AUDITORIA
INFORMATICA
1. Definición etimológica de Auditoria
La palabra
Auditoria viene del latín AUDITORUIS, y de esta proviene auditor, que tiene la
virtud de oír, y revisar cuentas está encaminado a la evaluación de la
economía, la eficiencia y la eficacia en el uso de los recursos, así como el
control de los mismos.
2. Concepto de
Auditoria
Auditoria es un
examen crítico que se realiza con el objeto de evaluar la eficiencia y eficacia
de una sección o de un organismo.
3. Qué es
eficiencia y eficacia para Auditoria?
Eficiencia es: Uso
racional de los recursos con que se cuenta para alcanzar un objetivo
predeterminado. A mayor eficiencia menor cantidad de recursos que se emplearan,
logrando mejor optimización y rendimiento.
Eficacia es:
Capacidad de lograr los objetivos y metas programadas con los recursos
disponibles en un tiempo predeterminado. Capacidad para cumplir en el lugar,
tiempo, calidad y cantidad las metas y objetivos establecidos.
4. ¿Cuál es el
objetivo principal de la
Auditoria ?
El objetivo de la Auditoria consiste en
apoyar a los miembros de la empresa en el desempeño de sus actividades. Para
ello la Auditoría
les proporciona análisis, evaluaciones, recomendaciones, asesoría e información
concerniente a las actividades revisadas.
5. Diferencias
entre Auditoria Externa e Interna
Auditoria
Externa
Una Auditoria
Externa se lleva a cabo cuando se tiene la intención de publicar el producto
del sistema de información examinado con el fin de acompañar al mismo una
opinión independiente que le dé autenticidad y permita a los usuarios de dicha
información tomar decisiones confiando en las declaraciones del auditor.
Una auditoria debe
hacerla una persona o firma independiente de capacidad profesional reconocidas.
Esta persona o firma debe ser capaz de ofrecer una opinión imparcial y
profesionalmente experta a cerca de los resultados de auditoria, basándose en
el hecho de que su opinión ha de acompañar el informe presentado al término del
examen y concediendo que puede expresarse una opinión basada en la veracidad de
los documentos y de los estados financieros y en que no se imponga
restricciones al auditor en su trabajo de investigación.
Auditoria
Interna
Las Auditoria
Internas son hechas por personal de la empresa. Un auditor interno tiene a su
cargo la evaluación permanente del control de las transacciones y operaciones y
se preocupa en sugerir el mejoramiento de los métodos y procedimientos de
control interno que redunden en una
operación más eficiente y eficaz.
6.
Concepto de Informática
La
informática es el campo que se encarga del estudio y aplicación práctica de la
tecnología, métodos, técnicas y herramientas relacionados con las computadoras y el manejo de
información por medios electrónicos, el cual comprende las áreas de la
tecnología de información orientadas al buen uso y aprovechamiento de los
recursos computacionales para asegurar que la información de las organizaciones
fluya (entidades internas y externas de los negocios) de manera oportuna y
veraz; además es el proceso metodológico que se desarrolla de manera permanente
en las organizaciones para el análisis, evaluación, selección, implantación y
actualización de los recursos humanos (conocimientos, habilidades, normas, etc)
tecnológicos (hardware, software, etc.) materiales (escritorios, edificios,
accesorios, etc.) y financieros (inversiones) encaminados al manejo de la
información, buscando que no se pierdan los propósitos confiabilidad, oportunidad, integridad y
veracidad entre otros propósitos.
7.
Qué es información
La
información puede ser definida como los datos que han sido recogidos,
procesados, almacenados y recuperados con el propósito de tomar decisiones
financieras y económicas o para el soporte de una producción y distribución
eficientes de bienes y servicios.
La
información tiene que ser considerada como un recurso básico en una
organización, junto a los talentos humanos, el capital, las materias primas y
demás equipos.
Es
la clave para la organización tanto para su supervivencia como para mejorar su
posicionamiento en los negocios.
Requisitos de la información
·
Efectividad
·
Eficiencia
·
Confidencialidad
·
Integridad
·
Disponibilidad
·
Cumplimiento
·
Confiabilidad
Efectividad: Se refiere a que la
información relevante sea pertinente para el proceso del negocio, que su
entrega sea oportuna, correcta, consistente y utilizable.
Eficiencia: Se refiere a la
provisión de información a través de la utilización óptima (más productiva y
económica) de recursos.
Confidencialidad: Se refiere a
la protección de la información sensible contra la divulgación no autorizada.
Integridad: Precisión y
suficiencia de la información, su validez conforme a los valores y expectativas
del negocio,
Disponibilidad: Disponer de la información
cuando ésta sea requerida por el proceso de negocio ahora y/o en el futuro.
También se refiere a la salvaguarda de los recursos necesarios.
Cumplimiento: Se refiere al
cumplimiento de leyes, regulaciones y acuerdos contractuales a los que el proceso
del negocio está sujeto.
Confiabilidad de la información: Se refiere a la provisión de información apropiada para la
administración con el fin de operar la entidad y para ejercer sus
responsabilidades de reportes financieros y de cumplimiento.
8- Terminologías
básicas utilizadas en el ambiente informático:
Hardwre: Se refiere a los
componentes físicos y tangibles de las computadoras, generalmente clasificados
en cuatro grandes ramas:
Computadoras
Redes (locales, abiertas, etc.)
Mini Computadoras
Super computadoras
Software: Implica la parte no
física de las computadoras. Esto significa que es la porción tangible de los
equipos de cómputos, es decir, programas con orientaciones específicas para la
administración de la informática y el uso eficiente de los recursos de cómputo.
Datos: Son hechos y cifras en
bruto que luego son procesados para obtener información.
Información: Es el resultado del
procesamiento de datos como respuesta útil para la toma de decisiones. Una
información puede ser un dato para un siguiente procesamiento.
Procesamiento: Se refiere a los
procesamientos de entrada, proceso y salida de datos en informaciones.
Infraestructura: Se refiere a
los diferentes elementos de hardware y software que permiten ejecutar las
aplicaciones. Las infraestructura de TI se divide en tres partes:
- Sistemas Operativos: el software que
se ejecuta en la computadora y sobre el cual se instalan las aplicaciones.
Ejemplos: UNIX, OS/400, AIX, etc.
- Base de Datos: el software que
administra y controla los datos utilizados por la aplicación. Ejemplos:
Oracle, db2, Sybase, etc.
- Networks: el hardware y software que
provee la conectividad a los usuarios. Ejemplos: Windows NT y Novell
Netware.
Acceso lógico: Término utilizado
para describir los permisos de los usuarios al software y / o hardware.
Acceso físico: Es la capacidad
de las personas para acceder a lugares, objetos o informaciones.
Ruta de acceso de usuarios: Es
el recorrido que realiza la información entre el usuario final y los datos. Los
usuarios que ingresan datos o comandos desde el teclado y visualizan los
resultados en el monitor usualmente no pueden ver el procesamiento de sus
instrucciones.
9. Concepto de
Auditoria Informática
10- Objetivos de
la Auditoria
en un Sistema Informático
Los principales objetivos que constituyen a
la auditoria en informática son:
·
El control de la función informática
·
El análisis de la eficiencia de
los Sistemas Informáticos que comporta
·
La verificación del cumplimiento
de la Normativa
general de la empresa y
·
La revisión de la eficaz gestión
de los recursos materiales y humanos informáticos.
11- La importancia
de la auditoria en informática
Para darse cuenta
si se está administrando de manera correcta la función de la informática es
necesario que se evalúe dicha función mediante evaluaciones oportunas y
completas por personal calificado consultores externos, auditores en
informática, o evaluaciones periódicas realizadas por el mismo personal de
informática, entre otras estrategias.
12. Formas de
llevar a cabo una auditoria en informática
a) La auditoria
interna es la realizada con recursos materiales y personas que pertenecen a la
empresa auditada. Los empleados que realizan esta tarea son remunerados
económicamente. La auditoria interna existe por expresa decisión de la empresa,
o sea, que puede optar por su disolución en cualquier momento.
b) Por otro lado,
la auditoria externa, es realizada por personas afines a la empresa auditada,
es siempre remunerada. Se presupone una mayor objetividad que en la auditoria
interna, debido al mayor distanciamiento entre auditores y auditados.
13. Síntomas de
necesidad de una Auditoria Informática
Las empresas acuden
a las auditorias en informática cuando existen síntomas bien perceptibles de
debilidad. Estos síntomas pueden agruparse en clases:
Síntomas de
descoordinación y desorganización
- No coinciden los objetivos de la
informática de la empresa y de la propia empresa.
- Los estándares de productividad se
desvían sensiblemente de los promedios conseguidos habitualmente.
Síntomas de mala
imagen e insatisfacción de los usuarios
- No se atienden las peticiones de
cambios de los usuarios. Ejemplos: cambios de Software en los terminales
de usuario, refrescamiento de paneles, variación de los ficheros que deben ponerse diariamente a su
disposición, etc.
- No se reparan las averías de Hardware
ni se resuelven incidencias en plazos razonables. El usuario percibe que
está abandonado y desatendido permanentemente.
- No se cumplen en todos los casos los
plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden
causar importante desajustes en la actividad del usuario, en especial en
los resultados de Aplicaciones críticas
y sensibles.
Síntomas de
debilidades económico – financiero:
- Incremento desmesurado de costos.
- Necesidad de justificación de
Inversiones Informáticas ( la empresa no está absolutamente convencida de
tal necesidad y decide contrastar opiniones).
- Desviaciones Presupuestarias
significativas.
- Costos y plazos de nuevos proyectos
Síntomas de
Inseguridad: Evaluación de nivel de riesgos
- Seguridad lógica
- Seguridad física
- Confidencialidad
- Continuidad del servicio: es un
concepto aún más importante que
- Centro de Proceso de Datos fuera de
control. Si tal situación llegara a percibirse, seria prácticamente inútil
la auditoria. Esa es la razón por la cual, en esta caso, el síntoma debe
ser sustituido por el mínimo indicio.
14- Control
Interno:
El control interno
comprende el plan de organización y todos los métodos y procedimientos que en
forma coordinada se adoptan en un negocio para salvaguardar sus activos.
Verificar la razonabilidad y confiabilidad de su información financiera,
promover la eficiencia operacional y
provocar la adherencia a las políticas prescriptas por la administración.
15- Clases de
controles Internos
a) Controles
preventivos: establecen las condiciones necesarias para que el error no se
produzca. Como ejemplos de controles preventivos tenemos la segregación de
funciones, la estandarización de procedimientos, las autorizaciones, los
passwords, o los funcionarios prenumerados.
b) Controles
detectivos: Identifican el error pero no lo evitan, actuando como alarmas
que permiten registrar el problema y sus
causas. Como ejemplos tenemos la validación de los datos de entrada, cuando se
realiza con posterioridad al procesamiento de dichos datos, los totales de
control, los controles cruzados, o los controles de supervisión, estos últimos
se componen de tres tipos de controles:
1. Controles de aplicaciones
2. Controles de tecnologías de la
información
3. Controles de usuario
c) Controles correctivos:
Permiten investigar y rectificar los errores y sus causas, están destinados a
procurar que las acciones necesarias para su solventación sean tomados. Como
ejemplos tenemos los listados de errores, las evidencias de auditoria o las
estadísticas de causas de errores.
16- Auditoria de
estados contables o financiera:
Se define como
aquella realizada sobre un juego de estados contables o financieros para emitir
una opinión sobre la razonable presentación de los mismos de acuerdo a cierto
cuerpo normativo.
Se evalúa el
control interno al solo efecto de determinar naturaleza, alcance y oportunidad
de los procedimientos de auditoria. Para medir el nivel de confianza y su
efecto en los estados financieros.
Las tecnologías
Informáticas tienen un importante impacto en la estrategia de auditoria.
17- Auditoria
Administrativa
Auditoria
administrativa tiene como objetivo principal el control independiente de los
sistemas de administración.
Están orientadas a
analizar aspectos relacionados con la eficiencia de la productividad operativa
dentro de una organización.
Auditoria
administrativa = “eficiencia de actividades gerenciales”.
La auditoria
administrativa debe llevarse a cabo como parte de la auditoria del área de
informática. Se ha de considerar dentro del programa de trabajo de auditoria en
informática., tomando principios de la auditoria administrativa para aplicarlos
al área de informática.
Se deberá evaluar
el departamento de informática de acuerdo con:
- Su objetivo
- Metas, planes, políticas y procedimientos
- Organización
- Estructura orgánica
- Funciones
- Niveles de autoridad y
responsabilidad
Es importante tener
en cuenta los siguientes factores:
- Elemento humano
- Organización (manual de organización)
- Integración
- Dirección
- Supervisión
- Comunicación y coordinación
- Delegación
- Recursos materiales
- Recursos técnicos
- Recursos financieros
- Control
18- Concepto de
Auditoria con Informática
También conocida
por Auditoria asistida por computador.
Este enfoque va
dirigido especialmente, al examen y evaluación de los archivos de datos en
medios magnéticos, con el auxilio del computador y de software de auditoria
generalizado y/o a la medida. Este enfoque es relativamente completo para
verificar la existencia, la integridad y la exactitud de los datos, en grandes
volúmenes de transacciones.
La auditoria con el
computador es relativamente fácil de desarrollar porque los programas de
auditoria vienen documentados de tal manera que se convierten en instrumentos
de sencilla aplicación. Normalmente son paquetes que se aprenden a manejar en
cursos cortos y sin avanzados conocimientos de informática.
19- Técnicas
avanzadas en auditoria con informática
Cuando en una
instalación se encuentren operando sistemas avanzados de computación como
procesamiento en línea, bases de datos y procesamiento distribuido, se podría
evaluar el sistema empleado técnicas avanzadas de auditoria. Estos métodos
requieren un experto, y por lo tanto, pueden no ser apropiados si el
departamento de auditoria no cuenta con el entrenamiento adecuado. Otra limitante,
incluyendo el costo, puede ser la sobrecarga del sistema y la degradación en el
tiempo de respuesta. Sin embargo, cuando se usan apropiadamente, estos métodos
superan la utilización en una auditoria tradicional.
- Pruebas integrales. Consiste en el procesamiento
de datos de un departamento ficticio, comparando estos resultados con
resultados predeterminados. En otras palabras, las transacciones iniciadas
por el auditor son independientes de la aplicación normal, pero son
procesadas al mismo tiempo. Especial cuidado se debe tener con las
particiones que se están utilizando en el sistema para prueba de la
contabilidad o balances a fin de evitar situaciones anormales.
- Simulación. Consiste en desarrollar
programas de aplicación para determinada prueba y comparar los resultados
de la simulación con la aplicación real.
- Revisiones de acceso. Se conserva un
registro computarizado de todos los accesos a determinados archivos; por
ejemplo información de la identificación tanto de
- Operaciones en paralelo. Consiste en
verificar de la exactitud de la información sobre los resultados que
produce un sistema nuevo que substituye a uno ya auditado.
- Evaluación de un sistema con datos de
prueba. Esta verificación consiste en probar los resultados producidos en
la aplicación con datos de prueba contra los resultados que fueran
obtenidos inicialmente en las pruebas del programa.
- Registros extendidos. Consiste en
agregar un campo de control a un registro determinado como un campo
especial a un registro extra, que pueda incluir datos de todos los
programas de aplicación que forman parte del procesamiento de determinada
transacción, como en los siguientes casos.
- Totales aleatorios en ciertos
programas. Se consiguen totales en algunas partes del sistema para ir
verificando su exactitud en forma parcial.
- Selección de determinado tipo de
transacciones como auxiliar en el análisis de un archivo histórico. Por
medio de este método podemos analizar en forma parcial el archivo
histórico de un sistema, el cual seria casi imposible de verificar en
forma total.
- Resultados de ciertos cálculos para
comparaciones posteriores. Con ellos podemos comparar en el futuro los
totales en diferentes fechas.
20-
Herramientas y Técnicas para la Auditoria Informática
Cuestionarios:
Las
auditorias en informática se materializan recabando información y documentación
de todo tipo. Los informes finales de los auditores dependen de sus capacidades
para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.
El trabajo de campo del auditor consiste en lograr toda la información
necesaria para la emisión de un juicio global objetivo, siempre amparado en
hechos demostrables, llamados también evidencias.
Para
esto, suele ser lo habitual comenzar solicitando la complentación de
cuestionarios preimpresos que se envían a las personas concretas que el auditor
cree adecuadas, sin que sea obligatorio que dichas personas sean las
responsables oficiales de las diversas áreas a auditar.
Estos
cuestionarios no pueden ni deben ser repetidos para instalaciones distintas,
sino diferentes y muy específicos para cada situación, y muy cuidados en su
fondo y su forma.
Sobre
esta base, se estudia y analiza la documentación recibida, de modo que tal
análisis determine a su vez la información que deberá elaborar el propio
auditor. El cruzamiento de ambos tipos de información es una de las bases
fundamentales de la auditoria.
Cabe
aclarar, que esta primera fase puede omitirse cuando los auditores hayan
adquirido por otros medios la información que aquellos preimpresos hubieran
proporcionado.
Entrevistas
El
auditor comienza a continuación las relaciones personales con el auditado. Lo
hace de tres formas:
- Mediante la petición de documentación
concreta sobre alguna materia de su responsabilidad.
- Mediante “entrevistas” en las que no
se sigue un plan predeterminado ni un método estricto de sometimiento a un
cuestionario.
- Por medio de entrevistas en las que
el auditor sigue un método preestablecido de antemano y busca unas
finalidades concretas.
La entrevista es
una de las actividades personales más importantes del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios
propios puramente técnicos o por las respuestas escritas a cuestionarios.
Checklists:
El auditor
profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por
qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis
posterior, lo cual no quiere decir que haya de someter al auditado a unas
preguntas estereotipadas que no conducen a nada. Muy por el contrario, el
auditor conversará y hará preguntas “normales”, que en realidad servirán para
la complementación sistemática de sus Cuestionarios, de sus Checklists.
Hay opiniones que
descalifican el uso de las Checklists, ya que consideran que leerle una pila de
preguntas recitadas de memoria o leídas en voz alta descalifica al auditor
informático. Pero esto no es usar Checklists, es un evidente falta de
profesionalismo. El profesionalismo pasa por un procesamiento interno de
información a fin de obtener respuestas coherentes que permitan una correcta
descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer
preguntas muy estudiadas que ha de formularse flexiblemente.
El conjunto de
estas preguntas recibe el nombre de Checklists. Salvo excepciones, las
Checklists deben ser contestadas oralmente, ya que superan en riqueza y
generalización a cualquier otra forma.
Según la claridad
de las preguntas y el talante del auditor, el auditado responderá desde
posiciones muy distintas y con disposición muy variable. El auditado,
habitualmente informático de profesión, percibe con cierta facilidad el perfil
técnico y los conocimientos del auditor, precisamente a través de las preguntas
que éste le formula. Esta percepción configura el principio de autoridad y
prestigio que el auditor debe poseer.
Por ello, aun
siendo importante tener elaboradas listas de preguntas muy sistematizadas,
coherentes y clasificadas por materias, todavía lo es más el modo y el orden de
su formulación. Las empresas externas de Auditoria Informática guardan sus
Checklists, pero de poco sirven si el auditor no las utiliza adecuada y
oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases
de autoridad, prestigio y ética.
Los Cheklists de
rango son adecuados si el equipo auditor no es muy grande y mantiene criterios
uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en
la evaluación en la evaluación que en los checklists binarios. Sin embargo, la
bondad del método depende excesivamente de la formación y competencia del
equipo auditor.
Los Checklists
Binarios siguen una elaboración inicial mucho más ardua y compleja. Deben ser
de gran precisión, como corresponde a la suma precisión de la respuesta. Una
vez construidas, tienen la ventaja de exigir menos uniformidad del equipo
auditor y el inconveniente genérico del si o no frente a la mayor riqueza del intervalo.
No existen
Checklists estándar para todas y cada una de las instalaciones informáticas a
auditar. Cada una de ellas posee peculiaridades que hacen necesarios los
retoques de adaptación correspondientes en las preguntas a realizar.
Trazas y/o Huellas:
Con frecuencia, el
auditor informático debe verificar que los programas, tanto de los sistemas
como de usuario, realizan exactamente las funciones previstas, y no otras. Para
ello se apoya en productos Software muy potentes y modulares que, entre otras
funciones, rastrean los caminos que siguen los datos a través del programa.
Muy especialmente,
estas “Trazas” se utilizan para comprobar la ejecución de las validaciones de
datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema.
Si la herramienta auditora produce incrementos apreciables de carga, se
convendrá de antemano las fechas y horas más adecuadas para su empleo.
Software de
Interrogación:
Hasta hace ya
algunos años se han utilizado productos software llamados genéricamente
“paquetes de auditoria”, capaces de genera programas para auditores escasamente
cualificados desde el punto de vista informático.
Más tarde, dichos
productos evolucionaron hacia la obtención de muestreos estadísticos que
permitieran la obtención de consecuencias e hipótesis de la situación real de
una instalación.
En la actualidad,
los productos de software especiales para la auditoria informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y
bases de datos de la empresa auditada. Estos productos son utilizados solamente
por los auditores externos, por cuanto los internos disponen del software
propio de la instalación.
Del mismo modo, la
proliferación de las redes locales y de la filosofía “Cliente-Servidor”, han
llevado a las firmas de software a desarrollar interfaces de transporte de
datos entre computadoras personales y mainframe, de modo que el auditor
informático copia en su propia PC la información más relevante para su trabajo.
Efectivamente,
conectados como terminales al “Host”, almacenan los datos proporcionados por
este, que son tratados posteriormente en modo PC. El auditor se ve obligado
(naturalmente, dependiendo del alcance de la auditoria) a recabar información
de los mencionados usuarios finales, lo cual puede realizar con suma facilidad
con los polivalentes productos descritos. Con todo, las opiniones más
autorizadas indican que el trabajo de campo del auditor informático debe
realizarse principalmente con los productos del cliente.