Auditora en Informtica

LICENCIATURA EN INFORMTICA (3-2-8)

Introduccin

Conceptos de auditora y auditora interna Tipos de auditora Campo de la auditora informtica Control interno modelos de control utilizados en auditora interna Principios aplicados a los auditores informticos Responsabilidades de los administradores y del auditor

Conceptos de auditora y auditora informtica

El concepto de auditora se ha entendido de manera incorrecta y se ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. El concepto de auditora es ms amplio, ya que no slo detecta errores sino que es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo[Echenique,1990]

Conceptos de auditora y auditora informtica

La palabra auditora viene del latn auditorius y de esta proviene auditor, que tiene la virtud de oir El nuevo diccionario Espaol Sopena define auditor como revisor de cuentas colegiado El auditor tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico que es el de evaluar la eficacia y eficiencia con que se est operando, para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores Eficacia: virtud, fuerza para poder hacer. Eficiencia: virtud y facultad para lograr un efecto determinado

Conceptos de auditora y auditora informtica

Etimolgicamente, la palabra informtica deriva del francs informatique. Este neologismo viene de la conjuncin de information y automatique. En 1966, la Academia Francesa defini el concepto del modo siguiente Ciencia del tratamiento sistemtico y eficaz, realizado especialmente mediante mquinas automticas, de la informacin contemplada como vehculo del saber humano y de la comunicacin en los mbitos tcnico,econmico y social La oficina intergubernamental de informtica, IBI, asociada a la UNESCO la define como la aplicacin racional, sistemtica de la informacin para el desarrollo econmico, social y poltico.

Conceptos de auditora y auditora informtica

La informacin es una serie de datos clasificados y ordenados con un objetivo comn. El dato se refiere nicamente a un smbolo, signo o a una serie de letras o nmeros, sin un objetivo que de un significado a esa serie de smbolos, signos, letras o nmeros La informacin puede dividirse en varios niveles. Nivel tcnico. Considera los aspectos de eficiencia y capacidad de los canales de transmisin Nivel semntico. Considera la informacin desde el punto de vista semntico (significado) Nivel pragmtico. Considera al receptor en un contexto dado. Nivel normativo. Considera cundo, dnde y a quin se destina la informacin. Incluye aspectos como la parte legal del uso de la informacin.

Tipos de Auditora

Auditora interna y auditora contable/financiera Auditora Administrativa Auditora con informtica Concepto de auditora en Informtica Concepto de auditora de programas

Auditora interna y auditora contable/financiera

El boletn E-O2 del Instituto Mexicano de Contadores1 seala con respecto al control interno:

El estudio y evaluacin del control interno se efecta con el objeto de cumplir con la norma de ejecucin del trabajo que requiere que: el auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va a depositar en el, as mismo, que le permitan determinar la naturaleza, extensin y oportunidad que va a dar a los procedimientos de auditora

Boletn E-02, Normas y procedimientos de Auditora, IMCP

Auditora Administrativa

William P. Leonard la define como2 el examen global y constructivo de la estructura de una empresa, de una institucin, una seccin del gobierno o cualquier parte de un organismo, en cuanto a sus planes y objetivos, sus mtodos y controles, su forma de operacin y sus facilidades humanas y fsicas

William P. Leonard, Auditora Administrativa, editorial Diana, 1989

Auditora Administrativa

En esta auditora se lleva a cabo una revisin de la empresa-organizacin con el fin de precisar:

Prdidas y deficiencias Mejores mtodos Mejores formas de control Operaciones ms eficientes Mejor uso de los recursos fsicos y humanos

Auditora Administrativa

Se debe evaluar el departamento de informtica de acuerdo con:

Su objetivo Metas, planes, polticas y procedimientos Organizacin Estructura orgnica Funciones Niveles de autoridad y responsabilidad

Actividad de aprendizaje #1

Investiga una definicin de los siguientes vocablos: objetivo Metas planes polticas procedimientos Identifica cul es la diferencia entre estos vocablos

Actividad de aprendizaje #2

Evala el centro de cmputo o algn departamento de informtica al que tengas acceso de acuerdo a: Su objetivo Metas, planes, polticas y procedimientos Estructura orgnica (organizacin) Funciones Niveles de autoridad y responsabilidad En el aula, realiza una mesa redonda de anlisis sobre la actividad anterior

Auditora con Informtica

Los procedimientos de auditora con informtica varan de acuerdo con la filosofa y tcnica de cada departamento de auditora Se pueden distinguir dos categoras de tcnicas: manuales y asistidas por computadora. Tcnicas avanzadas de auditora con informtica como pueden ser:

Auditora con Informtica

PROCESAMIENTO DE DATOS DE UN DEPARTAMENTO FICTICIO, COMPARANDO ESTOS RESULTADOS CON RESULTADOS PREDETERMINADOS

En los procesos manuales estos documentos contienen informacin fuente, firmas de autorizacin, mtodos de procesos y resultados de salida. Esta informacin permite construir la transaccin y rastrearla hacia totales de control.

Pruebas integrales Simulacin Revisiones de acceso Evaluacin de un sistema con datos de prueba Registros extendidos Totales aleatorios de ciertos programas Uso de documentos impresos para construir el proceso.

Registro computarizado de accesos a determinados archivos;por ejemplo informacin de identificacin tanto de la terminal como del usuario

Concepto de Auditora en Informtica

Es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que a travs del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para una mejor toma de decisiones

Campo de accin de la AI
a) Evaluacin administrativa del departamento de procesos electrnicos b) Evaluacin de los sistemas y procedimientos, as como la eficiencia que se tiene en el uso de la informacin c) Evaluacin del proceso de datos y de los equipos de cmputo

a) La evaluacin administrativa del departamento de informtica comprende

Objetivos del departamento, direccin o gerencia Metas, planes, polticas y procedimientos de procesos electrnicos estndar Organizacin del rea y su estructura orgnica Funciones y niveles de autoridad y responsabilidad del rea de procesos electrnicos Integracin de los recursos materiales y tcnicos Direccin Costos y controles presupuestales Controles administrativos del rea de procesos electrnicos

b) La evaluacin de los sistemas y procedimientos y de la eficiencia que se tienen en el uso de la informacin que comprende

Evaluacin del anlisis de los sistemas y sus diferentes etapas Evaluacin del diseo lgico y desarrollo del sistema Control de proyectos Control de sistemas y programacin Instructivos y documentacin Formas de implantacin Seguridad fsica y lgica de los sistemas Confidencialidad de los sistemas Controles de mantenimiento y forma de respaldo de los sistemas Utilizacin de los sistemas

c) Evaluacin del proceso de datos y de los equipos de cmputo comprende

Controles de los datos fuente y manejo de cifras de control Control de operacin Control de salida Control de asignacin de trabajo Control de medios de almacenamiento masivos Orden en el centro de cmputo Seguridad fsica y lgica Confidencialidad Respaldos

ACTIVIDAD DE APRENDIZAJE #3
1. Investigue programas de recuperacin de datos para varias plataformas: 1. LINUX 2. MAC OS X 3. WIN 4. SOLARIS, ... 2. Instale y realice una prctica de recuperacin o respaldo de datos.
3. Realiza un informe de las prcticas y presenta en diapositivas los resultados observados.

Interrelacin entre AI y los diferentes tipos de auditora

El ncleo o centro de la informtica son los programas, los cuales pueden ser auditados por medio de la auditora de programas. Estos programas se usan en las computadoras de acuerdo con la organizacin del centro de cmputo La AI debe evaluar el todo (informtica, organizacin del centro de cmputo, computadoras y programas) con auxilio de los principios de auditora administrativa, interna, contable/financiera y a su vez puede proporcionar informacin a esos tipos de auditora usando como herramienta la computadora Como puede observarse, la evaluacin a desarrollar para la realizacin de la auditora en informtica deben hacerla personas con alto grado de conocimiento en informtica y con basta experiencia en el rea.

CONCEPTO DE AUDITORA DE PROGRAMAS (AP)

La AP es la evaluacin de la eficiencia tcnica, del uso de diversos recursos (como cantidad de memoria) y del tiempo que utilizan los programas, su seguridad y confiabilidad con el objetivo de optimizarlos y evaluar el riesgo que tienen para la organizacin La AP tiene un mayor grado de profundidad y de detalle que la AI, ya que analiza y evala la parte central del uso de las computadoras que es el programa Para lograr una AP eficiente, las personas que la realicen deben poseer conocimientos profundos sobre SOs, SMBD, LP, utileras, etc.

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

Principio de beneficio del auditado Principio de calidad Principio de capacidad Principio de cautela Principio de comportamiento profesional Principio de concentracin en el trabajo Principio de confianza Principio de criterio propio Principio de discrecin Principio de economa Principio de formacin continuada Principio de fortalecimiento y respeto a la profesin Principio de independencia

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

Principio de informacin suficiente Principio de integridad moral Principio de legalidad Principio de libre competencia Principio de no discriminacin Principio de no injerencia Principio de precisin Principio de publicidad adecuada Principio de responsabilidad Principio de secreto profesional Principio de servicio pblico Principio de veracidad

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE BENEFICIO DEL AUDITADO El auditor debe buscar la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada Todas las actividades del auditor deben estar orientadas a lograr el mximo provecho de su cliente El auditor debe evitar una actitud que anteponga intereses personales del auditor a los del auditado.

PRINCIPIO DE CALIDAD

El auditor debe prestar sus servicios a tenor de la ciencia y medios a su alcance y en condiciones tcnicas adecuadas para el idneo cumplimiento de su labor En casos en que la precariedad de medios a su disposicin impidan la realizacin de la auditora, deber negarse a realizarla hasta que se garantice el mnimo de condiciones tcnicas que no compromentan la calidad de sus servicios o dictmenes. Si el auditor considerase conveniente recabar el informe de otros tcnicos ms cualificados que superase su capacitacin profesional para analizarlo en idneas condiciones, deber remitir al mismo a un especialista en la materia

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL

El auditor, tanto en sus relaciones con el auditado, como con terceras personas, deber, en todo momento, actuar conforme a las normas, implcitas o explcitas, de dignidad de la profesin. El auditor debe cuidar la moderacin en la exposicin de sus juicios u opiniones evitando caer en exageraciones o atemorizaciones innecesarias procurando, en todo momento, transmitir una imagen de precisin y exactitud en sus comentarios que avalen su comportamiento profesional e infundan una mayor seguridad y confianza a sus clientes El auditor debe eludir las injerencias no solicitadas por l, de profesionales de otras reas, en temas relacionadas o que puedan incidir en el resultado de la auditora El auditor debe asimismo guardar un escrupuloso respeto por la poltica empresarial del auditado, aunque esta difiera del resto del sector, evitar comentarios extemporneos sobre la misma en tanto no estn relacionados o afecten al objeto de la auditora. As mismo, Evitar realizar actos que simulen aplicaciones de tratamientos ficticios, encubran comportamientos no profesionales o den publicidad a metodologas propias o ajenas insuficientemente contrastadas y garantizadas.

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad En cumplimiento de este principio deber procurar evitar dilaciones innecesarias en la realizacin de la auditora. Esta economa de tiempos permitir al auditado reducir los plazos de actuacin tendentes a solventar los problemas detectados o a la adecuacin a los nuevos mtodos propuestos aportando un determinado valor aadido al trabajo del auditor. El auditor deber tener en cuenta la economa de medios materiales o humanos, eludiendo utilizar aquellos que no se precisen, lo que redundar en reducciones de gastos no justificados Conviene, en virtud de este principio, delimitar en la forma ms concreta posible ab initio el alcance y lmites de la auditora a efectos de evitar tener que realizar estudios sobre aspectos colaterales no significativos, que detraen tiempo y medios para su anlisis y emitir informes sobre temas circunstanciales o ajenos a la finalidad perseguida En las recomendaciones y conclusiones realizadas en base a su trabajo deber, as mismo, eludir, incitar o proponer actuaciones que puedan generar gastos innecesarios o desproporcionados

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE INTEGRIDAD MORAL Este principio, inherentemente ligado a la dignidad de persona, oliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar, voluntaria o inconscientemente, en cualesquiera actos de corrupcin personal o de terceras personas. El auditor no deber, bajo ninguna circunstancia, aprovechar los conocimientos adquiridos durante la auditora para utilizarlos en contra del auditado o de terceras personas relacionadas con el mismo. Durante la realizacin de la auditora, el auditor deber emplear la mxima diligencia, dedicacin y precisin, utillizando para ello todo su saber y entender.

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE LEGALIDAD El auditor deber evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravencin de la legalidad vigente En ningn caso consentir ni colaborar en la desactivacin o eliminacin de dispositivos de seguridad ni intentar obtener los cdigos o claves de acceso a sectores restringidos de informacin generados para proteger los derechos, obligaciones o intereses de terceros (derecho a la intimidad, secreto profesional, propiedad intelectual, etc.) De igual forma, los auditores debern abstenerse de intervenir lneas de comunicacin o controlar actividades que puedan generar vulneracin de derechos personales o empresariales dignos de proteccin

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE NO DISCRIMINACIN El auditor en su actuacin previa, durante y posterior a la auditora, deber evitar inducir, participar o aceptar situaciones discriminatorias de ningn tipo, debiendo ejercer su actividad profesional sin prejuicios de ninguna clase y con independencia de las caractersticas personales, sociales o econmicas de sus clientes. Deber evitar cualquier tipo de condicionantes personalizados y actuar en todos los casos con similar diligencia con independencia de los beneficios obtenidos del auditado, de las simpatas personales que tenga hacia ste o de cualqier otra circunstancia Su actuacin deber asi mismo mantener una igualdad de trato profesional con la totalidad de personas con las que en virtud de su trabajo tenga que relacionarse con independencia de categora, estatus empresarial o profesional, etc.

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE SECRETO PROFESIONAL La confidencia y la confianza son caractersticas esenciales de las relaciones entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto hechos e informaciones que conozca en el ejercicio de su actividad profesional. Solamente por imperativo legal podr decaer esa obligacin El deber de secreto impone, as mismo al auditor el establecimiento de las medidas y mecanismos de seguridad pertinentes para garantizar al auditado que la informacin documentada, obtenida a lo largo de la auditora, va a quedar almacenada en entornos o soportes que impidan la accesabilidad a la misma por terceras personas no autorizadas. No debe considerarse, por el contrario, como vulneracin del secreto profesional, la transmisin de datos confidenciales del auditado a otros profesionales cuando esta circunstancia se origine por expresa peticin del mismo.

PRINCIPIOS TICOS DE LOS AUDITORES INFORMTICOS

PRINCIPIO DE SERVICIO PBLICO El auditor debe evitar daos sociales como los que pueden producirse en caso de que, durante la ejecucin de la auditora, descubra elementos de SW dainos (como virus informticos) que puedan propagarse a otros sistemas informticos diferentes del auditado. El auditor deber asi mismo ponderar entre sus criterios ticos personales y los criterios ticos subyacentes en la sociedad en la que presta sus servicios, debiendo poner de manifiesto sus opciones personales cuando entren en contradiccin con la tica social que el auditado pueda presumir que est implcitamente aceptada por el auditor.