CLASES DE AUDITORIA EN SISTEMAS

AUDITORIA INFORMATICA

La Auditoria de Tecnología de Información (T.I.) como se le conoce actualmente, (Auditoria informática o Auditoria de sistemas en nuestro medio), se ha consolidado en el mundo entero como cuerpo de conocimientos cierto y consistente, respondiendo a la acelerada evolución de la tecnología informática de los últimos 10 años, la INFORMACIÓN es considerada un activo tan o más importante que cualquier otro en una organización. Existe pues, un cuerpo de conocimientos, normas, técnicas y buenas practicas dedicadas a la evaluación y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la información tratada y almacenada a través del computador y equipos afines, así como de la eficiencia, eficacia y economía con que la administración de un ente están manejando dicha información y todos los recursos físicos y humanos asociados para su adquisición, captura, procesamiento, transmisión, distribución, uso y almacenamiento. Todo lo anterior con el objetivo de emitir una opinión o juicio, para lo cual se aplican técnicas de auditoria de general aceptación y conocimiento técnico específico.

Objetivo de la Auditoría Informática

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Esta es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

Alcance de la Auditoría Informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática, se complementa con los objetivos de ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta que puntos se ha llegado, sino cuales materias fronterizas han sido omitidas.

Ejemplo:

·         ¿Se someterán los registros grabados a un control de integridad exhaustivo?

·         ¿Se comprobará que los controles de validación de errores son adecuados y suficientes?

 La definición de los alcances de la auditoria compromete el éxito de la misma.

Existen dos palabras muy importantes que son riesgo y seguridad:                                            2

• Riesgo: Es todo tipo de vulnerabilidades, amenazas que pueden ocurrir sin previo aviso y producir numerosas pérdidas para las empresas.

• Seguridad: Es una forma de protección contra los riesgos

Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar y proteger la información buscando mantener la confidencialidad, la autenticidad e Integridad de la misma.

AUDITORIA CON LA COMPUTADORA

Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus programas para evaluar cualquier tipo de actividades y operaciones, no necesariamente computarizadas pero sí susceptibles de ser automatizadas; dicha Auditoría se realiza también a las actividades del propio centro de sistemas y a sus componentes. La principal característica de este tipo de auditoría es que, sea en un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para la evaluación de las actividades que se revisarán, de acuerdo con las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoría.

Uso de la computadora y aplicaciones exclusivamente en auditorías de los sistemas computacionales de la empresa

En este tipo de auditorías se recurre al uso de los recursos informáticos con los cuales cuenta la empresa: sistemas computacionales, personal del área de sistemas, métodos, técnicas y procedimientos informáticos, desarrollo de programas especiales de software, programas especiales de evaluación informática y todos los demás elementos del sistema computacional, con el propósito de evaluar las funciones, operaciones y actividades informáticas que se realizan, tanto en los propios sistemas computacionales del centro de informática como en las demás áreas de la empresa que estén sistematizadas.

Ejemplos de actividades del área de sistemas que pueden ser evaluadas mediante el apoyo de estos recursos informáticos:

1)   Auditoría del rendimiento y aprovechamiento del hardware y del software en las áreas de sistemas

·         Los programas específicos de revisión interna del sistema. Son programas y utilerías diseñados      por proveedores o desarrolladores para revisar el hardware, el software y los demás componentes del sistema, a fin de emitir un diagnóstico sobre el funcionamiento interno de dicho sistema, Ejemplo: COMIT Es un programa que permite revisar el funcionamiento interno del sistema, desde el procesador hasta la memoria, pantallas, métodos de acceso de información, dentro otros aspectos. Este programa emite un listado del sistema revisado.

2)      Los programas elaborados por personal del área de sistemas o desarrolladores externos. Estos programas son elaborados, interna o externamente, para evaluar aspectos

4

específicos del software, ya sea el funcionamiento, aplicación o cualquier otro aspecto

3)      relacionado con el sistema operativo, con los lenguajes de programación, programas de desarrollo, programas de aplicación, utilerías o cualesquier programas que utilicen los sistemas computacionales, ejemplos: Guard Dog Deluxe. Paquete que protege en Internet de la transferencia de controles ActiveX, pequeñas aplicaciones Java, Cookies y virus. McAfee VirusScan Security. Son programas elaborados con el propósito de evitar la entrada de virus informáticos en los sistemas computacionales, así como para erradicarlos de esos sistemas.

Auditoría a los métodos y sistemas de seguridad establecidos en el centro de cómputo

En esta auditoría la computadora se utiliza para evaluar los sistemas de seguridad de acceso al sistema, a las bases de datos, a los programas y a las aplicaciones específicas del sistema. Aquí el auditor utiliza la computadora o una red, para valorar la manera en que están diseñadas, establecidas y protegidas las formas de acceso al sistema, los privilegios de uso, las contraseñas y las demás protecciones de los sistemas computacionales de la empresa.

Auditoría al rendimiento y aprovechamiento de los sistemas computacionales

Para estos casos, los sistemas informáticos se emplean para valorar el aprovechamiento de los sistemas de información de la empresa, ya sean sistemas individuales (PCs), sistemas de redes locales (LANs), redes de área metropolitana (MANs), redes de área mundial (WANs), servidores de sistemas o sistemas mayores; asimismo, se recurre al apoyo de los recursos de los sistemas computacionales para hacer la evaluación del rendimiento de los propios sistemas, de sus componentes, del manejo de la información, administración de las bases de datos, operación y configuración de los sistemas y de sus componentes, de las telecomunicaciones y de las instalaciones de los sistemas.

Auditoría a la productividad del procesamiento de información

El auditor puede evaluar la cantidad, calidad, oportunidad, confiabilidad, suficiencia, veracidad y congruencia de la información que se procesa en los sistemas de la empresa, comparando la productividad del procesamiento del sistema mediante el uso de datos ficticios, datos reales o un híbrido de ambos, esto mediante el diseño y aplicación de pruebas simuladas en el mismo sistema o con pruebas de aplicación a la actividad informática real de los sistemas y sus datos ya sea con operaciones, reales o simuladas de esos sistemas o por medio de cualquier otro método de evaluación y prueba.

Auditoría con la computadora a las áreas tradicionales

El propósito global de este tipo de auditorías es revisar las áreas, operaciones y sistemas de una organización, utilizando las técnicas y métodos tradicionales de auditoría, así como los sistemas computacionales de la empresa. De esta manera, el auditor de sistemas, o de cualquier otra disciplina de auditoría, obtiene una mejor aplicación de las técnicas, métodos y procedimientos tradicionales de la auditoría, y complementa dicha aplicación con la confiabilidad, oportunidad y veracidad que le proporciona el apoyo de los sistemas computacionales. Consecuentemente, realiza una mejor evaluación de las actividades, operaciones y funciones de esas áreas de la empresa, lo cual le ayuda a emitir un mejor diagnóstico y un dictamen más acertado.

5

Auditoría con el apoyo de paquetería de aplicación específica para auditorías tradicionales

La característica de esta auditoría es que se utilizan las herramientas tradicionales de la auditoría para auditar las diferentes áreas de la empresa, y se utiliza la computadora únicamente como apoyo para obtener la información que se requiere de esas áreas, para hacer el procesamiento de datos, e incluso para llevar a cabo simulaciones de las actividades normales de las áreas evaluadas, si así se requiere. Esto le permite al auditor hacer una evaluación más profunda, ahorrar tiempo y obtener resultados más confiables. Sin embargo, el principal problema en estas evaluaciones es la carencia de programas específicos de evaluación para una auditoría, lo cual obliga al auditor a realizar programas de revisión concreta de acuerdo con las características de las áreas que esté evaluando y con las necesidades de la propia revisión.

Auditoría con el apoyo de paquetería de aplicación administrativa       

Es la evaluación que se realiza utilizando los paquetes de software específicos, cuya aplicación es de carácter administrativo, financiero, contable o estadístico, los cuales han sido diseñados para que puedan ser utilizados en cualquier sistema computacional; es decir, en macrocomputadoras, minicomputadoras, microcomputadoras, laptops o sistemas de redes. Con estos paquetes se facilitan las actividades de un auditor, debido a que, al aprovechar las facilidades que obtiene con el uso de dichos sistemas y programas, puede realizar una evaluación tradicional de los registros, operaciones, funciones y actividades de una empresa o una de sus áreas específicas, utilizando las técnicas, métodos y procedimientos típicos de la auditoría, pero apoyándose en los sistemas y programas para la captura y el procesamiento de datos; con la combinación de ambos obtiene los resultados que le facilitan hacer la interpretación, evaluación y dictamen de los aspectos resultantes de la evaluación administrativa de las actividades y operaciones de la empresa o de sus áreas.

Auditoría con el apoyo de hojas electrónicas de trabajo

Con estas hojas de cálculo, el auditor captura, procesa y emite los resultados derivados de los levantamientos de información que realiza con la aplicación de las herramientas tradicionales de auditoría, sólo que, en su tabulación y procesamiento se apoya en hojas de cálculo, con el fin de obtener resultados más confiables, acertados y oportunos, lo cual le permite hacer una mejor evaluación y elaborar un dictamen más eficiente.

Tradicionalmente, las hojas de cálculo se han utilizado en las aplicaciones contables, administrativas y estadísticas, facilitando la captura y el procesamiento de los datos obtenidos con las herramientas tradicionales; por esta razón se han popularizado entre los auditores para realizar el procesamiento de información en las auditorías de cualquier área o tópico de una empresa.

Auditoría con el apoyo de programas de bases de datos

Es la evaluación de los datos y sistemas de procesamiento y archivo de bases de datos de una área o de toda la empresa; para realizar esta revisión se utilizan los métodos, técnicas y procedimientos de la auditoría tradicional, apoyándose en los datos que se obtienen de los sistemas computacionales y de los programas de manejo, procesamiento y almacenamiento de archivos y bases de datos.

Auditoría con el apoyo de paquetes contables

La auditoría más popular y que más utilizan las empresas y las autoridades hacendarias es la auditoría de carácter contable; en ésta, el auditor financiero realiza todas las actividades y procedimientos de la técnica contable, pero apoyándose en el equipo de cómputo para realizar la recopilación de los registros y operaciones contables de la organización, y privilegiando el uso de las técnicas, procedimientos y herramientas de la auditoría contable para evaluar el registro adecuado y la elaboración correcta de los estados financieros de la empresa. A veces se apoya en estos sistemas para realizar el procesamiento de información y los cálculos financieros de esta auditoría.