Auditoria y evaluación de sistemas.
0 recomendaciones355 vistas
Este documento presenta una introducción a la auditoría informática y define este tipo de auditoría como la evaluación realizada por especialistas en informática y cómputo para auditar programas, equipos, redes y otros instrumentos lógicos y físicos que manejan datos en una organización. Luego describe 10 tipos de auditoría según Carlos Muñoz Razo, incluyendo auditorías internas, externas, gubernamentales, de sistemas de información, con computadora, sin computadora, de sistemas de cómputo, de seguridad de sistemas, de redes y auditor
Auditoria y evaluación de sistemas.
- 1. INSTITUTO POLITECNICO SANTIAGO MARIÑO. EXTENSION MARACAIBO ESCUELA: INGENIERIA DE SISTEMAS CATEDRA: AUDITORIA Y EVALUACION DE SISTEMAS AUDITORIA INFORMATICA Autores: Miguel Ramírez, CI 21.354.096 Maracaibo, 20 de Octubre de 2014
- 2. Introducción Desde que el hombre empezó a realizar tareas organizadas en beneficio propio o de un grupo se ha requerido de una correcta planificación y una posterior evaluación para determinar su correcta ejecución. A raíz de estos procesos de evaluación se tuvieron que crear normas estándar para la evaluación lo que dio origen a la auditoria y sus diferentes ramas de aplicación que se han determinado con el avanzar de los estudios y tecnologías. El informe a continuación se encuentra conformado por los siguientes puntos: 1- Definición. 2- Mapa cronológico: Historia y evolución de la auditoria según Carlos Muños Razo. 3- Tipos de auditoría según Carlos Muñoz Razo. 4- Ventajas y desventajas de las auditorías externas e internas. 5- Auditoria informática y su alcance e importancia dentro de una organización 6- Cuadro comparativo entre Auditoria en Sistemas de Información y Auditoría Informática. 7- Características y objetivos de la Auditoria informática. 8- Síntomas de necesidad de una auditoria informática dentro de una organización. 9- Perfil profesional de un auditor Informático.
- 3. Auditoria 1- Definición: 1.1- Auditoria: actividad independiente de los departamentos de cualquier organización, la cual se basa en estudiar las operaciones llevadas a cabo dentro de una empresa y verificar si se están realizando correctamente o si se está cometiendo alguna falla que pueda afectar el objetivo principal de la organización, corregirlo y encontrar la raíz del problema. Además una de sus tareas más importantes es guiar y proponer la utilización de mejores y nuevos métodos de operación a la alta gerencia y al gobierno empresarial. Por otro lado con los avances de la auditoria, esta se ha venido encargando desde algunos años de evaluar los riesgos presentes en los diferentes tipos de mercados al que pertenecen las empresas. La auditoria cuenta con Normas Internacionales para el Ejercicio Profesional de la Auditoría Interna, que deben cumplir para llevar a cabo un buen ejercicio de la auditoria en cualquier empresa, además a estas se les suma las normas y reglas impuesta por la empresa que se le practique dicha auditoria tomando en cuenta los controles básicos de revisión y actualización los cuales son el medio ambiente empresarial, riesgos relevantes externos e internos, política empresarial, los sistemas de información que utilice la empresa y el chequeo de los supervisores y sus operaciones departamentales. Por último, se encuentra el área de los fraudes, donde el auditor deber estar siempre documentado, informado y alerta a los hechos y actividades relacionadas con fraudes que puedan atacar a la organización ocasionándole tanto problemas legales como económicos a la alta gerencia. 1.2- Auditor: actor quien lleva acabo las auditorias en empresas públicas y privadas, el cual debe poseer conocimientos de una carrera profesional y un maestría del área a auditar (por lo menos); un auditor generalmente debe ser profesional con diversos conocimientos empresariales y tecnológicos para que pueda prestar un buen servicio de revisión de todos los procesos del área que se esté evaluando, sin embargo, los auditores se clasifican en dos grandes grupos los cuales son: a) junior, posee una experiencia menor a 5 años (auditando); y b) sénior: posee una experiencia mayor a 5 años (auditando). Los años de experiencia del auditor sea junior o sénior, son importantes para los políticos empresariales ya que a mayor experiencia mayor será la fiabilidad del diagnostico y resultado final arrojado por el mismo ante la alta gerencia. Generalmente el auditor pertenece (junior) o posee un grupo de trabajo (sénior), los cuales en conjunto son los que realizan las evaluaciones a cada estructura que conforman a una empresa y en conjunto tomas las decisiones de la eficiencia
- 4. operacional de los trabajadores arrojando también las posibles falla que tengas que corregir, modificar o cambiar por completo. 2- Mapa cronológico: Historia y evolución de la auditoria según Carlos Muños Razo: En base al autor, se presentaran tres mapas cronológicos de la evolución de la auditoria según los tipos de perspectivas del mismo. 2.1- Mapa Cronológico A: 2.2- Mapa Cronológico B:
- 5. 2.3- Mapa Cronológico C: 3- Tipos de auditoría según Carlos Muñoz Razo: 3.1- Integral: actividad llevada a cabo por un grupo interdisciplinario especializado para la evaluación de las áreas comunes y no comunes en su correcto desarrollo de cada una de sus funciones administrativas departamentales, para regular las actividades compartidas en función de los objetivos de la organización. La meta de esta auditoría tan especializada es que cada personaje colegiado evalué las actividades de la empresa en estudio, según sea su rama empresarial y de esta manera no afecte la operatividad de los demás departamentos. 3.2- Gubernamental: auditoria desarrollada para evaluar las actividades de los diferentes tipos de gobierno, debido a que estos son los responsables directos del manejo y uso de los ingresos adquiridos por los contribuyentes así como el control de los egresos generados para la satisfacción de las necesidades de los ciudadanos. Este tipo de auditoria evalúa las diferentes ramas especializadas que conforman el gobierno para el cumplimiento de todos los objetivos y el buen uso de sus recursos, debido a la estrecha vigilancia a la cual se someten las funciones gubernamentales para el cumplimiento de los programas, actividades y funciones por parte de quienes tienen la responsabilidad ante la sociedad. Cuando se iniciaron estas evaluaciones especializadas, la auditoria tradicional fue incapaz de cubrir todas sus áreas, por lo que se dio origen a la auditoria gubernamental.
- 6. 3.3- Informática: evaluación desarrollada a través de especialistas tanto a nivel informático como de cómputo. Se basa en la evaluación de los programas, equipos, dispositivos, redes y todo instrumento lógico y físico que se utilice para el manejo de los datos que administra, recibe y procesa para arrojar la información solicitada por sus usuarios. Otra área que evalúa este tipo de auditoría son los niveles de acceso que poseen los sistemas de información identificando a los usuarios según sus funciones en la organización. 3.4- Con computadora: evaluación que no necesariamente se realiza a centros o equipos de cómputos; se tiene esta clasificación debido a que son evaluaciones de sistemas utilizando equipos computarizados como herramientas principales para el registro y análisis de las operaciones llevadas a cabo por el auditor tanto de centros computacionales como no computacionales. 3.5- Sin computadora: evaluación llevada a cabo a las transacciones económicas, administrativas y operacionales tanto a centros de cómputos como a otras especialidades, a través de la vía óptica del auditor haciendo uso de las técnicas tradicionales aceptadas por las normas de la auditoria. Además evalúa la estructura organizacional, funciones y operaciones llevadas a cabo por el personal, así como su uso de los recursos informáticos y computacionales ante la empresa, verificando de esta manera la seguridad de la información que maneja la organización. 3.6- Sistema de cómputo: evaluación técnica especializada a todo equipo que conforme el sistema de cómputo como el software, hardware, dispositivos de almacenamiento externos, entre otros. Este tipo de auditoría abarca también equipos asociados, redes que se compartan, comunicación externa e interna y la arquitectura que conforme dicho sistema de cómputo. 3.7- Alrededor de la computadora: auditoria que se lleva a cabo a nivel no técnico, es decir evalúa el ambiente y medio al cual pertenece el sistema computarizado sin tomar en cuenta el computador como tal, basando su evaluación en la seguridad de la información del sistema ante la empresa, el control de acceso administrativo a los equipos computarizados a los empleados, la comunicación interna o externa manejada a través del sistema y todos las áreas que lo utilicen o se relacionen directamente con los equipos automatizados con el sistema de computo. 3.8- De la seguridad de los sistemas computacionales: evaluación profunda técnica especializada exclusivamente de la seguridad de todo lo que conforma el sistema de cómputo (base de datos, redes, memorias externas, dispositivos, usuarios y
- 7. accesos, datos, funciones, actividades y procedimientos), tomando como base principalmente el respaldo de la información almacenada o en proceso en caso de que ocurran accidentes informáticos. El principal objetivo de esta auditoría es reguardar el sistema de cómputo de cualquier posible daño o ataque tanto externo e interno el cual pueda dañar la información almacenada en el sistema, además se mantener el sistema libre de las acciones de los virus informáticos. 3.9- Sistema de redes: evaluación estricta técnica y especializada del sistema de redes que utilice la empresa, revisando sus protocolos de comunicación, accesos, administración y demás aspectos relacionados a la instalación, uso, administración y mantenimiento de las redes dentro de cualquier organización; además se encarga de chequear los software, dispositivos y equipos que se conectan a la redes para el transporte de datos y almacenamiento de los mismo en los diferentes niveles de la empresa. 3.10- Integral de los centros de computo: evaluación técnica especializada a nivel global de todo los que conforma a un sistema de computo tanto forma directa e indirecta, llevada a cabo por un grupo multidisciplinario el cual verifica el estado, acceso y seguridad de los equipos y sus procesos de registro, procesamiento y entrega de datos e información a los usuarios que los solicitan según los niveles de acceso que posea el sistema computarizado. Esta auditoría se caracteriza por realizar una evaluación global que cubra todos los aspectos de auditorías especializadas en cada área del sistema de cómputo. 3.11- ISO-9000 de sistemas computacionales: son evaluaciones exhaustivas por auditores certificados a las empresas que utilizan la calidad de ISO-9000, guiándose de las normas y procedimientos descritos por esta asociación, certificando de esta manera que la empresa se encuentra en correcto funcionamiento y calidad del sistema computacional el cual se apega a los requerimientos de la ISO-9000. 3.12- Outsourcing: evaluación estricta de los soportes de asesoramiento técnico y análisis de los procesamientos de los datos que se realiza de una empresa a otra; de esta manera se certifica la calidad tanto del servicio computarizado prestado como del servicio de asesoramiento especializado. Este tipo de auditoría también puede evaluar la funcionalidad del equipo donde se lleven a cabo los servicios de cómputos prestados. 3.13- Ergonómica de sistemas computacionales: evaluación especializadas que se centra en el medio ambiente y la relación hombre maquina, con la correcta adquisición de equipos automatizados computacionales, donde se identifica la correcta utilización de las herramientas que provee el sistemas, así como de las
- 8. posibles comodidades o repercusión que trae el sistema, para continuarlas o solucionarla en beneficio de la salud, comodidad y bienestar de los usuarios de la empresa que lo utilicen. 4- Ventajas y desventajas de las auditorías externas e internas: Ventajas Desventajas Auditoría Interna 1- Se mantiene al personal en supervisión constante para que se cumplan las planificaciones realizadas por la alta gerencia de la empresa. 1- Los empleados normalmente por esta supervisión constante pueden sentirse presionados, ocasionando fallas por errores humanos. 2- Se vela por la correcta aplicación de las normas de seguridad impuesta por la gerencia y departamentos especializados de la empresa. 2- Los costos iníciales por la instalación o acondicionamiento de los sistemas de seguridad suelen ser elevados. 3- Tras la evaluación de los procedimientos, técnicas y procesos, los auditores pueden sugerir mejoras al sistema operacional o proponer la implantación de un nuevo. 3- Las malos procedimientos detectados por el auditor generalmente vienen asociadas a una amonestación al empleado o encargado del departamento. 4- Estas evaluaciones son llevadas a cabo por especialistas colegiados los cuales mantienen a la alta gerencia de los nuevos avances tecnológicos y teóricos. 4- El sueldo y salario de este tipo de auditores suele ser elevado, debido a la gran cantidad de estudios que debe poseer para ejecutar esta tarea. 5- La credibilidad del informe presentado por el auditor podría verse cuestionado debido a que es otro empleado que trabaja para la empresa. Auditoría Externa 1- Es una evaluación realizada por un grupo multidisciplinario contratado por la empresa solicitante el cual a través de las políticas, normas y procedimientos descritos a una previa reunión, los auditores evalúan todos los procesos empresariales a los que se les de acceso, además de evaluar la efectividad operacional del auditor interno según los resultados obtenidos. 1- La evaluaciones por los auditores externos pueden que no sean llevadas a cabo a gran profundidad debido a que los conocimientos que poseen de los procedimientos de la empresa fuero los descritos en la previa reunión, por lo tanto, si un punto no es tratado en dicha reunión lo más posible es que no sea evaluado. 2- El auditor externo puede presentar nuevos proyectos e instrumentos de trabajos y tecnológicas, que sean más actualizados de los que se encuentren en uso en la 2- Las nuevas propuestas pueden significar que el auditor interno no se encuentra bien documentado y actualizado en cuanto a la rama de especialización a la cual audita
- 9. organización, que no hayan sido propuestos por el auditor interno. en la organización. 3- Son evaluaciones sumamente importantes que deben ser llevadas a cabo periódicamente, para identificar posibles fallas internas en la organización que la alta gerencia y el auditor interno no haya identificado; además estos auditores generalmente llegan con nuevos proyectos y propuestas. 3- La asesoría de estos tipos de auditores suelen ser sumamente costosas, debido al grupo multidisciplinario, instrumentos, equipos computacionales y otras herramientas que estos utilicen para llevar a cabo estas evaluaciones. 4- Estos auditores evalúan a través de un contexto externo a la empresa, por lo tanto su validez operacional no tendrá relación con el personal interno de la empresa; por lo tanto, el informe presentado a la gerencia luego de culminar la auditoria, su porcentaje de credibilidad será sumamente alto, debido a que es una persona totalmente externa a la organización y a sus objetivos. 5- Auditoria informática y su alcance e importancia dentro de una organización: Auditoria de tipo especializada la cual evalúa exhaustivamente de los periféricos, software, discos de almacenamiento, redes, dispositivos eléctricos de emergencia y todo equipo que utilice el sistema de cómputo para su buen funcionamiento; esta evaluación se encarga de verificar la correcta operatividad tanto del equipo como al medio ambiente al cual pertenece el equipo y se desenvuelve según los diferentes niveles de acceso de los usuarios, además de validad el respaldo de la información que maneje el sistema en caso de emergencias o situaciones no esperadas. Los sistemas informáticos por lo general abarcan varios departamentos de las organizaciones, por lo tanto el personaje colegiado especializado en la auditoria debe encargarse de analizar, evaluar, validar, proponer o corregir tanto los procesos como las tecnologías aplicadas y utilizadas en la organización. El auditor informático, realiza esta evaluación global de todo el campo del sistema informático de la organización, diferenciando los datos recolectados con los informes de otras ramas de
- 10. auditoría en la organización y de esta manera generar un informe adecuado que sea validado y aceptado en su totalidad por la alta gerencia y gobierno de la empresa. 6- Cuadro comparativo entre Auditoria en Sistemas de Información y Auditoría Informática: A. Sistema de Información A. Informática 1- Requiere de profesional colegiado, el cual pueda evaluar sistemas de información tanto computacionales como no computacionales, por ello el auditor que lleve a cabo la evaluación no requiere de conocimiento informáticos, sino del tratado, métodos, técnicas y otras prácticas relacionadas con la información 1- Requiere de profesional colegiado, el cual posea altos conocimientos a nivel informático y sistemas de computo, además de posee los conocimientos necesarios para evaluar procesos de información a través de sistemas informáticos. 2- Evalúa los diferentes niveles de acceso a la información relacionados directamente con los niveles de accesos y tipos de trabajadores correspondientes a los departamentos de la organización lo cuales tengas acceso a los registros de los datos confidenciales almacenados. 2- Evalúa la seguridad de la información según niveles de accesos al sistema, además los métodos de almacenamiento de la información que administra el sistema con sus correspondiente sistema y método de recuperación en caso de ataques inesperados, accesos no permitidos, fallas de energía eléctrica (dispositivos de energía eléctrica para emergencia), en otros, elementos y acciones que intenten acceder o dañar la información almacenada en el sistema informático. 3- Presenta ante la alta gerencia y gobierno de la empresa nuevos métodos acordes a los avances de los sistemas de información. 3- Presenta ante la alta gerencia y gobierno de la empresa nuevas tecnologías de información para mejorar parcial o totalmente el sistema de cómputo que posea la organización. Además de proponer nuevas tecnologías, también presentan los avances tecnológicos para el ahorro de energía, menor consumo de papeles, equipos de energía, entre otros. 4- Verifica los procesos y fases que componen el sistema de información en busca de posibles fugas de información, mal uso de la información o validación del buen cumplimiento y ejecución del sistema de información. 5- Verifica líneas de código, línea de comunicación, redes internas y externas, estado de los dispositivos de computo y eléctricos, y todo lo relacionado con equipos del medio y fuera del mismo para su funcionamiento. 7- Características y objetivos de la Auditoria informática: La auditoria informática posee características de evaluación específicas por la cual se creó esta rama en la auditoria global, debido a los altos conocimientos, certificados y validaciones de normas a nivel internacional que debe posee poseer un auditor informático.
- 11. La auditoria informática se centra en la evaluación y mejoras de los sistemas de cómputos como memorias extraíbles, dispositivos, equipos energéticos, entre otros que utilice la empresa que utilice para su funcionamiento, además de los equipos, metodologías y diseño de comunicación y redes que deben estar bien desarrollados para que funcionen eficientemente a la par con el sistema informático proporcionando los resultados solicitados por los diferentes departamentos o usuarios (según sea su nivel de acceso al sistema) del sistema, cumpliendo determinados puntos de seguridad que debe poseer el sistema a auditar. Otro punto sumamente importante que evalúa el auditor informático es la eficiencia de respaldo de dato temporales en tiempos definidos a través de las líneas de programación en caso de situaciones inesperadas o ataques de virus informáticos, con el objetivo de resguardar la información administrada por el sistema en dispositivos de almacenamiento externo o creando copias de seguridad, evitando de esta manera la pérdida total de los datos de relevancia para la organización. Seguidamente de evaluar el correcto funcionamiento y uso por parte de los usuarios del sistema, el auditor debe verificar y certificar la eficiencia operacional del sistema con respecto a las áreas externas indirectamente relacionadas con este a la organización, que puede afectar la operatividad de estos departamentos o divisiones si llegase a fallar el sistema de computo o alguno de sus dispositivos y programas. Por otro lado, la auditoria informática esencialmente abarca 3 objetivos los cuales son: * Mejorar la eficacia de la organización informática y proteger sus archivos y recursos (seguridad, políticas, normas, entre otras); buscando con esto proteger la operatividad de la organización con respecto a los datos, programas y equipos los cuales han representado altas inversiones económicas y operacionales para la empresa. * Garantizar resultados fiables en el tiempo, coste y utilidad de los sistemas informáticos, es decir, asegurar la eficiencia operacional del sistema en cuanto a los resultados solicitados en tiempos específicos y que no vallan a ocurrir errores que representen problemas y pérdidas económicas para la empresa. * Mejorar los procedimientos, estándares y planificación, colaborando en su diseño y en la actualización de las normas; siendo certificados por el auditor donde señala en su informe de actividades en correcto uso y aplicación del sistema informático según las normas vigentes para el momento de la auditoria.
- 12. 8- Síntomas de necesidad de una auditoria informática dentro de una organización: Los sistemas de requerir la actividad de auditar en una organización, varían según la empresa, los equipos computacionales y las fallas que se encuentre afectando la organización. Por lo tanto se podría decir que los síntomas generales que puede presentar una organización son: * Fallas en la eficacia de la organización informática, la cual afecte la seguridad de los archivos y funcionalidad de los recursos. * Los resultados proporcionados por el sistema informático no son los esperados o se duda de sus fiabilidad, retrasos elevados en el tiempo, los costo se consumo de recursos se han elevado en grandes porcentajes. * Los procedimientos, estándares y planificación no se están ejecutando correctamente o se posee alguna duda de su efectividad debido a indeficiente diseño o falta de actualización de las normas 9- Perfil profesional de un auditor Informático: Un auditor informático debería cumplir un mínimo perfil profesional como el que se muestra a continuación: * Licenciado o Ingeniero en Informática, Computación, Sistemas. * Maestrías, especialidad o cursos en sistemas de redes. * Maestría, especialidad o cursos en sistemas computacionales. * Maestría, especialidad o cursos en sistemas de comunicación. * Maestría, especialidad o cursos de dispositivos energéticos de emergencia. * Especialidad en normas de usos tecnológicos, según sea el campo de aplicación de la empresa a evaluar. * Conocimientos generales de los tipos de auditoría.
- 13. Conclusión La auditoria es una evaluación exhaustiva de todas las operaciones, funciones, dispositivos y todo lo que componga la unidad a auditar. A través de los años la auditoria ha ido creciendo en cuanto a sus ramas de aplicación, debido que al principio de sus tiempo solo se aplica a las actividades contables y administrativas de las organización, sin embargo, por los avances en áreas como administración, medicina, ciencias, ingeniería, entre otras, se requiriendo que el actor principal de la auditoria, es decir, el auditor, poseyera determinados y específicos conocimientos básicos para poder evaluar las diferentes ramas que fueron surgiendo de la auditoria tradicional. Hoy en día la auditoria es aplicada a casi todos los campos laborales de la sociedad, en busca de mejorar las eficiencias operacionales de las organizaciones, asegurando el buen uso de los sistemas y recursos para que lo resultados esperados sean alcanzados a través de los planes y normas establecidos en los reglamentos internacionales y de la organización. Por otro lado, estas auditoria poseen dos grandes divisiones las cuales son: a) interna, llevada a cabo por un empleado de la organización el cual vela por el cumplimiento correcto de las funciones y el buen uso de los recurso en base a los objetivos de la empresa; y b) externa, donde la empresa solicita profesionales externos para que realicen avalúos de los procesos y recursos en busca de solucionar algún problema o con el objetivo de actualizar la empresa en cuanto a procesos, funciones, normas, tecnologías, entre otras vigentes para el momento de la auditoria. Otras áreas que han evolucionado a gran velocidad, son la informática la cual a través de la tecnología a alcanzo automatizar gran cantidad de trabajo que anteriormente requerían de horas de trabajos, materiales y muchos empleados para poder llevarse a cabo las tareas diarias de las empresa; y los sistemas de información, los cuales han generado procesos, técnicas y normas para el uso, traslado, análisis y almacenado de los datos de cualquier organización. Ambas áreas son auditadas por especialistas diferentes en las ramas de procesos de información y de sistemas cómputo correspondientemente, requiriendo conocimiento y validaciones de normas certificadas a nivel internacional para laborar correctamente. Se puede decir con certeza que toda organización requiere de las auditorias para asegurar la veracidad y fiabilidad de sus resultados que son obtenidos a través de los planes, recursos, técnicas en otras, además la auditoría es un proceso no solo de evaluación sino también de actualización de los avances tecnológicos relacionados directamente con las áreas de operaciones de los distintos tipos de organización.