CONTENIDO DEL CURSO: ADMINISTRACIÓN DE LA FUNCIÓN INFORMÁTICA
UNIDAD I
Introducción a la auditoria informática.
Conceptos de auditoría y auditoria Informática.
La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información Salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y Utiliza eficientemente los recursos.
Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización,
Página 1
Determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que Se deberían realizar para la consecución de los mismos.
Los objetivos de la auditoría Informática son: * El control de la función informática * El análisis de la eficiencia de los Sistemas Informáticos * La verificación del cumplimiento de la Normativa en este ámbito * La revisión de la eficaz gestión de los recursos informáticos.
La auditoría informática sirve para mejorar ciertas características en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad
Página 2
Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas: - Gobierno corporativo - Administración del Ciclo de vida de los sistemas - Servicios de Entrega y Soporte - Protección y Seguridad - Planes de continuidad y Recuperación de desastres
Página 3
1.2 Tipos de auditoría.
Auditoría contable (de estados financieros) – no es interés del curso. Auditoría interna. La lleva a cabo un departamento dentro de la organización y existe una relación laboral. Auditoría externa. No existe relación laboral y la hacen personas
externas al negocio para que los resultados que nos arroje sean Imparciales como pueden ser las firmas de contadores o administrador es independient es. Auditoria administrativa . (William. P Leonard) es un examen completo y constructivo de la estructura organizativa
de la empresa, Institución o departamento gubernament al o de cualquier otra entidad y de sus métodos de control, medios de operación y empleo Que dé a sus recursos humanos y materiales. Auditoria gubernament al. Auditoría Financiera: Consiste en una revisión exploratoria y Página 4
critica de los controles subyacentes y los registros de contabilidad De una empresa realizada por un contador público. Auditoria de operaciones: Se define como una técnica para evaluar sistemáticame nte de una función o una unidad con referencia a Normas de la empresa, utilizando
personal no especializado en el área de estudio. Auditoría fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los Contribuyente s desde el punto de vista físico (SHCP), direcciones o tesorerías de hacienda estatales o tesorerías municipales.
Auditoria de resultados de programas: Esta auditoría la eficacia y congruencia alcanzadas en el logro de los objetivos y las metas Establecidas. Auditoria de legalidad: Este tipo de auditoría tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades. Auditoría integral: Es un Página 5
examen que proporciona una evaluación objetiva y constructiva acerca del grado en que los recursos Humanos, financieros y materiales.
1.2.1 Auditoría interna y externa.
La Auditoría Externa examina y evalúa cualquiera de los sistemas de
información de una organización y emite una opinión Independient e sobre los mismos, pero las empresas generalmente requieren de la evaluación de su sistema de información Financiero en forma independient e para otorgarle validez ante los usuarios del producto de este, por lo cual
tradicionalme nte se ha Asociado el término Auditoría Externa a Auditoría de Estados Financieros, lo cual como se observa no es totalmente equivalente, pues puede existir. Auditoría Externa del Sistema de Información Tributario, Auditoría Externa del Sistema de Información Administrativ Página 6
o, Auditoría Externa del Sistema de
y con el objeto de emitir
Información Automático etc.
Informes y formular sugerencias para el mejoramiento de la misma. Estos informes son de circulación interna y no tienen
La auditoría Interna es el examen crítico, sistemático y detallado de un sistema de información de una unidad económica, Realizado por un profesional con vínculos laborales con la misma, utilizando técnicas determinadas
Trascendencia a los terceros pues no se producen bajo la figura de la Fe Pública.
1.3 Campo de la auditoria informática.
Algunos campos de aplicación de la informática son las siguientes:
Investigación científica y humanística: Se usan la las computadoras para la resolución de cálculos matemáticos, recuentos Numéricos, etc. Aplicaciones técnicas: Usa la computadora para facilitar diseños de Página 7
ingeniería y de productos comerciales, trazado de planos, etc. Documentaci ón e información: Es uno de los campos más importantes para la utilización de computadoras . Estas se usan para el Almacenamie nto de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos.
Gestión administrativa : Automatiza las funciones de gestión típicas de una empresa. Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamie nto de la mente humana. Los Programas responden como previsiblemen te lo haría una persona inteligente.
Instrumentaci ón y control: Instrumentaci ón electrónica, electro medicina, robots industriales, entre otros.
1.4 Control interno.
El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo
Página 8
, en la planeación, Organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y Mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizado s.
También se puede definir el Control
Interno como cualquier actividad o acción realizada manual y/o automáticam ente para Prevenir, corregir errores o irregularidade s que puedan afectar al funcionamien to de un sistema para conseguir sus objetivos.
1.5 Modelos de control utilizados en auditoria informática.
El COBIT es precisamente un modelo para auditar la gestión y control de los sistemas de información y tecnología, orientado a todos los sectores de una organización, es decir, administrador es IT, usuarios y por supuesto, los auditores involucrados en el Proceso.
Página 9
Las siglas COBIT significan Objetivos de Control para Tecnología de Información y Tecnologías relacionadas (Control Objetives for Information Systems and related Technology). El modelo es el resultado de una investigación con expertos de varios países, Desarrollado por ISACA (Information
Systems Audit and Control Association).
La estructura del modelo COBIT propone un marco de acción donde se evalúan los criterios de información, como por ejemplo la Seguridad y calidad, se auditan los recursos que comprenden la tecnología de información, como por ejemplo el
recurso humano, Instalaciones, sistemas, entre otros, y finalmente se realiza una evaluación sobre los procesos involucrados en la organización.
El COBIT es un modelo de evaluación y monitoreo que enfatiza en el control de negocios y la seguridad IT y que abarca controles
Página 10
Específicos de IT desde una perspectiva de negocios. “La adecuada implementaci ón de un modelo COBIT en una organización, Provee una herramienta automatizada, para evaluar de manera ágil y consistente el cumplimiento de los objetivos de control y Controles detallados, que aseguran que los procesos y
recursos de información y tecnología contribuyen al logro de los objetivos del negocio en un mercado cada vez más exigente, complejo y diversificado”, señaló un informe de ETEK.
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que
trabajan los profesionales de Tecnología. Vinculando tecnología informática y prácticas de control, el modelo COBIT consolida y armoniza estándares de Fuentes globales prominentes en un recurso crítico para la gerencia, los profesionales de control y los auditores.
2
Página 11
COBIT se aplica a los sistemas de información de toda la empresa, incluyendo los computadore s personales y las redes. Está basado en la filosofía de que los recursos TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para Proveer la información pertinente y confiable que
requiere una organización para lograr sus objetivos.
El conjunto de lineamientos y estándares internacionale s conocidos como COBIT, define un marco de referencia que clasifica los Procesos de las unidades de tecnología de información de las organizacione s en cuatro “dominios”
principales, a saber: -Planificación y organización -Adquisición e implantación -Soporte y Servicios - Monitoreo
Estos dominios agrupan objetivos de control de alto nivel, que cubren tanto los aspectos de información, como de la tecnología que la respalda. Página 12
Estos dominios y objetivos de control facilitan que la generación y procesamient o de la información cumplan con
Asimismo, se deben tomar en cuenta los recursos que proporciona la tecnología de información, tales como: datos, aplicaciones,
Las características de efectividad, eficiencia, confidencialid ad, integridad, disponibilidad , cumplimiento y confiabilidad.
Plataformas tecnológicas, instalaciones y recurso humano.
“Cualquier tipo de empresa puede adoptar una metodología COBIT, como parte de un
proceso de reingeniería en aras de reducir Los índices de incertidumbre sobre vulnerabilidad es y riesgos de los recursos IT y consecuente mente, sobre la posibilidad de Evaluar el logro de los objetivos del negocio apalancado en procesos tecnológicos”, finalizó el informe de ETEK.
Página 13
1.6 Principios aplicados a los auditores informáticos.
El auditor deberá ver cómo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa Auditada, estando obligado a presentar recomendacio nes acerca del reforzamiento del sistema y
el estudio de las soluciones Más idóneas según los problemas detectados en el sistema informático de esta última. En ningún caso está justificado que Realice su trabajo el prisma del propio beneficio. Cualquiera actitud que se anteponga intereses personales del auditor a los del
Auditado deberá considerarse como no ética. Para garantizar el beneficio del auditado como la necesaria independenci a del Auditor, este último deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos Compatibles con los de su cliente. La Página 14
adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el Mismo, a fin de adquirir un conocimiento pormenorizad o de sus características intrínsecas. Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias
propias de su cometido, este podrá Proponer un cambio cualitativame nte significativo de determinados elementos o del propio sistema informático globalmente Contemplado. Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos
mínimos, aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado. El auditor deberá lógicamente abstenerse de recomendar Actuaciones innecesariam ente onerosas, dañinas o que generen riesgos injustificados para el auditado. Una de las cuestiones más Página 15
Controvertida s, respecto de la aplicación de este principio, es la referente a facilitar el derecho de las organizacione s auditadas A la libre elección del auditor. Si el auditado decidiera encomendar posteriores auditorías a otros profesionales, éstos deberías Poder tener acceso a los informes de los trabajos
profesionales, éstos deberían poder tener acceso a los informes de los trabajos Anteriorment e realizados sobre el sistema del auditado.
Del grado de cobertura que dan las aplicaciones a las necesidades estratégicas y operativas de información de la empresa.
Página 16