacimiento de la contabilidad financiera a finales del siglo pasado.
A mediados del siglo XIX en el Reino Unido se obligó a ejecutar auditorías a los resultados
financieros y a los registros contables en las empresas públicas. Posteriormente las
empresas en Estados Unidos también realizaron auditorias por disposición de la Comisión
de Valores y Bolsa para las empresas que cotizaban en la bolsa.
Por muchos años el concepto que se asoció al trabajo del auditor era el de detectar lo que
estaba mal para informar a quien correspondiera sobre dicho acontecimiento, así pasaron
los años y la imagen de una persona chismosa, delatora, inspector ha sido uno de los
inconvenientes con los cuales todo auditor debe luchar ya que se le asocia a alguien que
busca las cosas malas. Sin embargo, es necesario aclarar que en la actualidad el auditor es
quien se encarga de encontrar oportunidades de mejora y de hacer las recomendaciones
correspondientes.
La auditoría nace como una rama dependiente del área financiera en las empresas y la
ejercían solamente profesionales con especialidad en contabilidad dado que revisaban el
registro de operaciones y los estados financieros emitidos por las empresas. Sin embargo,
esta revisión se traslada a otras áreas de la empresa comenzando por las administrativas y
después con el área de ingeniería. Esto trae como consecuencia que el profesional de
auditoría no sea solamente especialista en el área contable y financiera y empiezan a ejercer
dicho labor profesionistas con especialidades en otras áreas.
Aún y cuando existen diferentes tipos de auditorías en esencia todas ellas mantienen los
mismos fundamentos. De la auditoría financiera surge la auditoria de operaciones y la
auditoria administrativa. Se publican diferentes estudios e investigaciones que dan como
resultado publicaciones en todo el mundo sobre la auditoria, especificando procedimientos
y metodologías. Con esto se consolida el área de auditoría interna y externa para las
empresas.
CONCEPTO AUDITORIA INFORMÁTICA
Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que
proporciona los controles necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad. Además, debe evaluar todo: informática, organización de centros de
información, hardware y software.
Del mismo modo, los Sistemas Informáticos o tecnológicos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditoria de Seguridad Informática en
general, o a la auditoria de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo
o Técnica de Sistemas.
Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una
auditoria parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de
Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además
de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna
mezcla de ellas. Por lo tanto, las características más resaltantes son:
Los Controles Técnicos Generales son los que se realizan para verificar la compatibilidad de
funcionamiento simultaneo del Sistema Operativo y el Software de base con todos los
subsistemas existentes, así como la compatibilidad del Hardware y del Software instalados.
Estos controles son importantes en las instalaciones que cuentan con varios competidores,
debido a que la profusión de entornos de trabajo muy diferenciados obliga a la contratación
de diversos productos de Software básico, con el consiguiente riesgo de abonar más de una
vez el mismo producto o desaprovechar parte del Software abonado. Puede ocurrir también
con los productos de Software básico desarrolla-dos por el personal de Sistemas Interno,
sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos
geográficamente alejados. Lo negativo de esta situación es que puede producir la
inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo
trabajando independientemente, pero no será posible la interconexión e
intercomunicación de todos los Centros de Proceso de Datos si no existen productos
comunes y compatibles.
Los Controles Técnicos Específicos, de modo menos acusado, son igualmente necesarios
para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal
son parámetros de asignación automática de espacio en disco que dificulten o impidan su
utilización posterior por una Sección distinta de la que lo generó. También, los periodos de
retención de ficheros comunes a varias Aplicaciones pueden estar definidos con distintos
plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá
producirse con facilidad, quedando inoperativa la explotación de alguna de las Aplicaciones
mencionadas.
DELITOS INFORMÁTICOS
Dicho acto humano ha de ser antijurídico, debe lesionar o poner en peligro un interés
jurídicamente protegido.
Debe corresponder a un tipo legal (figura de delito), definido por La Ley, ha de ser un acto
típico.
El acto ha de ser culpable, imputable a dolo (intención) o a culpa (negligencia), y una acción
es imputable cuando puede ponerse a cargo de una determinada persona
La ejecución u omisión del acto debe estar sancionada por una pena.
Por tanto, un delito es: una acción antijurídica realizada por un ser humano, tipificado,
culpable y sancionado por una pena.
Se podría definir el delito informático como toda acción (acción u omisión) culpable
realizada por un ser humano, que cause un perjuicio a personas sin que necesariamente se
beneficie el autor o que, por el contrario, produzca un beneficio ilícito a su autor aunque no
perjudique de forma directa o indirecta a la víctima, tipificado por La Ley, que se realiza en
el entorno informático y está sancionado con una pena.
Beneficios de la Auditoría:
Los beneficiarios de la auditoría son los que tienen relación con la empresa y necesitan
información correcta y auténtica sobre la situación y actividades de la misma.
CONTROL
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las
empresas y para ello permite verificar si todo se realiza conforme a los programas
adoptados, órdenes impartidas y principios admitidos.
Controles Preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo
cierto margen de violaciones.
Controles detectivos
Son aquellos que no evitan que ocurran las causas del riesgo, sino que los detecta luego de
ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la
eficiencia de los controles preventivos.
Procedimientos de validación
• Controles Correctivos
Autenticidad
1. Passwords
2. Firmas digitales
Exactitud
1. Validación de campos
2. Validación de excesos
Totalidad
1. Conteo de registros
2. Cifras de control
Redundancia
1. Cancelación de lotes
2. Verificación de secuencias
Privacidad
Aseguran la protección de los datos
1. Compactación
2. Encriptación
Existencia
1. Bitácora de estados
2. Mantenimiento de activos
Protección de Activos
1. Extintores
2. Passwords
Efectividad
1. Encuestas de satisfacción
2. Medición de niveles de servicio
Eficiencia
1. Programas monitores
2. Análisis costo-beneficio
Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles
de debilidad. Estos síntomas pueden agruparse en clases:
Centro de Proceso de Datos fuera de control. Si tal situación llegara a percibirse, sería
prácticamente inútil la auditoría. Esa es la razón por la cual, en este caso, el síntoma debe
ser sustituido por el mínimo indicio.
En un sistema informático lo que queremos proteger son sus activos, es decir, los recursos
que forman parte del sistema y que podemos agrupar en:
De ellos los más críticos son los datos, el hardware y el software. Es decir, los datos que
están almacenados en el hardware y que son procesados por las aplicaciones software.
Incluso de todos ellos, el activo más crítico son los datos. El resto se puede reponer con
facilidad y los datos ... sabemos que dependen de que la empresa tenga una buena política
de copias de seguridad y sea capaz de reponerlos en el estado más próximo al momento en
que se produjo la pérdida. Esto puede suponer para la empresa, por ejemplo, la dificultad
o imposibilidad de reponer dichos datos con lo que conllevaría de pérdida de tiempo y
dinero.
Si varios procesos acceden al mismo tiempo a un recurso compartido puede producirse este
tipo de vulnerabilidad. Es el caso típico de una variable, que cambia su estado y puede
obtener de esta forma un valor no esperado.
Es una vulnerabilidad de las aplicaciones web, que permite inyectar código VBSript o
JavaScript en páginas web vistas por el usuario. El phishing es una aplicación de esta
vulnerabilidad. En el phishing la víctima cree que está accediendo a una URL (la ve en la
barra de direcciones), pero en realidad está accediendo a otro sitio diferente. Si el usuario
introduce sus credenciales en este sitio se las está enviando al atacante.
La denegación de servicio hace que un servicio o recurso no esté disponible para los
usuarios. Suele provocar la pérdida de la conectividad de la red por el consumo del ancho
de banda de la red de la víctima o sobrecarga de los recursos informáticos del sistema de la
víctima.
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual cosa, lo cual es
mentira y lo único que quieren es que el usuario de información. Hay otro tipo de ventanas
que si las sigues obtienen datos del ordenador para luego realizar un ataque.
RIESGOS EN LA AUDITORIA
Es importante en toda organización contar con una herramienta, que garantice la correcta
evaluación de los riesgos a los cuales están sometidos los procesos y actividades de una
entidad y por medio de procedimientos de control se pueda evaluar el desempeño de la
misma.
Si consideramos entonces, que la Auditoría es “un proceso sistemático, practicado por los
auditores de conformidad con normas y procedimientos técnicos establecidos, consistente
en obtener y evaluar objetivamente las evidencias sobre las afirmaciones contenidas en los
actos jurídicos o eventos de carácter técnico, económico, administrativo y otros, con el fin
de determinar el grado de correspondencia entre esas afirmaciones, las disposiciones
legales vigentes y los criterios establecidos.” es aquella encargada de la valoración
independiente de sus actividades. Por consiguiente, la Auditoría debe funcionar como una
actividad concebida para agregar valor y mejorar las operaciones de una organización, así
como contribuir al cumplimiento de sus objetivos y metas; aportando un enfoque
sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de
riesgos, control y dirección.
A diferencia de algunos autores, que definen la ejecución de las auditorías por etapas,
somos del criterio que es una actividad dedicada a brindar servicios que agrega valores
consecuentemente en dependencia de la eficiencia y eficacia en el desarrollo de diferentes
tareas y actividades las cuales deberán cumplirse sistemáticamente en una cadena de
valores que paulatinamente deberán tenerse en cuenta a través de subprocesos que
identifiquen la continuidad lógica del proceso, para proporcionar finalmente la calidad del
servicio esperado.
Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya
sea en procesos de producción como de servicios, en operaciones financieras y de mercado,
por tal razón podemos afirmar que la Auditoría no está exenta de este concepto.
En cada Subproceso, como suele llamársele igualmente a las etapas de la misma, el auditor
tiene que realizar tareas o verificaciones, en las cuales se asumen riesgos de que esas no se
realicen de la forma adecuada, claro que estos Riesgos no pueden definirse del mismo modo
que los riesgos que se definen para el control Interno.
El criterio del auditor en relación con la extensión e intensidad de las pruebas, tanto de
cumplimiento como sustantivas, se encuentra asociado al riesgo de que queden sin detectar
errores o desviaciones de importancia, en la contabilidad de la empresa y no los llegue a
detectar el auditor en sus pruebas de muestreo. El riesgo tiende a minimizarse cuando
aumenta la efectividad de los procedimientos de auditoría aplicados.
El propósito de una auditoría a los Estados Financieros no es descubrir fraudes, sin embargo,
siempre existe la posibilidad de obtener cifras erróneas como resultado de una acción de
mala fe, ya que puede haber operaciones planeadas para ocultar algún hecho delictivo.
Entre una gran diversidad de situaciones, es posible mencionar las siguientes:
Existencia de un método para cerciorarse que los datos recibidos para su valoración
sean completos, exactos y autorizados.
Emplear procedimientos normalizados para todas las operaciones y examinarlos
para asegurarse que tales procedimientos son acatados.
Existencia de un método para asegurar una pronta detección de errores y mal
funcionamiento del Sistema de Cómputo.
Deben existir procedimientos normalizados para impedir o advertir errores
accidentales, provocados por fallas de operadores o mal funcionamiento de
máquinas y programas.
Sistemas de Control de Riesgos