3. 1. INTRODUCCION
La Informática hoy, está subsumida en la gestión integral de la
empresa, y por eso las normas y estándares propiamente
informáticos deben estar; por lo tanto, sometidos a los generales
de la misma.
Las organizaciones informáticas forman parte de lo que se ha
denominado el "management“ o gestión de la empresa. debido a
su importancia en el funcionamiento de una empresa, existe la
Auditoria Informática.
La palabra auditoría proviene del latín auditorius, y de esta
proviene la palabra auditor, que se refiere a todo aquel que tiene
la virtud de oír.
Ing. Gladys Ormachea Mejía
4. Conceptos de Auditoría Informática
Es un examen que se realiza con carácter objetivo, crítico,
sistemático y selectivo con el fin de evaluar la eficacia y eficiencia
del uso adecuado de los recursos informáticos, de la gestión
informática y si estas han brindado el soporte adecuado a los
objetivos y metas del negocio.
Ing. Gladys Ormachea Mejía
5. Conceptos de Auditoría Informática
La Auditoria de Tecnología de Información(T.I.) como se le conoce
actualmente, (Auditoria informática o Auditoria de sistemas en
nuestro medio), se ha consolidado en el mundo entero como cuerpo
de conocimientos cierto y consistente, respondiendo a la acelerada
evolución de la tecnología informática de los últimos años.
La INFORMACIÓN es considerada un activo tan o más importante
que cualquier otro en una organización.
Ing. Gladys Ormachea Mejía
6. Conceptos de Auditoría Informática
Existe pues, un cuerpo de conocimientos, normas, técnicas y
buenas practicas dedicadas a la evaluación y aseguramiento de la
calidad, seguridad, razonabilidad, y disponibilidad de la
INFORMACION tratada y almacenada a través del computador y
equipos afines, así como de la eficiencia, eficacia y economía con
que la administración de un ente está manejando dicha
INFORMACION y todos los recursos físicos y humanos asociados
para su adquisición, captura, procesamiento, transmisión,
distribución, uso y almacenamiento. Todo lo anterior con el objetivo
de emitir una opinión o juicio, para lo cual se aplican técnicas de
auditoria de general aceptación y conocimiento técnico específico.
Ing. Gladys Ormachea Mejía
7. Objetivos de la Auditoria Informática
La Auditoría Informática deberá comprender no sólo la evaluación de
los equipos de cómputo, de un sistema o procedimiento específico,
sino que además habrá de evaluar los sistemas de información en
general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
Ing. Gladys Ormachea Mejía
8. Objetivos de la Auditoria Informática
Esta es de vital importancia para el buen desempeño de los
sistemas de información, y a que proporción a los controles
necesarios para que los sistemas sean confiables y con un buen
nivel de seguridad. Además debe evaluar todo: informática,
organización de centros de información, hardware y software.
Ing. Gladys Ormachea Mejía
9. Alcance de la Auditoría Informática
El alcance ha de definir con precisión el entorno y los límites en que
va a desarrollarse la auditoria informática, se complementa con los
objetivos de ésta.
El alcance ha de figurar expresamente en el Informe Final, de modo
que quede perfectamente determinado no solamente hasta que
puntos se ha llegado, si no cuales materias fronterizas han sido
omitidas.
Ing. Gladys Ormachea Mejía
10. Alcance de la Auditoría Informática
Ejemplo: ¿Se someterán los registros grabados a un control de
integridad exhaustivo?
¿Se comprobará que los controles de validación de errores son
adecuados y suficientes?
La definición de los alcances de la auditoria compromete el éxito de la
misma.
Ing. Gladys Ormachea Mejía
11. Características de la Auditoría
Informática
La información de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma, como
sus Stocks o materias primas si las hay. Por ende, han de realizarse
inversiones informáticas, materia de la que se ocupa la Auditoria de
Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de
modo global y particular: a ello se debe la existencia de la Auditoría
de Seguridad Informática en general, o a la auditoría de Seguridad
de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de
Sistemas.
Ing. Gladys Ormachea Mejía
12. Características de la Auditoría
Informática
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de la
Auditoría de Organización Informática.
•Estos tres tipos de auditorías engloban a las actividades auditoras
que se realizan en una auditoría parcial. De otra manera: cuando se
realiza una auditoria del área de Desarrollo de Proyectos de la
Informática de una empresa, es por que en ese Desarrollo existen,
además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Ing. Gladys Ormachea Mejía
13. Tipos y clases de Auditorías
El control del funcionamiento del departamento de informática con el
exterior, con el usuario se realiza por medio de la Dirección. Su
figura es importante, en tanto en cuanto es capaz de interpretar las
necesidades de la Compañía. Una informática eficiente y eficaz
requiere el apoyo continuado de su Dirección frente al “exterior”.
Revisar estas interrelaciones constituye el objeto de la Auditoría
Informática de Dirección.
Ing. Gladys Ormachea Mejía
14. Tipos y clases de Auditorías
Estas tres auditorías, mas la auditoría de Seguridad, son las cuatro
Áreas Generales de la Auditoría Informática más importantes.
Dentro de las áreas generales, se establecen las siguientes
divisiones de Auditoría Informática:
I.
II.
III.
IV.
De Explotación,
De Sistemas,
De Comunicaciones y
De Desarrollo de Proyectos.
Estas son las Áreas Especificas de la Auditoría Informática más
importantes.
Ing. Gladys Ormachea Mejía
15. I. Auditoria Informática de Explotación
La Explotación Informática se ocupa de producir resultados
informáticos de todo tipo: listadosimpresos, ficheros soportados
magnéticamente para otros informáticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc.
La explotación informática se puede considerar como una fabrica
con ciertas peculiaridades que la distinguen de las reales. Para
realizar la Explotación Informática se dispone de una materia prima,
los Datos, que es necesario transformar, y que se someten
previamente a controles de integridad y calidad.
Ing. Gladys Ormachea Mejía
16. II. Auditoría Informática de Sistemas
Se ocupa de analizar la actividad que se conoce como Técnica de
Sistemas en todas sus facetas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe
verificarse en primer lugar que los Sistemas están actualizados con
las últimas versiones del fabricante, indagando las causas de las
omisiones si las hubiera.
Software Básico:
Es fundamental para el auditor conocer los productos de software
básico que han sido facturados aparte de la propia computadora. En
cuanto al Software desarrollado por el personal informático de la
empresa, el auditor debe verificar que éste no agreda ni condiciona
al Sistema.
Ing. Gladys Ormachea Mejía
17. II. Auditoría Informática de Sistemas
Software de Teleproceso (Tiempo Real)
No se incluye en Software Básico por su especialidad e importancia.
Tunning:
Es el conjunto de técnicas de observación y de medidas en
caminadas a la evaluación del comportamiento de los Subsistemas y
del Sistema en su conjunto.
Ing. Gladys Ormachea Mejía
18. II. Auditoría Informática de Sistemas
Administración de Base de Datos:
El diseño de las Bases de Datos, sean relaciones o jerárquicas, se
ha convertido en una actividad muy compleja y sofisticada. La
administración tendría que estar a cargo de Explotación. El auditor
de Base de Datos debería asegurarse que Explotación conoce
suficientemente las que son accedidas por los Procedimientos que
la ejecuta. Analizará los Sistemas de salvaguarda existentes, que
competen igualmente a Explotación. Revisará finalmente la
integridad y consistencia de los datos, así como la ausencia de
redundancias entre ellos.
Ing. Gladys Ormachea Mejía
19. III. Auditoría Informática de
Comunicaciones y Redes:
Revisión de la topología de Red y determinación de posibles
mejoras, análisis de caudales y grados de utilización.
Ing. Gladys Ormachea Mejía
20. IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones
Revisión del proceso completo de desarrollo de proyectos por parte
de la empresa auditada.
El análisis se basa en cuatro aspectos fundamentales:
Ing. Gladys Ormachea Mejía
21. IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones
Revisión de las metodologías utilizadas:
Se analizaran éstas, de modo que se asegure la modularidad de las
posibles futuras ampliaciones de la Aplicación y el fácil
mantenimiento de las mismas.
Ing. Gladys Ormachea Mejía
22. IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones
•Control Interno de las Aplicaciones:
Se deberán revisar las mismas fases que presuntamente han debido
seguir el área correspondiente de Desarrollo:
•Estudio de Vialidad de la Aplicación
•Definición Lógica de la Aplicación.
•Desarrollo Técnico de la Aplicación.
•Diseño de Programas.
•Métodos de Pruebas.
•Documentación.
•Equipo de Programación
Ing. Gladys Ormachea Mejía
23. IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones
Satisfacción de usuarios:
Una Aplicación técnicamente eficiente y bien desarrollada, deberá
considerarse fracasada sino sirve a los intereses del usuario que la
solicitó. La aquiescencia del usuario proporciona grandes ventajas
posteriores, y a que evitará reprogramaciones y disminuirá el
mantenimiento de la Aplicación
Ing. Gladys Ormachea Mejía
24. IV. Auditoría Informática de Desarrollo
de Proyectos o Aplicaciones
Control de Procesos y Ejecuciones de Programas Críticos: Se
ha de comprobar la correspondencia biunívoca y exclusiva entre el
programa codificado y su compilación. Si los programas fuente y los
programa módulo no coincidieran podría provocar graves y altos
costos de mantenimiento, hasta fraudes, pasando por acciones de
sabotaje, espionaje industrial informativo, etc.
Ing. Gladys Ormachea Mejía
25. Herramientas y Técnicas para la
Auditoría Informática
Cuestionarios
Conjunto de preguntas a las que el sujeto puede responder
oralmente o por escrito, cuyo fin es poner en evidencia
determinados aspectos.
Características:
Las auditorías informáticas se materializan recabando información
y documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de
campo del auditor consiste en lograr toda la información necesaria
para la emisión de un juicio global objetivo, siempre amparado en
hechos demostrables, llamados también evidencias.
Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para cada
situación, y muy cuidados en su fondo y su forma.
Ing. Gladys Ormachea Mejía
26. Herramientas y Técnicas para la
Auditoría Informática
Entrevistas:
La entrevista es una de las actividades personales más
importante del auditor; en ellas, éste recoge más información, y
mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a
cuestionarios. El auditor informático experto entrevista al
auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una
conversación correcta y lo menos tensa posible, el auditado
conteste sencillamente y con pulcritud a una serie de preguntas
variadas, también sencillas. Sin embargo, esta sencillez es solo
aparente.
Ing. Gladys Ormachea Mejía
27. Herramientas y Técnicas para la
Auditoría Informática
Checklist
El auditor profesional y experto es aquél
que reelabora muchas veces sus
cuestionarios en función de los escenarios
auditados. Tiene claro lo que necesita
saber, y porqué. Sus cuestionarios son
vitales para el trabajo de análisis,
cruzamiento y síntesis posterior, lo cual no
quiere decir que haya de someter al
auditado a unas preguntas estereotipadas
que no conducen a nada. Muy por el
contrario, el auditor conversará y hará
preguntas “normales”, que en realidad
servirán
para
la
cumplimentación
sistemática de sus Cuestionarios, de sus
Checklists.
Ing. Gladys Ormachea Mejía
28. Herramientas y Técnicas para la
Auditoría Informática
Trazas y/o Huellas:
Con frecuencia, el auditor informático debe verificar que los
programas, tanto de los Sistemas como de usuario, realizan
exactamente las funciones previstas, y no otras. Para ello se apoya
en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a través del
programa. Las trazas se utilizan para comprobar la ejecución de las
validaciones de datos previstas. Las mencionadas trazas no deben
modificar en absoluto el Sistema.
Ing. Gladys Ormachea Mejía
29. 2. Riesgos para la información
Existen dos palabras muy importantes que son
riesgo y seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas
que pueden ocurrir sin previo aviso y producir
numerosas pérdidas para las empresas.
Seguridad: Es una forma de protección contra los
riesgos
Los riesgos mas perjudiciales son a las tecnologías
de información y comunicaciones.
Ing. Gladys Ormachea Mejía
30. Riesgos para la información
Se entiende por seguridad de la información a todas
aquellas medidas preventivas y reactivas del hombre, de
las organizaciones y de los sistemas tecnológicos que
permitan resguardar y proteger la información buscando
mantener la confidencialidad, la autenticidad y la
Integridad de la misma.
El concepto de seguridad de la información no debe ser
confundido con el de seguridad informática, y a que este
último sólo se encarga de la seguridad en el medio
informático, pudiendo encontrar información en
diferentes medios o formas.
Ing. Gladys Ormachea Mejía
31. Riesgos para la información
Para el hombre como individuo, la seguridad de la
información tiene un efecto significativo respecto a su
privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
•El campo de la seguridad de la información ha crecido
y evolucionado considerablemente a partir de la
Segunda Guerra Mundial, convirtiéndose en una
carrera acreditada a nivel mundial.
Ing. Gladys Ormachea Mejía
32. Riesgos para la información
Importancia de la Información
Se suele pasar por alto la base que hace posible la existencia
de los anteriores elementos, “Esta base es la información”.
La información:
Esta almacenada y procesada en computadoras.
Puede ser confidencial para algunas personas o a escala
institucional.
Puede ser mal utilizada o divulgada.
Puede estar sujeta a robos, sabotaje o fraudes
Ing. Gladys Ormachea Mejía
33. Riesgos para la información
En la actualidad gracias a la infinidad de posibilidades que se tiene
para tener acceso a los recursos de manera remota y al gran
incremento en las conexiones a la internet los delitos en el ámbito de
TI se han visto incrementado, bajo estas circunstancias los riesgos
informáticos son más latentes.
•Fraudes.
•Falsificación.
•Venta de información.
•Destrucción de la información.
Ing. Gladys Ormachea Mejía
34. Riesgos para la información
Principales atacantes
HACKER
CRACKER
LAMMER
COPYHACKER
BUCANEROS
PHREAKER
NEWBIE
SCRIPT KIDDIE (“Skid kiddie”)
Ing. Gladys Ormachea Mejía
35. El manejo de riesgos dentro de la
seguridad en la información
Evitar
No se permite ningún tipo de exposición. Esto se logra simplemente
con no comprometerse a realizar la acción que origine el riesgo.
Esta técnica tiene más desventajas que ventajas, ya que la empresa
podría abstenerse de aprovechar muchas oportunidades.
Reducir
Cuando el riesgo no puede evitarse por tener varias dificultades de
tipo operacional, la alternativa puede ser su reducción hasta el nivel
más bajo posible. Esta opción es la más económica y sencilla. Se
consigue optimizando los procedimientos, la implementación
controles y su monitoreo constante.
Ing. Gladys Ormachea Mejía
36. El manejo de riesgos dentro de la
seguridad en la información
Retener, Asumir o Aceptar el riesgo.
•Aceptar las consecuencias de la ocurrencia del evento.
•Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el
reconocimiento de la existencia del riesgo y el acuerdo de asumirlas
perdidas involucradas, esta decisión se da por falta de alternativas.
•La retención involuntaria
inconscientemente.
se
da
cuando
el
riesgo
es
retenido
•Transferir.
•Es buscar un respaldo y compartir el riesgo con otros controles o
entidades. Esta técnica se usa ya sea para eliminar un riego de un lugar y
transferirlo a otro, ó para minimizar el mismo, compartiéndolo con otras
entidades
Ing. Gladys Ormachea Mejía
37. RIESGOS EN EL CENTRO DE CÓMPUTO
• Factores físicos.
• Factores ambientales
• Factores humanos
Ing. Gladys Ormachea Mejía
38. Factores físicos.
• Cableado.
• La iluminación
• El aire de renovación o ventilación
• Las fuentes de alimentación.
Ing. Gladys Ormachea Mejía
40. Factores humanos
• Robos.
• Actos vandálicos.
• Actos vandálicos contra el sistema de red
• Fraude.
• Sabotaje.
• Terrorismo.
Ing. Gladys Ormachea Mejía
42. Riesgo
Es la probabilidad de que suceda un evento, impacto o
consecuencia adversos. Se entiende también como la medida de la
posibilidad y magnitud de los impactos adversos, siendo la
consecuencia del peligro, y está en relación con la frecuencia con
que se presente el evento.
Ing. Gladys Ormachea Mejía
43. Evidencia
El auditor obtendrá la certeza suficiente y apropiada a través de la
ejecución de sus comprobaciones de procedimientos para permitirle
emitir las conclusiones sobre las que fundamentar su opinión acerca
del estado del sistema Informático.
Ing. Gladys Ormachea Mejía
44. Evidencia
La fiabilidad de la evidencia está en relación con la fuente de la que
se obtenga interna y externa, y con su naturaleza, es decir, visual,
documental y oral.
Ing. Gladys Ormachea Mejía
45. Evidencia
La Evidencia es la base razonable de la opinión del auditor
informático, es decir el informe de Auditoria Informática.
Ing. Gladys Ormachea Mejía
46. Puntos para evaluar la fiabilidad de la
evidencia
1. La evidencia externa es más fiable que la interna.
2. La evidencia interna es más fiable cuando los controles internos
relacionados con ellos son satisfactorios.
3. La evidencia obtenida por el propio auditor es más fiable que la obtenida por
la empresa.
4. La evidencia en forma de documentos y manifestaciones escritas es más
fiable que la procedente de declaraciones orales.
5. El auditor puede ver aumentada su seguridad como la evidencia obtenida
de diferentes fuentes.
6. Debe existir una razonable relación entre el costo de obtener una evidencia
y la utilidad de la información que suministra.
Ing. Gladys Ormachea Mejía
47. Puntos para evaluar la fiabilidad de la
evidencia
La Evidencia tiene una serie de calificativos a saber:
La Evidencia Relevante, que tiene una relación lógica con los
objetivos de la auditoria.
La Evidencia Fiable, que es valida y objetiva aunque, con nivel de
confianza.
La Evidencia Suficiente, que es de tipo cuantitativo para soportar la
opinión profesional del auditor.
La Evidencia Adecuada, que es de tipo cualitativo para afectar las
conclusiones del auditor.
Ing. Gladys Ormachea Mejía
48. Métodos para la evidencia de auditoría
La Inspección: consiste en la
revisión de la coherencia y
concordancia de los registros, así
como en el examen de los
documentos y activos tangibles.
La observación: consiste en ver la
ejecución de un proceso o
procedimiento efectuado por otros.
Las
preguntas:
obtienen
información apropiada de las
personas de dentro y fuera de la
entidad.
Las confirmaciones: mediante
ellas se obtiene corroboración,
normalmente por escrito, de una
información contenida en los
registros
Ing. Gladys Ormachea Mejía
49. Métodos para la evidencia de auditoría
Los cálculos: comprueban la exactitud aritmética de los registros y
de los cálculos y análisis realizados por la entidad o en la realización
de cálculos independientes.
En principio, las pruebas son de cumplimiento o sustantivas.
Ing. Gladys Ormachea Mejía
50. 3. CONTROL INTERNO
Control Interno como cualquier actividad o acción realizada manual
y/o automáticamente para prevenir, corregir errores oir
iregularidades que puedan afectar al funcionamiento de un sistema
para conseguir sus objetivos. (AuditoríaInformática-Un Enfoque
Práctico-MarioG.Plattini)
Ing. Gladys Ormachea Mejía
51. Control interno
El Informe COSO define el Control Interno como “Las normas, los
procedimientos, las prácticas y las estructuras organizativas
diseñadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarán y que los eventos no
deseados se preverán, se detectarán y se corregirán.
Ing. Gladys Ormachea Mejía
52. Control interno
En el ambiente informático, el control interno se materializa
fundamentalmente en controles de dos tipos:
•Controles manuales: aquellos que son ejecutados por el personal
del área usuaria o de informáticas en la utilización de herramientas
computacionales.
•Controles Automáticos: son generalmente los incorporados en el
software, llámense estos de operación, de comunicación, de gestión
de base de datos, programas de aplicación, etc.
Ing. Gladys Ormachea Mejía
53. Componentes del Control Interno
Entorno de control
Evaluación de riesgos
Actividades de control
Información y comunicación
Supervisión
Ing. Gladys Ormachea Mejía
54. Actividades de Control
Son las políticas y procedimientos que ayudan a asegurar que se
toman las medidas para limitar los riesgos que pueden afectar que
se alcancen los objetivos organizacionales.
Ing. Gladys Ormachea Mejía
55. Información y Comunicación
Se debe identificar, ordenar y comunicar en forma oportuna la
información necesaria para que los empleados puedan cumplir con
sus obligaciones.
La información puede ser operativa o financiera, de origen interno o
externo.
Deben existir adecuados canales de comunicación.
El personal debe ser informado de la importancia de que participe en
el esfuerzo de aplicar el control interno.
Ing. Gladys Ormachea Mejía
56. Supervisión
Debe existir un proceso que
compruebe que el sistema de
control interno se mantiene en
funcionamiento a través del tiempo.
La
misma
tiene
tareas
permanentes
y
revisiones
periódicas.
Estas
últimas
dependerán en cuanto a su
frecuencia de la evaluación de la
importancia de los riesgos en
juego.
Ing. Gladys Ormachea Mejía
57. El Control Interno Informático
Sistema integrado al proceso
administrativo, en la planeación,
organización, dirección y control de
las operaciones con el objeto de
asegurar la protección de todos los
recursos informáticos y mejorar los
índices de economía, eficiencia y
efectividad
de
los
procesos
operativos automatizados. (Auditoría
Informática-Aplicaciones
en
Producción-José Dagoberto Pinilla)
Ing. Gladys Ormachea Mejía
58. Control Interno Informático
El control interno informático controla diariamente que todas las
actividades de sistemas de información sean realizadas cumpliendo
los procedimientos, estándares y normas fijados por la dirección de
la organización y/o dirección de informática, así como los
requerimientos legales.
Ing. Gladys Ormachea Mejía
59. Control Interno Informático
La misión del Control Interno Informático es asegurarse de que las
medidas que se obtienen de los mecanismos implantados por cada
responsable sean correctas y validas.
Ing. Gladys Ormachea Mejía
60. Principales Objetivos
• Controlar que todas las actividades se
realizan cumpliendo los procedimientos
y normas fijados, evaluar su bondad y
asegurarse del cumplimiento de las
normas legales.
• Asesorar sobre el conocimiento de las
normas
• Colaborar y apoyar el trabajo de
Auditoría Informática interna/externa.
•
Definir,
implantar
y
ejecutar
mecanismos
y
controles
para
comprobar el logro de los grados
adecuados del servicio informático.
Ing. Gladys Ormachea Mejía
61. Funciones específicas
• Difundir y controlar el cumplimiento de las normas, estándares y
procedimientos al personal de programadores, técnicos y
operadores.
• Diseñar la estructura del Sistema de Control Interno de la Dirección
de Informática en los siguientes aspectos:
• Desarrollo y mantenimiento del software de aplicación.
• Explotación de servidores principales
• Software de Base
• Redes de Computación
• Seguridad Informática
• Licencias de software
• Cultura de riesgo informático en la organización
• Control interno informático (áreas de aplicación)
Ing. Gladys Ormachea Mejía
62. Clasificación de los controles internos
informáticos
Controles Preventivos: Sirve para tratar de
evitar un evento no deseado de todas las áreas
de departamento como son: Equipo de
cómputo, sistemas, telecomunicaciones.
Ejemplo: contar con un software de seguridad
que impida los accesos no autorizados al
sistema.
Controles Detectivos: trata de descubrir a
posteriori errores o fraudes que no haya sido
posible evitar los con controles preventivos.
Ejemplo (registros de intentos de acceso no
autorizados, el registro de la actividad diaria
para detectar errores u omisiones).
Ing. Gladys Ormachea Mejía
63. Clasificación de los controles internos
informáticos
Controles Correctivos: Tratan de asegurar que se subsanen todos
los errores identificados, mediante los controles preventivos; es decir
facilitan la vuelta a la normalidad ante una incidencia. Es un plan de
contingencia.
Ejemplo: Backup supondría un control correctivo.
Ing. Gladys Ormachea Mejía
64. Sistema de control interno
Es el conjunto de todos los elementos en donde lo principal son las
personas, los sistemas de información, la supervisión y los
procedimientos.
Ing. Gladys Ormachea Mejía
65. Sistema de control interno
Este es de vital importancia, y a que promueve la eficiencia, asegura
la efectividad, previene que se violen las normas y los principios de
general aceptación.
Los directivos de las organizaciones deben crear un ambiente de
control, un conjunto de procedimientos de control directo y las
limitaciones del control interno.
Ing. Gladys Ormachea Mejía
66. Sistema de control interno
Los controles pueden implantarse a varios
niveles diferentes. La evaluación de los
controles de la Tecnología de la Información
exige
analizar
diversos
elementos
interdependientes. Por ello es importante llegar
a conocer bien la configuración del sistema, con
el objeto de identificar los elementos, productos
y herramientas que existen para saber dónde
pueden implantarse los controles. Así como para
identificar posibles riesgos.
Ing. Gladys Ormachea Mejía
67. 4.EL AUDITOR
Se llama auditor/a a la persona
capacitada y experimentada que se
designa por una autoridad competente o
por una empresa de consultoría, para
revisar, examinar y evaluar con coherencia
los resultados de la gestión de una
dependencia (institución gubernamental) o
entidad (empresa o sociedad) con el
propósito de informar o dictaminar acerca
de ellas, realizando las observaciones y
recomendaciones pertinentes.
El auditor informático ha de velar por la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de
un eficiente y eficaz sistema de Información.
Ing. Gladys Ormachea Mejía
68. Auditor interno/externo informático
Ha de revisar los diferentes controles
internos definidos en cada una de las
funciones informáticas y el cumplimiento de
normativa interna y externa, de acuerdo al
nivel de riesgo, conforme a los objetivos
definidos por la Dirección de Negocio y la
Dirección de Informática. Informará a la Alta
Dirección de los hechos observados y al
detectarse deficiencias o ausencias de
controles recomendarán acciones que
minimicen los riesgos que pueden
originarse.
Ing. Gladys Ormachea Mejía
69. El Nuevo Auditor Líder ISO 20000
La norma ISO/IEC 20000 es el
estándar
reconocido
internacionalmente en gestión de
servicios de Tecnologías de la
Información (TI). Hoy en día, existe
generalmente la percepción de que
los servicios de TI no están
alineados con las necesidades y
requisitos del negocio.
Una manera de demostrar que los
servicios de TI están cumpliendo con
las necesidades del negocio es
implantar un Sistema de Gestión de
Servicios de TI (SGSTI) basado en los
requisitos de la norma ISO/IEC 20000.
Ing. Gladys Ormachea Mejía
70. Papel Del Auditor Informático
Si se entiende que la auditoria informática comprende las tareas de
evaluar, analizar los procesos informáticos, el papel de auditor debe
estar encaminado hacia la búsqueda de problemas existentes dentro
de los sistemas utilizados, y a la vez proponer soluciones para estos
problemas.
Ing. Gladys Ormachea Mejía
71. Papel Del Auditor Informático
El auditor Informático debe estar capacitado en los siguientes
aspectos:
Deberá ver cuando se puede conseguir la máxima eficacia y
rentabilidad de los medios informáticos de la empresa auditada,
estando obligado a presentar recomendaciones acerca del
reforzamiento del sistema y del estudio de las soluciones mas
idóneas, según los problemas detectados en el sistema
informático, siempre y cuando las soluciones que se adopten no
violen la ley ni los principios éticos.
Ing. Gladys Ormachea Mejía
72. Papel Del Auditor Informático
Una vez estudiado el sistema informático a
auditar, el auditor deberá establecer los
requisitos mínimos, aconsejables y óptimos
para su adecuación con la finalidad de que
cumpla para lo que fue diseñado,
determinando
en
cada
clase
su
adaptabilidad, su fiabilidad, limitaciones,
posibles mejoras, costos.
El auditor deberá lógicamente abstenerse
de
recomendar
actuaciones
innecesariamente onerosas, dañina, o que
genere riesgo in justificativo para el auditado
e igualmente de proponer modificaciones
carentes
de
bases
científicas
insuficientemente
probadas
o
de
imprevisible futuro.
Ing. Gladys Ormachea Mejía
73. Papel Del Auditor Informático
El auditor al igual que otros profesionales pueden incidir en la
toma de decisiones en la mayoría de sus clientes con un
elevado grado de autonomía, dado la dificultad práctica de los
mismos, de constatar su capacidad profesional y en
desequilibrio de desconocimientos técnicos existente entre al
auditor y los auditados (Puede pesar gravemente).
El auditor deberá prestar sus servicios de acuerdo a las
posibilidades de la ciencia y a los medios a su alcance con
absoluta libertad, respecto a la utilización de dichos medios y
en unas condiciones técnicas adecuadas para el idóneo
cumplimiento de su labor. En los casos en que precariedad de
los medios puestos a su disposición, impidan o dificulten
seriamente la realización de la auditoria deberá negarse a
realizar hasta que se le garantice un mínimo de condiciones
técnicas que no comprometan la calidad de sus servicios o
dictámenes.
Ing. Gladys Ormachea Mejía
74. Papel Del Auditor Informático
El auditor tanto en sus relaciones con el auditado como con
terceras personas deberá en todo momento, deberá actuar
conforme a las normas implícitas o explícitas de dignidad de la
profesión y de corrección en el trato personal.
El auditor deberá facilitar e incrementar la confianza de auditado
en base a una actuación de transparencia, en su actividad
profesional sin alardes científico- técnico, que, por su
incomprensión, pueden restar credibilidad a los resultados
obtenidos y a las directrices aconsejadas.
Ing. Gladys Ormachea Mejía
75. Características del Auditor Informático
1) Se deben poseer una mezcla de conocimientos de auditoría
financiera y de informática en general. En el área informática, se
debe tener conocimientos básicos de:
Desarrollo de SI,
Sistemas operativos,
Telecomunicaciones,
Administración de Bases de Datos,
Redes locales,
Seguridad física,
Administración de Datos,
Automatización de oficinas (ofimática),
Comercio electrónico, de datos, etc.
2) Especialización en función de la importancia económica que
tienen distintos componentes financieros dentro del entorno
empresarial.
Ing. Gladys Ormachea Mejía
76. Características del Auditor Informático
3) Debe conocer técnicas de administración de empresas y de
cambio, ya que las recomendaciones y soluciones que aporte deben
estar alineadas a los objetivos de la empresa y a los recursos que se
poseen.
4) Debe tener un enfoque de Calidad Total, lo cual hará que sus
conclusiones y trabajo sean reconocidos como un elemento valioso
dentro de la empresa y que los resultados sean aceptados en su
totalidad.
Ing. Gladys Ormachea Mejía
77. Responsabilidad del Auditor Informático
1. Verificación del control interno tanto de las aplicaciones como de
los SI, periféricos, etc.
2. Análisis de la administración de Sistemas de Información, desde
un punto de vista de riesgo de seguridad, administración y
efectividad de la administración.
3. Análisis de la integridad, fiabilidad y certeza de la información a
través del análisis de aplicaciones.
4. Auditoría del riesgo operativo de los circuitos de información
5. Análisis de la administración de los riesgos de la información y de
la seguridad implícita.
Ing. Gladys Ormachea Mejía
78. Responsabilidad del Auditor Informático
6. Verificación del nivel de continuidad de las operaciones.
7. Análisis del Estado del Arte tecnológico de la instalación revisada
y las consecuencias empresariales que un desfase tecnológico
puede acarrear.
8. Diagnóstico del grado de cobertura que dan las aplicaciones a las
necesidades estratégicas y operativas de información de la empresa
9. También el auditor informático es responsable de establecer
los objetivos de control que reduzcan o eliminen la exposición al
riesgo de control interno.
Ing. Gladys Ormachea Mejía
79. Principios básicos del auditor informático
Principio de beneficio del auditado
El auditor deberá conseguir la máxima eficiencia y rentabilidad de
los medios informáticos de la empresa auditada.
El auditor deberá evitar estar ligado a determinados intereses.
Principio de calidad
El auditor deberá prestar servicios con los medios a su alcance.
Libertad de utilización de los mismos.
Condiciones técnicas adecuadas.
Principio de capacidad
El auditor debe estar plenamente capacitado para la realización de
la auditoría encomendada.
Debe ser plenamente consciente del alcance de sus conocimientos
y de su capacidad y aptitud para desarrollar la auditoría
(sobreestima o subestima).
Ing. Gladys Ormachea Mejía
80. Principios básicos del auditor informático
Principio de cautela:
El auditor debe evitar que el auditado se embarque en proyectos de
futuro fundamentados en intuiciones sobre la evolución de las
nuevas tecnología de la información.
Principio de comportamiento profesional
Exige al auditor una seguridad en sus conocimientos técnicos y una
clara percepción de sus carencias (acudiendo a expertos si
necesario) dejando constancia de esa circunstancia y reflejando en
forma diferenciada, en sus informes y dictámenes, las opiniones y
conclusiones propias y las emitidas por los mismo.
Debe guardar un escrupuloso respeto por la política de la empresa
que audita.
Ing. Gladys Ormachea Mejía
81. Principios básicos del auditor informático
Principio de concentración en el trabajo
El auditor deberá evitar que un exceso de trabajo supere sus
posibilidades de concentración y precisión en cada una de las tareas
Nunca copiar conclusiones de otros informes de auditorías pasadas
por la acumulación de trabajo
Principio de confianza:
El auditor deberá facilitar e incrementar la confianza del auditado en
base a una actuación de transparencia en su actividad profesional
Principio de criterio propio:
El auditor deberá actuar con criterio propio y no permitir que este
este subordinado al de otros profesionales
Principio de discreción:
El auditor deberá mantener una cierta discreción en la divulgación
de datos
Ing. Gladys Ormachea Mejía
82. Principios básicos del auditor informático
Principio de economía:
El auditor deberá proteger los derechos económicos del auditado
evitando generar gastos innecesarios
Principio de formación continuada:
Impone al auditor la obligación de estar en contíınua formación.
Principio de fortalecimiento y respeto a la profesión
Los auditores han de cuidar del valor de trabajo realizado y de las
conclusiones obtenidas
Principio de independencia
El auditor debe exigir una total autónoma e independencia en su
trabajo.
Ing. Gladys Ormachea Mejía
83. Principios básicos del auditor informático
Principio de información suficiente:
Obliga al auditor aportar en forma clara, precisa e inteligible para el
auditado la información
Principio de integridad moral
Obliga al auditor a ser honesto, leal y diligente en el desempeño de
su misión, a ajustarse a las normas morales, de justicia y probidad, y
a evitar participar en actos de corrupción personal o a terceras
personas.
Principio de legalidad
El auditor deberá evitar utilizar sus conocimientos para facilitar, a los
auditados o a terceras personas, la contravención de la legalidad
vigente
Principio de libre competencia
Exige que el ejercicio de la profesión se realice en el marco de la
libre competencia.
Ing. Gladys Ormachea Mejía
84. Principios básicos del auditor informático
Principio de no discriminación
El auditor en su actuación antes, durante y después de la auditoría,
deberá evitar inducir, participar o aceptar situaciones discriminatorias de
ningún tipo.
Principio de no injerencia
El auditor deberá evitar injerencias en los trabajos de otros
profesionales, respetar su labor y eludir hacer comentarios que
pudieran interpretarse como despreciativos de la misma o provocar
cierto desprestigio de su calificación profesional.
Principio de precisión
Exige del auditor la no conclusión de su trabajo hasta estar convencido
de la viabilidad de sus propuestas.
Principio de secreto profesional
La confidencia y la confianza son características esenciales de las
relaciones entre el auditor y el auditado, e imponen al primero la
obligación de guardar en secreto los hechos e informaciones que
Ing. Gladys Ormachea Mejía
conozca en el ejercicio de su actividad profesional.
85. Principios básicos del auditor informático
Principio de veracidad
El auditor en sus comunicaciones con el auditado deberá tener
siempre presente la obligación de asegurar la veracidad de sus
manifestaciones con los límites impuestos por los deberes de
respeto, corrección y secreto.
Principio de servicio público
Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de
los intereses de su cliente, para evitar daños sociales como los que
pueden producirse en los casos en que, durante la ejecución de la
auditoría, descubra elementos de software dañinos (virus) que
puedan propagarse a otros sistemas informáticos diferentes al
auditado.
Ing. Gladys Ormachea Mejía