Auditoria Informatica

INTRODUCCIÓN

En este articulo estudiaremos a la una de las ramas de la auditoria ya que esta esta constituida por varias las cuales son las siguientes: Auditoria administrativa, Auditoría fiscal, auditoria informática auditoria de resultados de programas, auditoria de legalidad, auditoria integral, auditoría financiera, auditoría interna, auditoria de operaciones, auditoría externa y auditoría interna.

En este artículo describiremos a la auditoria informática, además revisaremos el método y las técnicas para poder obtener el resultado, siempre y cuando siguiendo los principios establecidos.

AUDITORIA INFORMATICA

La auditoría es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado. Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la auditoría externa de estados financieros que es una auditoría realizada por un profesional experto en contabilidad de los libros y registros contables de una entidad para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables. El origen etimológico de la palabra es el verbo latino “Audire”, que significa “oír”.

La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Auditoria de informática: Es el conjunto de técnicas, actividades y procedimientos, destinados a analizar, evaluar, verificar y recomendar en asuntos relativos a la planificación, control eficacia, seguridad y adecuación del servicio informático en la empresa, por lo que comprende un examen metódico, puntual y discontinuo del servicio informático, con vistas a mejorar en:

• Rentabilidad

• Seguridad

• Eficacia.

Los objetivos de la auditoría Informática son:

* El control de la función informática

* El análisis de la eficiencia de los Sistemas Informáticos

* La verificación del cumplimiento de la Normativa en este ámbito

* La revisión de la eficaz gestión de los recursos informáticos.

La auditoría informática sirve para mejorar ciertas características en la empresa como:

- Eficiencia

- Eficacia

- Rentabilidad

- Seguridad

Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas:

- Gobierno corporativo

- Administración del Ciclo de vida de los sistemas.

- Servicios de Entrega y Soporte

- Protección y Seguridad

- Planes de continuidad y Recuperación de desastres

La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT, ISO, COSO e ITIL.

ÁREAS DE APLICACIÓN DE LA AUDITORIA INFORMÁTICA

Algunos campos de aplicación de la informática son las siguientes:

Investigación científica y humanística: Se usan la las computadoras para la resolución de de cálculos matemáticos, recuentos numéricos, etc. Algunas de estas operaciones:

•Resolución de ecuaciones.

•Análisis de datos de medidas experimentales, encuestas etc.

•Análisis automáticos de textos

Aplicaciones técnicas: Usa la computadora.

Para facilitar diseños de ingeniería y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

•Análisis y diseño de circuitos de computadora.

•Cálculo de estructuras en obras de ingeniería.

•Minería.

•Cartografía.

Documentación e información: Es uno de los campos más importantes para la utilización de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. Ejemplos de este campo de aplicación son:

•Documentación científica y técnica.

•Archivos automatizados de bibliotecas.

•Bases de datos jurídicas.

Gestión administrativa: Automatiza las funciones de gestión típicas de una empresa. Existen programas que realizan las siguientes actividades:

•Contabilidad.

•Facturación.

•Control de existencias.

•Nóminas.

Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo haría una persona inteligente. Aplicaciones como:

•Reconocimiento del lenguaje natural.

•Programas de juego complejos (ajedrez).

Instrumentación y control: Instrumentación electrónica, electro medicina, robots industriales, entre otros.

OTRAS APLICACIONES

Otros campos de aplicación no vistos anteriormente: video-juegos, aplicaciones en el arte, procesamiento de imágenes.

CONTROL INTERNO

Definiciones

El Control Interno Informático puede definirse como el sistema integrado al proceso administrativo, en la planeación, organización, dirección y control de las operaciones con el objeto de asegurar la protección de todos los recursos informáticos y mejorar los índices de economía, eficiencia y efectividad de los procesos operativos automatizados.

El Informe COSO define el Control Interno como “Las normas, los procedimientos, las prácticas y las estructuras organizativas diseñadas para proporcionar seguridad razonable de que los objetivos de la empresa se alcanzarán y que los eventos no deseados se preverán, se detectarán y se corregirán.

También se puede definir el Control Interno como cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos. (Auditoría Informática - Un Enfoque Práctico - Mario G. Plattini) Tipos

En el ambiente informático, el control interno se materializa fundamentalmente en controles de dos tipos:

• Controles manuales; aquellos que son ejecutados por el personal del área usuaria o de informática sin la utilización de herramientas computacionales.

• Controles Automáticos; son generalmente los incorporados en el software, llámense estos de operación, de comunicación, de gestión de base de datos, programas de aplicación, etc.

Los controles según su finalidad se clasifican en:

• Controles Preventivos, para tratar de evitar la producción de errores o hechos fraudulentos, como por ejemplo el software de seguridad que evita el acceso a personal no autorizado.

• Controles Detectivos; trata de descubrir a posteriori errores o fraudes que no haya sido posible evitarlos con controles preventivos.

• Controles Correctivos; tratan de asegurar que se subsanen todos los errores identificados mediante los controles detectivos.

Objetivos principales:

• Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.

Modelos Control Utilizados en Auditoria Informática.

LA AUDITORIA INFORMATICA SE CREA CON EL FIN DE ENCONTRAR FALLOS EN LAS ESTRUCTURALES Y VULNERALBILIDAD EN EL AREA DE INFORMATICA.

PRINCIPIO DE BENEFICIO DE AUDITADO

•El auditor deberá ver como se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y el estudio de las soluciones más idóneas según los problemas detectados en el sistema informático de esta última.

•En ningún caso está justificado que realice su trabajo el prisma del propio beneficio. •Cualquiera actitud que se anteponga intereses personales del auditor a los del auditado deberá considerarse como no ética.

•Para garantizar le beneficio del auditado como la necesaria independencia del auditor, este último deberá evitar estar ligado en cualquier forma, a intereses de determinadas marcas, productos o equipos compatibles con los de su cliente.

•La adaptación del auditor al sistema del auditado debe implicar una cierta simbiosis con el mismo, a fin de adquirir un conocimiento pormenorizado de sus características intrínsecas.

•Únicamente en los casos en el que el auditor dedujese la imposibilidad de que el sistema pudiera acomodarse a las exigencias propias de su cometido, este podrá proponer un cambio cualitativamente significativo de determinados elementos o del propio sistema informático globalmente contemplado.

•Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación a la finalidad para la que ha sido diseñado.

•El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañinas o que generen riesgos

...