Auditoria Informatica

Resumen del documento Auditoria informática

Tema 1. Propósito de Auditoria Informática (pág.: 13)

El propósito de la auditoria informática es

• Guardar los bienes de la institución

• Usar datos verdaderos

• Alcanzar los objetivos de la empresa

Visión general de AI. (pág.: 13)

Hace como 40 años todos los procesos que se realizaban con datos eran hechos de forma manual pero hoy en día la mayoría de los proceso los realiza la computadora.

A raíz de estos surgió el problema de mantener el uso de información confiable y verdadera ya que todo el control de la información se dejaba a las computadoras y la mano del hombre intervenía muy poco esto preocupaba a las empresas.

Esto es porque en un sistema manual se conoce el uso de todas las operaciones y el manejo de datos, pero en cambio en un sistema informático el manejo y control que se tiene sobre los datos es menor y esto nos afecta.

Por esta razón se debe considerar:

La implicación y la cuestión.

Implicación: se depende directamente de la informática para efectuar los procesos complejos

Cuestión: quien garantiza que los procesos efectuados de manera informática son correctos

Necesidad de control y AI. (pág.: 14)

Cuando utilizamos la informática para realizar los procesos que requerimos debemos asegurarnos constantemente de que los procesos se realicen de forma correcta.

Con el uso de ordenadores es probable que se produzca un fraude con los datos que este maneja y es por eso que debemos tener mucho cuidado con el uso que le demos.

Es por eso que hay que llevar un control con los medios que controlan los procesos de datos ya que se puede perder o infiltrar información abusando de estos medios.

Coste de la pérdida de datos en las organizaciones. (pág.: 14)

Actualmente la importancia de los datos es una de las principales prioridades y es por eso que se deben aplicar diversas medidas y políticas en las organizaciones para el manejo de la información ya que la empresa depende de la información.

Toma de decisiones incorrectas. (pág.: 14)

Hay que verificar los datos con los que nosotros tomamos nuestras decisiones en la empresa es por eso que se debe confirmar si los datos son verídicos y correctos para cuando haya la necesidad de tomar una decisión mediante esto tengamos la confianza de que esta está basada en información verdadera.

Abuso informático o abuso del ordenador. (pág.: 15)

El abuso informático es cuando existe la pérdida o daño con respecto a la información de manera informática y cuando al mismo tiempo otra persona resulta beneficiada con este acto.

Aunque existen otras dos causas de problemas más importantes:

Errores y omisiones que originan pérdidas y Destrucción de datos ocasionada por desastres naturales (agua, fuego, y fallos de energía)

Debido a esto las empresas se ven forzadas a plantear soluciones para este tipo de abusos ya que por lo general existen más perdidas informáticas que perdidas manuales.

Privacidad de los datos. (pág.: 15)

En la actualidad es mucho más fácil el manejar los datos de forma informática creando las grandes bases de datos, aunque los datos que manejemos son con frecuencia información personal en algunos países incluyendo al nuestro la ley nos protege contra el mal uso y distribución de la información personal, aunque en ocasiones no se esté cien por ciento seguro de que la información nuestra no sea manipulada por alguna persona.

Evolución controlada del uso del ordenador. (pág.: 16)

La tecnología en si no tiene un propósito positivo ni negativo todo depende de quién y para que dese emplearla, además de que el uso de los ordenadores está limitado generalmente por el gobierno o las distintas empresas así como la sociedad para no llegar a reemplazar a una persona.

Definición de AI: Estudio pormenorizado (pág.: 16)

“AI es el proceso de recoger evidencias para determinar si un Sistema Informático (SI)

Salvaguarda los bienes, mantiene la integridad de los datos, alcanza los objetivos de la

Empresa de un modo efectivo y consume los recursos con eficacia.”

Existen dos tipos de auditoria:

La auditoría externa y la auditoria interna.

La externa se centraliza en objetivos de seguridad y los bienes y autenticidad de los datos

Y la interna más que nada se centraliza en que todas las tareas que se efectúan sean con la calidad debida.

Objetivos de salvaguarda de bienes (pág.: 16)

Se considera un bien a toda propiedad física de una empresa tal como el hardware, el inmobiliario etc. Es de suma importancia proteger y salvaguardar todos los bienes de la empresa ya que estos pueden sufrir daños externos ya sea por desastres naturales o amenazas de terceras personas

Objetivos de integridad de datos (pág.: 16)

Para poder proteger la integridad de los datos es necesario establecer ciertas medidas de seguridad siempre y cuando las medidas establecidas sean rentables es decir que no superen la ganancia que se tiene al utilizar esos datos.

Hay que toma en cuenta ciertos factores para determinar el coste de los datos como:

El valor que el dato tenga y el valor para producir ciertas tomas de decisiones sin ambigüedades

Y las veces en que el dato sea utilizado por las personas que toman las decisiones.

Objetivos de efectividad del sistema (pág.: 17)

Para ver si un sistema de proceso de datos es efectivo hay que conocer las características del usuario y el tipo de decisiones que se van a tomar. Para saber si el sistema es adecuado es necesario dejar que funcione por un tiempo y después realizar auditoria para comparar los datos y sabes si se debe mejorar o se queda como esta todo dependiendo e lo que arroje la auditoria.

Objetivos de eficiencia del sistema (pág.: 17)

Un SPD eficiente es el que utiliza el mínimo de recursos (tiempo de máquina,

Periféricos, canales, software de sistemas, mano de obra, etc.) Para alcanzar sus

Objetivos. En cualquier sistema los recursos a veces son escasos y se tienen que compartir es por eso que se determina que un sistema es eficiente cuando no consume demasiados recursos.

Efectos de AI en el Control Interno (pág.: 18)

Los beneficios de la AI solo se alcanzaran si la gerencia realiza un sistema de control interno como:

1. Separación de tareas

2. Delegación clara de autoridad y responsabilidad

3. Contratación y entrenamiento de personal altamente cualificado

4. Supervisión de la gerencia

5. Sistema de autorizaciones

6. Acceso limitado a bienes

7. Comparación de bienes con registros contables

Separación de Tareas (pág. 18)

Para esto se deben tener distintas personas realizando distintas tareas a la vez y establecer controles cruzados. Aunque a veces no siempre se lleva a cabo la separación de tareas en un sistema de proceso de datos ya que existen sistemas que pueden realizar varios procesos a la vez o consecutivamente, también es muy difícil que esto ocurra en un ordenador ordinario ya que cualquier persona puede ejecutar un proceso porque no cuenta con un sistema seguridad y control alto como las maquinas que se utilizan en las empresas.

Acceso a bienes (pág. 19)

Un CPD es un caso único en el que se concentran muchos bienes, y también se puede causar daño a través del software ya que puede ser modificado para uso malintencionado y esto afectaría gravemente a dicho sistema ya que este es uno de los más vulnerables a ataques.

Tipos de controles internos (pág. 19)

Los objetivos de control interno no cambian lo único que cambia es la tecnología que se utilizara para lograr estos objetivos.

Las pistas de Auditoria /Gestión (pág. 19)

Las Pistas de Auditoria proporcionan un registro de todo lo que ocurre en un SPD. Estas pistas, constituidas por Log’s, diarios, etc., no se deben de perder y es necesario

Incluirlas siempre en todas las operaciones que se realizan.

Comparación de bienes con registros contables (pág. 19)

Prácticamente se habla de un inventario o un archivo similar que guarde una lista de los bienes y su comportamiento.

Consecuencias de los errores (pág. 19)

Las consecuencias de los errores en un SPD son casi siempre más graves que las de un

Sistema manual Los errores en sistemas manuales tienden a ocurrir estocásticamente. Cada cierto tiempo alguien se equivoca, mientras que en un SPD los errores tienden a ser determinísticos (un programa erróneo siempre se ejecuta erróneamente), se producen muy deprisa y el coste de corrección es alto.

Bases de AI (pág. 20)

El reconocimiento de la necesidad de AI es debido ha:

•Los auditores comprobaron que los SPD’s cambiaron su capacidad de auditar

Sistemas, ya que no es lo mismo auditar un sistema manual que uno informático.

•La gerencia considera que los ordenadores son recursos valiosos que deben de ser

Controlados como cualquier otro recurso.

Se puede considerar AI como la intersección de cuatro disciplinas: Auditoría

Tradicional, Ciencias del Comportamiento, Gestión de Sistemas de Información e

Informática.

Auditoria Tradicional (pág. 20)

Proporciona conocimientos sobre cómo controlar a las actividades de la empresa. Un SPD tiene componentes manuales

...