viernes, 19 de febrero de 2010

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

AUDITORÍA DE SISTEMAS –INTERNA / EXTERNA

INTRODUCCIÓN
La Auditoría de Sistemas de Información nace hace más de 35 años justamente como un Mecanismo, para valorar y evaluar La Confianza Que se puede depositar en los sistemas de información

AUDITORÍA

Proceso sistemático de obtención y evaluación objetiva acerca de aseveraciones efectuadas por terceros referentes a hechos y eventos de naturaleza económica, para testimoniar el grado de correspondencia entre tales afirmaciones y un conjunto de criterios convencionales, comunicando los resultados obtenidos a los destinatarios y usuarios interesados
American Accounting Association
La AUDITORIA de SI es el PROCESO de RECOGER, AGRUPAR y EVALUAR EVIDENCIAS para DETERMINAR si un SISTEMA INFORMATIZADO SALVAGUARDA los ACTIVOS, mantiene la INTEGRIDAD de los DATOS, lleva a cabo los FINES de la ORGANIZACIÓN y UTILIZA EFICIENTEMENTE los RECURSOS

CONCEPTO DE AUDITORÍA
· La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

· Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.

MIGUEL ANGEL RAMOS (MIEMBRO DE LA O.A.I)

· La define como la revisión de la propia informática y de su entorno:
Análisis de riesgos.
Planes de contingencia.
Desarrollo de aplicaciones.
Asesoramiento en paquetes de seguridad.
Revisión de controles y cumplimiento de los mismos, así como de las normas legales

aplicables.
Evaluación de la gestión de los recursos informáticos

AUDITORIA DE SISTEMAS
· El concepto de auditoria es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

· La Informática hoy, está dentro de la gestión integral de la empresa, y por eso, las normas y estándares propiamente informáticos deben estar, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el “management” o gestión de la empresa.

· En este sentido y debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática.

· Finalmente, debemos reafirmar que la Auditoria Informática, también conocida en nuestro medio como Auditoria de Sistemas, surge debido a que la información se convierte en uno de los activos más importante de las empresas, lo cual se puede confirmar si consideramos el hecho de que si se queman las instalaciones físicas de cualquier organización, sin que sufran daños los ordenadores, servidores o equipo de cómputo, la entidad podría retomar su operación normal en un menor tiempo, que si ocurre lo contrario.

· A raíz de esto, la información adquiere gran importancia en la empresa moderna debido a su poder estratégico y a que se invierten grandes sumas de dinero y tiempo en la creación de sistemas de información con el fin de obtener una mayor productividad.

CONCEPTO DE AUDITORÍA
Se entiende por Auditoria “una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. (B.Sawyer)”.
Los distintos tipos de auditorías que se pueden realizar se clasifican en:
Financieras
Verificativas
Informáticas
Operativas o de Gestión
Técnicas.

AUDITORIAS FINANCIERAS: Las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimiento de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización.


LAS AUDITORIAS VERIFICATIVAS O DE CUMPLIMIENTO: Tratan de asegurar a la dirección de la organización, que sus políticas, programas y normas se cumplen razonablemente en todo el ámbito de la misma.


LA AUDITORÍA INFORMÁTICA: Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software.


LA AUDITORÍA OPERATIVA O DE GESTIÓN: Es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos.


LA AUDITORÍA TÉCNICA O DE MÉTODOS: Es una revisión de los métodos y técnicas utilizadas en la realización de las operaciones de la empresa.


¿QUÉ SE DEBE ASEGURAR?
Siendo que la información debe considerarse como un recurso con el que cuentan las Organizaciones y por lo tanto tiene valor para éstas, al igual que el resto de los activos, debe estar debidamente protegida.


¿CONTRA QUÉ SE DEBE PROTEGER LA INFORMACIÓN?
La Seguridad de la Información, protege a ésta de una amplia gama de amenazas, tanto de orden fortuito como destrucción, incendio o inundaciones, como de orden deliberado, tal como fraude, espionaje, sabotaje, vandalismo, etc.


¿QUÉ SE DEBE GARANTIZAR?
CONFIDENCIALIDAD: Se garantiza que la información es accesible sólo a aquellas personas autorizadas a tener acceso a la misma.


INTEGRIDAD: Se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.


DISPONIBILIDAD: Se garantiza que los usuarios autorizados tienen acceso a la información y a los recursos relacionados con la misma toda vez que se requiera.
¿POR QUÉ AUMENTAN LAS AMENAZAS?


Las Organizaciones son cada vez más dependientes de sus Sistemas y Servicios de Información, por lo tanto podemos afirmar que son cada vez más vulnerables a las amenazas concernientes a su seguridad.

¿POR QUÉ AUMENTAN LAS AMENAZAS?
Crecimiento exponencial de las Redes y Usuarios Interconectados
Profusión de las BD On-Line
Inmadurez de las Nuevas Tecnologías
Alta disponibilidad de Herramientas Automatizadas de Ataques
Nuevas Técnicas de Ataque Distribuido
Técnicas de Ingeniería Social


¿CUÁLES SON LAS AMENAZAS?
ACCIDENTES: Averías, Catástrofes, Interrupciones.
ERRORES: de Uso, Diseño, Control.
INTENCIONALES PRESENCIALES: Atentado con acceso físico no autorizado
INTENCIONALES REMOTAS: Requieren acceso al canal de comunicación
AMENAZAS INTENCIONALES REMOTAS


Interceptación pasiva de la información (amenaza a la CONFIDENCIALIDAD).
Corrupción o destrucción de la información (amenaza a la INTEGRIDAD).
Suplantación de origen (amenaza a la AUTENTICACIÓN).


ESTRUCTURA DE SEGURIDAD – ANÁLISIS DE RIESGOS
Análisis de Riesgos
Se considera Riesgo Informático, a todo factor que pueda generar una disminución en:
Confidencialidad – Disponibilidad – Integridad


Determina la probabilidad de ocurrencia
Determina el impacto potencial


ANÁLISIS DE RIESGOS – MODELO DE GESTIÓN



LA RESPONSABILIDAD EN ÚLTIMO EXTREMO, EN UNA EMPRESA SOBRE LA OPTIMIZACIÓN DE LA CALIDAD DE LOS SI, Y LA RENTABILIDAD DE LOS RECURSOS

INFORMÁTICOS LA TIENE:
1. La Dirección de la empresa
2. El auditor de SI interno
3. El responsable de las Tecnologías de la Información
4. El vendedor del software y el hardware

UN AUDITOR DE SISTEMAS DE INFORMACIÓN DEBE, ENTRE SUS RESPONSABILIDADES, REALIZAR:
1. La redacción de los procedimientos de control en el área de seguridad lógica
2. La aprobación de nuevos sistemas de gestión
3. Evaluar los riesgos de los sistemas de información
4. Las pruebas del plan de continuidad del negocio

AUDITORÍA INTERNA / EXTERNA
La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos.

LA AUDITORÍA INTERNA: Constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:
La salvaguardia del inmovilizado material e inmaterial de la entidad.
La exactitud y fiabilidad de los registros contables.
El fomento de la eficiencia operativa
La adhesión a las políticas de la entidad y el cumplimiento de sus obligaciones legales.

El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.

LA AUDITORÍA EXTERNA: Constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.

OBJETIVO
El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera

EL AUDITOR INFORMÁTICO: Pone a disposición de la función auditora, sea externa o interna, sus conocimientos técnicos de informática. Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas sofisticadas en algunos casos, incluyendo el uso de software.
En una primera clasificación las actividades típicas del auditor informático se clasifican en cinco grandes clases:
Auditoría de la gestión de los S.I./T.I.
Auditoría de los sistemas en desarrollo
Auditoría de los Centros de Proceso de Datos
Auditoria de las Aplicaciones
Apoyo a los auditores no informáticos.
El concepto moderno de esta función es radicalmente distinto de la idea que, tradicionalmente, identificaba al departamento de auditoría interna como una unidad preocupada básicamente de asegurar el correcto registro de las transacciones desde la perspectiva contable y financiera, con objeto de eliminar errores y fraudes de esta naturaleza.

· Servida por personal altamente calificado, con un conocimiento global de las organizaciones y una visión o enfoque de los problemas gerenciales.
· Actuando como control de los restantes controles de la organización, buscando prestar un servicio a los auditados y a la dirección.
· Independiente para la formulación de sus opiniones y recomendaciones.
· Trabajando con arreglo a la previa y autorizada planificación anual de sus informes y actividades.

CONCEPTO DE AUDITORÍA INTERNA
Se define como una función de valoración independiente establecida dentro de una organización para examinar y evaluar sus actividades como un servicio a la organización.
Su objetivo es asistir a los miembros de la organización en el cumplimiento efectivo de sus responsabilidades.
Proporciona análisis, valoraciones, recomendaciones, consejo e información sobre las actividades revisadas. Los miembros de la organización asistidos por la auditoría interna son tanto la dirección como el Consejo de Administración.

ALCANCE
El alcance de la auditoría interna debe abarcar el examen y evaluación de la adecuación y efectividad del sistema de control interno y la calidad de la de ejecución en la realización de las responsabilidades asignadas.

LOS AUDITORES INTERNOS DEBEN
Revisar la fiabilidad e integridad de la información financiera y operativa y de los medios utilizados para identificar, evaluar, clasificar y comunicar dicha información.
Revisar los sistemas establecidos para asegurar que estén de acuerdo con aquellas políticas, planes, procedimientos, leyes y reglamentos que pudieran tener efecto significativo en las operaciones e informes, determinando si la organización los está aplicando.

LA INDEPENDENCIA DE LOS AUDITORES: Es otro de los aspectos relevantes. Los auditores internos deben ser independientes de las actividades que auditen.
Los auditores son independientes cuando pueden realizar su trabajo libre y objetivamente.
La independencia permite a los auditores internos emitir juicios imparciales y sin prejuicios, lo que es esencial para la adecuada ejecución de las auditorias. Esto se consigue mediante un adecuado nivel en la organización y con objetividad.
La objetividad es una actitud mental independiente que los auditores internos deberían mantener en la realización de auditorias. Los auditores internos en ningún caso deben subordinar sus juicios en materia de auditoría a los de otros.
Diseñar, instalar y manejar sistemas no son funciones de auditoría. Tampoco el diseño de procedimientos para sistemas es una función de auditoría. La realización de tales actividades supone un perjuicio para la objetividad de la auditoría.
Contenido funcional de la auditoría interna
Dependerá del concepto que la dirección tenga de ella, de los objetivos que pretenda conseguir, de las peculiaridades y características de cada empresa, del estilo propio de dirección y de la personalidad y criterio del director de la misma.


CONTENIDO FUNCIONAL DE LA AUDITORÍA INTERNA
Sin embargo, sólo se deberá llamar auditoria interna a una sección o departamento de la empresa que:
· Utilice las técnicas y normas de auditoria.
· Independiente en cuanto a su libertad de actuación dentro de la organización.
· Evalúe todas las áreas y actividades funcionales de la empresa.
· Emita informes, concretados en recomendaciones, pero sin autoridad para imponerlas ejecutivamente.
Por tanto, la auditoría interna se caracteriza en la actualidad porque:
· Es parte de la dirección o debe estar muy próxima a ella y contar con su apoyo.
· Exige personal calificado de toda confianza y discreción.
· No debe tener limitada su actividad a las áreas financieras o económicas.
· Debe disponer de su propio estatuto donde se indique su dependencia, sus atribuciones y sus funciones o deberes.
· Debe buscar el aumento de la eficiencia de la empresa.

DIFERENCIAS ENTRE AUDITORIA INTERNA Y EXTERNA
La auditoría interna se lleva a cabo con personas pertenecientes a la misma plantilla, mientras que la externa exige, como condición esencial a la misma y de su credibilidad, que los profesionales que la realizan no formen parte de la empresa auditada, es decir que sean totalmente independientes de ella y de sus cuadros directivos.

DIFERENCIAS ENTRE AUDITORIA INTERNA Y EXTERNA
Los trabajos de auditoría externa se desarrolla de acuerdo con normas y procedimientos internacionalmente homologados que no suelen ser substancialmente alterados ni modificados, mientras que los procedimientos de auditoría interna son mucho más flexibles y dependen, en cada caso, de la empresa, sus dirigentes y de los propios responsables de auditoría interna.

AUDITORIA INTERNA Y SUS RELACIONES
A) Dentro de la empresa:
La profesionalidad y la discreción.
La moderna auditoría interna debe ser entendida como un colaborador-asesor que indique que la mejor manera de hacer las cosas, que apunte deficiencias para que sean corregidas por los propios auditados y que escuche aspiraciones, sugerencias, etc.

AUDITORIA INTERNA Y SUS RELACIONES
Debe tener un conocimiento real de las funciones que estas unidades llevan a cabo, familiarizarse con ellas y formar equipo con sus trabajadores para documentarse, como paso previo a la realización de programas concretos de auditoría de gestión.
B) Con la auditoría externa:
La modernidad de un departamento de auditoría interna exige tener buenas relaciones con los auditores externos.
Las normas y prácticas de auditoría establecen muy claramente la necesidad de una actuación coordinada y eficaz de ambos auditores tal como se indica más adelante.
En ocasiones, se hace necesario un esfuerzo especial para evitar efectos perturbadores en las relaciones con los auditores externos como consecuencia de los requisitos de trabajo complementario que estos hacen a los auditores internos.