LA AUDITORÍA EN INFORMÁTICA, TERMINOLOGÍA Y ENTORNO

AUDITORIA EN INFORMÁTICA

________________________________________

El alumno de la técnica en sistemas desarrolla la habilidad de recoger, agrupar y evaluar evidencias verificando políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información de una organización.

M.E. Martha Elva Reyna Castillo

M.A. José Luis Montemayor González 

INDICE

________________________________________

INTRODUCCION 4

ETAPA I 6

LA AUDITORÍA EN INFORMÁTICA, TERMINOLOGÍA Y ENTORNO 6

1.1 ANTECEDENTES (ISO 17799 Y 27000) 7

1.2 TERMINOLOGIA: INFORMATICA, AUDITORIA Y AUDTORIA EN INFORMATICA 15

1.3 ENTORNO DE LA INFORMATICA 18

ETAPA II 21

ORGANIZACIÓN DE LA AUDITORÍA EN INFORMÁTICA 21

2.1 ESTRATEGIAS PARA IMPLEMENTAR LA FUNCIÓN DE LA AUDITORÍA EN INFORMÁTICA. 22

2.2 ESTRUCTURA ORGANIZACIONAL Y FUNCIONES DE LA AUDITORIA EN INFORMATICA. 23

2.3 ADMINISTRACIÓN DE LA AUDITORÍA EN INFORMÁTICA 27

ETAPA III 30

PLANEACIÓN Y METODOLOGÍA PARA LA IMPLEMENTACIÓN DE LA AUDITORÍA EN INFORMÁTICA 30

3.1 PROCESO DE PLANEACIÓN DEL NEGOCIO 31

3.2 PROCESO DE PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 32

3.3 PROCESO DE LA METODOLOGÍA DE LA AUDITORÍA EN INFORMÁTICA 34

3.4 MÉTODOS, TÉCNICAS Y HERRAMIENTAS POR ÁREA DE REVISIÓN 35

ETAPA IV 43

ETAPAS DE LA AUDITORÍA EN INFORMÁTICA 43

4.1 ETAPA PRELIMINAR O DIAGNÓSTICO 44

4.2 ETAPA DE JUSTIFICACIÓN 46

4.3 ETAPA DE ADECUACIÓN 47

4.4 ETAPA DE FORMALIZACIÓN 49

4.5 ETAPA DE DESARROLLO 51

4.6 IMPLANTACIÓN 53

GUÍA DE APRENDIZAJE 57

PRESENTACIÓN 58

PANORAMA DEL CURSO 59

MODELO DE EVALUACIÓN 60

BIBLIOGRAFIA 71

INTRODUCCION

________________________________________

En tiempos actuales, donde la tecnología es la herramienta básica para la administración de información y controles de procesos de todas las organizaciones, es necesario planificar metodologías mediante las cuales se evalúan y verifican políticas, controles, procedimientos y seguridad en los recursos dedicados al manejo de la información, es decir realizar la auditoría en informática en cada organización. Esta unidad de aprendizaje brindará al bachiller técnico en sistemas computacionales, las herramientas y procedimientos necesarios para hacer la auditoría en informática en cualquier organización.

La unidad de aprendizaje de Auditoría en Informática se ubica en el 6º Semestre del plan de estudios del Técnico en Sistemas Computacionales de la Escuela Industrial y Preparatoria Técnica Pablo Livas y su estudio se divide en 4 etapas que son las siguientes:

Etapa I

La auditoría en informática, terminología y entorno:

I.I Antecedentes ( ISO 17799 y 27000)

I.II Terminología: Informática, Auditoría y Auditoría en Informática

I.III Entorno en la informática

Etapa II

Organización de la Auditoría en Informática:

II.I Estrategias para implementar la función de la auditoría en informática

II.II Estructura organizacional y funciones de la auditoría en informática

II.III Administración de la auditoría en informática

Etapa III

Planeación y metodología para la implementación de la auditoría en informática:

III.I Proceso de planeación del negocio

III.II Proceso de planeación de la auditoría en informática

III.III Proceso de la metodología de la auditoría en informática

III.IV Métodos, técnicas y herramientas por área de revisión

Etapa IV

Etapas de la auditoría en informática:

IV.I Etapa preliminar o diagnóstico de la situación actual

IV.II Etapa de la justificación

IV.III Etapa de la adecuación

IV.IV Etapa de formalización

IV.V Etapa de desarrollo

IV.VI Etapa de Implantación

ETAPA I

________________________________________

LA AUDITORÍA EN INFORMÁTICA, TERMINOLOGÍA Y ENTORNO

1.1 ANTECEDENTES (ISO 17799 Y 27000)

Antecedentes de la Auditoría

La auditoría se ha practicado desde tiempos remotos. El hecho de que los soberanos exigieran el mantenimiento de las cuentas de su residencia por dos escribanos independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. Podemos intuir que la primera auditoría nació desde el momento en que fue necesario rendir cuentas de algún negocio y revisar que éstas fueran correctas; es evidente que dicha función fue evolucionando a la par que el crecimiento de la actividad de registros de operaciones mercantiles.

En los que podría llamarse los días en los que se formó la auditoria, a los estudiantes se les enseñaban que los objetivos primordiales de ésta eran:

La detección y prevención de fraude.

La detección y prevención de errores; sin embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los propósitos actuales son:

El cerciorarse de la condición financiera actual y de las ganancias de una empresa.

La detección y prevención de fraude, siendo éste un objetivo menor.

Este cambio en el objetivo de la auditoria continuó desarrollándose, no sin oposición, hasta aproximadamente 1940. En este tiempo "Existía un cierto grado de acuerdo en que el auditor podía y debería no ocuparse primordialmente de la detección de fraude". El objetivo primordial de una auditoría independiente debe ser la revisión de la posición financiera y de los resultados de operación como se indica en los estados financieros de los clientes, de manera que pueda ofrecerse una opinión sobre la adecuación de estas presentaciones a las partes interesadas.

Paralelamente al crecimiento de la auditoría independiente en los Estados Unidos, se desarrollaba la auditoría interna y del Gobierno, lo que entró a formar parte del campo de la auditoría. A medida que los auditores independientes se apercibieron de la importancia de un buen sistema de control interno y su relación con el alcance de las pruebas a efectuar en una auditoría independiente, se mostraron partidarios del crecimiento de los departamentos de auditoría dentro de las organizaciones de los clientes, que se encargaría del desarrollo y mantenimiento de unos buenos procedimientos del control interno, independientemente del departamento de contabilidad general. Progresivamente, las compañías adoptaron la expansión de las actividades del departamento de auditoría interna hacia áreas que están más allá del alcance de los sistemas contables. En nuestros días, los departamentos de auditoría interna son revisiones de todas las fases de las corporaciones, de las que las operaciones financieras forman parte.

La auditoría gubernamental fue oficialmente reconocida en 1921 cuando el Congreso de los Estados Unidos estableció la Oficina General de contabilidad.

En un principio, la auditoría se consideró como una rama complementaria de la contaduría pública, y sólo se dedicaba a examinar los registros contables y la correcta presentación de los estados financieros de las empresas. Posteriormente, dicha aplicación se extendió a otros campos profesionales para ampliar su revisión; primero a los de carácter administrativo, después a los asociados a otras actividades de la empresa, luego se extendió a las ramas de ingeniería, medicina, sistemas y así sucesivamente, hasta que su práctica alcanzó a casi todas las disciplinas del quehacer humano.

A pesar de la amplia gama de áreas en donde se pueden aplicar auditorías, en cualquiera de ellas se tienen que considerar los mismos principios y fundamentos teóricos y prácticos que le dan vigencia a esta profesión.

Antecedentes de la auditoria en sistemas computacionales.

La tecnología informática (hardware, software, redes, bases de datos, etc.) es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado.

La solución clara es entonces realizar evaluaciones oportunas y completas de la función informática, a cargo de personal calificado, consultores externos, auditores en informática o evaluaciones periódicas realizadas por el mismo personal de informática. Surge entonces la obvia necesidad de auditar la función informática, ya que resulta innegable que la misma se ha convertido en una herramienta permanente y necesaria de los procesos principales de los negocios, en un aliado confiable y oportuno. Esto es posible si se implementan los controles y esquemas de seguridad requeridos para su aprovechamiento óptimo. Una vez que la alta dirección comprenda la importancia de contar con un área independiente que asegure y promueva el buen uso y aprovechamiento de la tecnología de informática, ya puede delegar la responsabilidad en personal altamente capacitado para ejercer la auditoría

...