Issuu on Google+

Ensayo Auditoría Informática

Integrantes: Ilcer ParedesO. Edith Sandoval C. Nancy Solís Q.

Profesor: Cristian Salazar C

Valdivia, 24 de mayo de 2012


INTRODUCCIÓ N

A través de los años y con los avances tecnológicos la auditoria ha evolucionado tanto en sus objetivos como en las herramientas que emplea para alcanzar dichos objetivos, de ahí que nace la auditoria informática como un proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De esta forma la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de auditoría. A través del presente trabajo se pretende describir la auditoria informática, su alcance, objetivos y aspectos relevantes para entender el proceso de auditoría informática.

2


AUDITOR ÍA INFORMÁT ICA

Auditoría “ Un proceso sistemático para obtener y evaluar de manera objetiva, las evidencias relacionadas con informes sobre actividades económicas y otras situaciones que tienen una relación directa con las actividades que se desarrollan en una entidad pública o privada. El fin del proceso consiste en determinar el grado de precisión del contenido informativo con las evidencias que le dieron origen, así como determinar si dichos informes se han elaborado observando principios establecidos para el caso” Fuente: John W. Cook y Gary M. Winkle (1987), Auditoría, 3° Edición, McGRAW-HILL, Buenos Aires-Argentina Entonces entenderemos auditoría como, un proceso sistemático cuyo propósito es obtener evidencia necesaria y suficiente para evaluar de manera objetiva las evidencias obtenidas para determinar el grado de correspondencia entre la información presentada y las evidencias obtenidas. Informática Para la Real Academia de La Lengua, la informática, es un conjunto de conocimientos científicos y técnicas que hacen posible el tratamiento automático de la información por medio de ordenadores (computadores). La palabra proviene del francés, ya que ellos crearon el concepto informatique, o sea, informática. La conjunción entre las palabras información y automatización. . Fuente: http://es.ask.com/web?q=informatica&qsrc=2300&o=1500&l=dir

3


Auditoría Informática Según RAMOSGONZÁLEZ: "La Auditoría Informática comprende la revisión y la evaluación independiente y objetiva, por parte de personas independientes y técnicamente competentes del entorno informático de una entidad, abarcando todas o algunas de sus áreas, los estándares y procedimientos en vigor, su idoneidad y el cumplimiento de éstos, de los objetivos fijados, los contratos y las normas legales aplicables; el grado de satisfacción de usuarios y directivos; los controles existentes y un análisis de los riesgos". Fuente: http://www.monografias.com/trabajos22/auditoria-informatica/auditoria

informatica.shtml La Auditoría Informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. De esta forma la auditoría informática sustenta y confirma la consecución de los objetivos tradicionales de auditoría. El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada. La auditoría Informática abarca diversos controles en su función tales como:  Análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos.  Revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software)

4


La persona que realice auditoria informática debe ser Ingeniero en sistemas con experiencia en:  Desarrollo y explotación de Proyectos informáticos en software y / o hardware.  Conocer las metodologías de desarrollo de software.  Conocimientos en redes y comunicaciones  Conocer metodologías de auditoría informática.

El auditor informático como encargado de la verificación y certificación de la informática dentro de las organizaciones, deberá contar con un perfil que le permita poder desempeñar su trabajo con la calidad y la efectividad esperada. Algunos elementos con que deberá contar:  Conocimientos generales. o

Todo tipo de conocimientos tecnológicos, de forma actualizada y especializada respecto a las plataformas existentes en la organización;

o

Normas estándares para la auditoría interna;

o

Políticas organizacionales sobre la información y las tecnologías de la información.

o

Características de la organización respecto a la ética, estructura organizacional, tipo de supervisión existente, compensaciones monetarias a los empleados, extensión de la presión laboral sobre los empleados, historia de la organización, cambios recientes en la administración, operaciones o sistemas, la industria o ambiente competitivo en la cual se desempeña la organización, etc.

o

Aspectos legales;

 Herramientas. o

Herramientas de control y verificación de la seguridad;

o

Herramientas de monitoreo de actividades, etc.

 Técnicas. o

Técnicas de Evaluación de riesgos;

o

Muestreo;

o

Cálculo pos operación; 5


o

Monitoreo de actividades;

o

Recopilación de grandes cantidades de información;

o

Verificación de desviaciones en el comportamiento de la data;

o

Análisis e interpretación de la evidencia, etc.

Además cabe destacar que deben estar certificados por la ISACA (Information Systems Audit and Control Association) ya que es una asociación de auditoría y control de sistemas de información más reconocidas y avaladas por los estándares internacionales ya que el proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación. Para poder realizar la auditoría se requiere tener instalados en los sistemas informáticos software, que ayudan a identificar y realizar un seguimiento de los programas instalados en sus computadores y redes, entre estos programas podemos mencionar:  Centennial Discovery, herramienta para auditoría y descubrimiento de la red  Gasp, herramienta para el desarrollo de una auditoría de software, hardware y archivos  Novell ZENworks Asset Management, se utiliza para la realización de inventario integrado de bienes, empleo de software y conciliaciones de licencias  EasyVista, herramienta que cubre todos los aspectos de Gestión de la tecnología informática en una solución integrada y modular de toda la web

Para ayudar en el control interno de la empresa, las firmas auditoras han implementado la auditoría interna entre sus servicios, entre éstas están las BIGFOUR:  Deloitte  Pricewaterhouse  Ernest & Young  KPMG

La auditoria informática utiliza diversos software cuyo objetivo principal es hacer un seguimiento del software instalado en las computadoras y redes de las organizaciones o empresas, para ello existen software que son entregados de forma gratuita por BSApara la comunidad, entre los cuales podemos mencionar: 6


 CentennialDiscovery, herramienta para auditoría y descubrimiento de la red 

Gasp, una herramienta para el desarrollo de una auditoría de software, hardware y archivos  Novell ZENworksAsset Management, se utiliza para la realización de inventario integrado de bienes, empleo de software y conciliaciones de licencias  EasyVista, herramienta que cubre todos los aspectos de Gestión de la tecnología informática en una solución integrada y modular de toda la web.

La seguridad informática corresponde a una parte de la informática que se preocupa de proteger la integridad y privacidad de la información almacenada en los sistemasinformáticos. Cabe destacar que la seguridad informática solo se encarga de la seguridad en el medio informático, es decir, se preocupa de proteger la información que este en los sistemas informáticos. La seguridad informática debe garantizar  Disponibilidad de los sistemasde información  La Recuperación rápida y completa de los sistemasde información  La Integridad de la información  La Confidencialidad de la información

Se debe tener claro que no es lo mismo hablar de seguridad informática que de seguridad de la información Seguridad de la información ya que esta última se define como todos los aspectos relacionados con la consecución y el mantenimiento de la confidencialidad, integridad, disponibilidad, auditabilidad (accountability), la autenticidad y fiabilidad Fuente: (ISO/ IECTR 13335-1, 1996, p. 1). Bajo este concepto podremos decir que la seguridad informática solo tiene que ver con el resguardo de la información contenida en los sistemas computacionales a diferencia de la seguridad de la información que corresponde a la protección de toda la información, tanto a nivel informático como en archivos físicos. Por lo anterior la seguridad informática abarca tanto software, base de datos, metadatos, archivos y todo lo que tenga información privilegiada y confidencial que se encuentre almacenada en los sistemas computacionales. Entre los estándares internacionales para auditar los sistemas de información se encuentran:  Directrices Gerenciales de COBIT, desarrollado por la InformationSystemsAudit and Control Association (ISACA)  The Management of the Control of data InformationTechnology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA) 7


 Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de  Contabilidad General de los EstadosUnidos (GAO)  Los estándares de administración de calidad y aseguramiento de calidad  ISO9000, desarrollados por la Organización Internacional de Estándares (ISO).  SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA  El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI)  Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de  Información.  Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de  proyectos.  Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades  (SSE– CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.  Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los EstadosUnidos (GAO)

8


CONCLUSIÓN

La posibilidad de detectar riesgos o errores a través de la auditoría es de vital importancia para lograr los objetivos propuestos y de esta manera obtener evidencia suficiente y necesaria sobre los procesospresentes en una entidad. La auditoría informática como un conjunto de actividades y procedimientos tiene como fin evaluar la planificación, los controles y la eficacia de los mismos es implementada por las empresas para mejorar la productividad tanto de los empleados como de los sistemas que se requieren dentro de la organización. La auditoría informática comprenderá en su evaluación no sólo la revisión de los equipos computacionales, de un sistema y procedimiento específico, sino debe tener alcance sobre todos los sistemas de información dentro de la organización y en cada una de las etapas que estos contengan. La confiabilidad y seguridad de los controles necesarios para que el correcto funcionamiento de los sistemas es parte de la evaluación de la auditoría informática y esto tiene vital importancia en el buen desempeño de los sistemas tanto sea de los centros de información, software y hardware. Para finalizar, cabe destacar que las tecnologías de información es una herramienta fundamental para la obtención de objetivos dentro de una organización, por esto la informática es cada vez más relevante, al ser el proceso a través del cual podemos evaluar la eficiencia y eficacia en el uso de las tecnologías de información en la organización.

9


Ensayo Auditoría Informática