Dentro de una especialidad tan reciente y expansiva como la llamada auditoría informática, cabe perfectamente la confusión conceptual tanto en los diferentes aspectos, áreas o enfoques en si mismos como por la debida a la vertiginosa evolución que experimenta la especialidad.
Si desmenuzamos el contenido de la auditoría y su evolución podemos observar que el concepto permanece inamovible y son su objeto y finalidad lo que puede variar.
También parece procedente hacer una alusión específica a la consultoría como especialidad profesional, ya que se hace preciso delimitar sus respectivos campos que en ocasiones se confunden y superponen.
CONSULTORIA CONCEPTO:
La consultoría consiste en dar asesoramiento o consejo sobre lo que se ha de hacer o como llevar adecuadamente una determinada actividad para obtener los fines deseados.
Elementos de la consultoría:
1) Contenido.- Dar asesoramiento o consejo.
2) Condición.- De carácter especializado.
3) Justificación.- En base a un examen o análisis.
4) Objeto.- La actividad o cuestión sometida a consideración.
5) Finalidad.- Establecer la manera de llevarla acabo adecuadamente.
Es una función a priori con el fin de determinar como llevar a cabo una función o actividad de forma que se obtengan resultados. La auditoria verifica a posteriori si estas condiciones se cumplen y los resultados que se obtienen son reales.
Tipos de clases de consultoría:
Clase Contenido Objeto Finalidad
Financiera Asesoramiento Planes de cuentas.
Procedimientos administrativos Diseño e implantación
Informática Asesoramiento Aplicaciones.
Planes de contingencia Desarrollo.
Diseño e implantación
Definiciones de auditoria:
A) A. J. Thomas “La auditoria informática, que es una parte integrante de auditoria, se estudia por separado para tratar problemas específicos y para aprovechar los recursos del personal. La auditoria informática debe realizarse dentro del marco de la auditoria general .La auditoria informática se puede dividir en:
- Un estudio del sistema y un análisis de los controles organizativos y operativos del departamento de informática.
- Una investigación y análisis de los sistemas de aplicación que se estén desarrollando o que ya estén implantados.
- Auditoras de datos reales y de resultados de los sistemas que se estén utilizando.
- La realización de auditoria de eficiencia y eficacia."
B) Miembro de la OAI, Miguel Ángel Ramos, que define “La revisión de la propia informática y de su entorno”, definición que da lugar a las siguientes actividades:
- Análisis de riesgos.
- Planes de contingencia.
- Desarrollo de aplicaciones.
- Asesoramiento en paquetes de seguridad.
- Revisión de controles y cumplimiento de los mismos, así como de las normas legales aplicables.
- Evaluación de la gestión de los recursos informáticos.
C) A la de J. J. Acha que por su parte la define como “Un conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático. Con el fin de proteger sus recursos y activos, verificar si sus actividades se desarrollan eficientemente y de acuerdo a la normativa informática y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente”.
VENTAJAS DE LA INFORMATICA COMO HERRAMIENTA DE LA AUDITORIA FINANCIERA:
Grado de información:
Procedimientos (técnicas) que se ejecutan de forma más eficiente con medios informáticos:
• Inspección.- comparación de datos en dos archivos o cuentas distintas, conciliaciones.
• Calculo.- de amortizaciones, ratios, etc.
• Análisis.- datos que cumplan determinadas condiciones.
• Confirmación.- calculo estadístico, selección y emisión de muestras, cumplimiento.
Mejora de técnicas habituales
Herramientas informáticas:
Tipo Planificación de la Auditoria Ejecución de la auditoria
General Tratamiento de textos
Flowcharting (diagramas representativos, flujo de doctos.)
Utilidades(comunicaciones, visualizar archivos, búsquedas) Tratamiento de textos (maquina de escribir supe automatizadas para circulares, memorandos, etc.)
Hojas de calculo
Acceso directo ACL(puede manipular los datos del archivo prácticamente de cualquier forma o manera)
Especifico Generadores de papeles de trabajo (plantillas, formatos, etc.)
Administración (horas empleadas, área, control presupuestario) Simulación paralela
Revisión analítica
Especializados Integradores Sistemas expertos
Test check
ACL:- Ordenar
- Cronologilizar
- Extraer según condiciones
- Estadísticas
- Muestras
- Clasificar
- Contar
- Agregar
- Totalizar
- Estratificar comparar
COMPROBACION DE BALANCE
Revisión analítica
Normalmente se utiliza la hoja de calculo para obtener los datos.
Sistemas expertos
Son las aplicaciones mas avanzadas en cualquier campo o llamada también inteligencia artificial. Se trata de usar el computador para que proporcione resultados o conclusiones producto del procesamiento de unos datos específicos en base a unos conocimientos preexistentes en el mismo.
Test check
Consiste en introducir en la aplicación que el auditado utilice un conjunto de valores cuyo resultado se conoce. Estos valores se comparan con los que eventualmente proporcione la aplicación.
Integradores
Es decir, todas aquellas aplicaciones que interrelacionan todas las demás para crear un entorno único que utiliza la totalidad de la información obtenida a través de las diferentes herramientas creando un sistema de auditoria.
GRADO DE UTILIZACION.
Costo económico
Falta de conocimiento en cuanto a la disminución de costos. No se ve con claridad que la inversión necesaria se vea compensada por la eficiencia que se alcanza.
Complejidad técnica
Cierto temor reverencial a una nueva técnica que mirada desde el exterior parece sumamente compleja y algo mágico que da por si ahuyenta.
Falta de entrenamiento y experiencia
Es innegable que la utilización de las técnicas de auditoría asistidas por computador requiere un mínimo de entrenamiento y conocimiento. La gran diferencia que estos mínimos son perfectamente asequibles y consiguen que el auditor retenga el control del proceso de auditoría.
Cualidades:
• Ser experto auditor (financiero)
• Entender el diseño y modo de operar del sistema S.I
• Tener conocimientos básicos de técnicas y lenguajes de operación
• Estar familiarizado con los S.O
• Saber cuándo pedir apoyo de un especialista
CONCLUSIONES
El objeto de la auditoría financiera ha cambiado. Incorpora la TI. Esto trae consigo el cambio de los libros a analizar e igualmente la necesidad de aplicar nuevos procedimientos que utilizan herramientas informáticas.
CONTROL INTERNO Y AUDITORIA INFORMATICA
Tradicionalmente en materia de control interno se adopta un enfoque bastante restringido y limitado a los controles contables internos. El control interno era un tema que interesaba principalmente al personal financiero de la organización, y por su puesto, al auditor externo.
Además de la gran atención que prestan las autoridades al problema, se observan importantes cambios en las empresas. Dichos cambios someten a una gran tensión a los controles internos existentes. La mayoría de las organizaciones han acometido varia iniciativas en tal sentido, tales como:
• La reestructuración de los procesos empresariales(BPR-bussines process re.engenieering)
• La gestión de la calidad total (TQM- total quality mangment).
• El redimensionamiento por reducción y/o por aumento del tamaño hasta el nivel correcto.
• La contratación interna (outsourcing).
• La descentralización.
Las tendencias externas que influyen sobre las empresas son, entre otras, las siguientes:
• La globalización.
• La diversificación de actividades.
• La eliminación de ramas de negocio no rentables o antiguas.
• La introducción de nuevas productos como respuesta a la competencia.
• Las fusiones y la formación de alianzas estratégicas.
Ante la rapidez de los cambios, los directivos toman conciencia de que para evitar fallos del control significativos deben reevaluar y reestructurar los sistemas de controles internos. Deben actuar de manera proactiva antes de que surjan los problemas.
La auditoria ha cambiado notablemente en los últimos años con el enorme impacto que han venido obrando las técnicas informáticas en la forma de procesar la información par la gerencia. La necesidad de adquirir y mantener conocimientos actualizados de los sistemas informáticos se vuelve cada vez mas acuciante, si bien los aspectos de la profesión no han variado.
La mayoría de las organizaciones han acometido varias iniciativas en tal sentido, tales como:
• La restructuración de los procesos empresariales
• La gestión de la calidad total
• El redimensionamiento por reducción y/o por el aumento del tamaño hasta el nivel correcto
• La contratación externa (outsourcing)
• La descentralización
Las tendencias externas que influyen sobre las empresas son:
• La globalización
• La diversificación de actividades
• La eliminación de ramas de negocio no rentables o antiguas
• La introducción de nuevos productos
• Las fusiones y la formación de alianzas estratégicas
LAS FUNCIONES DE CONTROL INTERNO Y AUDITORIA INFORMÁTICOS
CONTROL INTERNO INFORMÁTICO
El control interno informático controla directamente que todas las actividades de sistemas de información sean realizadas cumpliendo los procedimientos, estándares y no normas fijados por la Dirección de la Organización y/o la Dirección de Información, así como los requerimientos legales.
Control interno informático suele ser un órgano staff de la Dirección del Departamento de Informática y está dotado de las personas y medios materiales proporcionados que se le encomienden.
Principales objetivos
• Controlar que todas las actividades se realicen cumpliendo los procedimientos y normas fijadas
• Asesorar sobre el conocimiento de las normas
• Colocar y apoyar el trabajo de Auditoría Informática
• Definir implementar y ejecutar mecanismos y controles para comprobar el logro de los grados de servicio informático
AUDITORIA INFORMÁTICA
La auditoria informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficaz mente los fines de la organización y utiliza eficientemente los recursos. Objetivos tradicionales de la auditoria:
• Objetivos de protección de activos e integridad de dato
• Objetivos de gestión que abarcan, no solamente los de protección de activos, sino también de la eficacia y eficiencia.
El auditor evalúa y comprueba en determinados momentos del tiempo los controles y procedimientos informativos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría.
El auditor es responsable de revisar e informar a la Dirección de la Organización sobre el diseño y el funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
Funciones a realizar por un auditor informático:
• Participar en las revisiones durante y después del diseño, realización, implementación y explotación de aplicaciones informativas, así como en las fases análogas de realización de cambios importantes.
• Revisar y juzgar los controles implantados en los sistemas informativos para verificar su adecuación a las órdenes e instrucciones de la dirección, requisitos legales, protección de confiabilidad y cobertura ante errores y fraudes.
• Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos e información.
CONTROL INTERNO Y AUDITORIA INFORMÁTICOS: CAMPOS ANÁLOGOS
Aunque ambas figuras tienen objetivos comunes, existen diferencias que conviene matizar.
Similitudes
personal interno, conocimientos especializados en tecnología de la información verificación del cumplimiento de controles internos, normativa y procedimientos establecidos por la dirección de informática y la dirección general para los sistemas de información.
Diferencias
Control interno informático: análisis de los controles en el día a día. Información a la dirección del departamento de informática solo personal interno. El enlace de sus funciones es únicamente sobre el departamento de informática
Auditor informático: análisis de un momento informático determinado. Información a la dirección general de la organización. Personal interno y/o externo. Tiene cobertura sobre todos los componentes de sistemas de información de la organización.
SISTEMAS DE CONTROL INTERNO INFORMÁTICO
DEFINICIÓN Y TIPOS DE CONTROLES INTERNOS
Control interno es cualquier actividad o acción realizada manual y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar el funcionamiento de un sistema para conseguir sus objetivos.
Los objetivos de los controles informáticos se han clasificado en las siguientes categorías:
• Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
• Controles defectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento.
• Controles correctivos: facilitan la vuelta ala normalidad cuando se han producido incidencias.
La relación que existe entre los métodos de control y los objetivos de control puede demostrarse mediante el siguiente ejemplo, en el mismo conjunto de métodos de control se utiliza para satisfacer objetivos de control tanto de mantenimiento como de seguridad de los programas:
• Objetivo de control de mantenimiento: asegurar que las modificaciones de los procedimientos programados están adecuadamente diseñados, probadas, aprobadas e implementadas.
• Objetivo de control de seguridad de programas: garantiza que no se puedan ejecutar cambios no autorizados en los procedimientos programados.
IMPLANTACIÓN DE UN SISTEMA DE CONTROLES INTERNOS INFORMÁTICOS.
Los controles pueden implementarse en varios niveles diferentes. La evaluación de los controles de la tecnología de la información exige analizar diversos elementos interdependientes.
Niveles de control y elementos relacionados
• Entorno de red: esquema de la red descripción de la configuración hardware de comunicaciones, descripción de software que se utiliza como acceso a las telecomunicaciones, control de red, situación general de los computadores de entornos de base que soportan aplicaciones críticas y consideraciones relativas a la seguridad de la red.
• Configuración del computador base: configuración del software físico, entorno del sistema operativo, software para particiones, entornos.
• Entorno de aplicaciones: proceso de transacciones, sistemas de gestión de base de programas y conjunto de datos.
• Productos y herramientas: software para desarrollo de programas, software de gestión de bibliotecas y para operaciones automáticas.
• Seguridad del computador base: identificar y verificar usuarios, control de acceso, registro de información, integridad de sistema, controles de supervisión, etc.
Para la implementación de un sistema de controles internos informáticos habrá que definir:
• Administración de sistema: controles sobre la actividad de los controles de datos y otras funciones de apoyo al sistema, incluyendo la administración de las redes.
• Seguridad: incluye las tres clases de controles fundamentales implementados en el software del sistema, integridad del sistema, confiabilidad y disponibilidad.
• Gestión de cambio: separación de las pruebas y la producción a nivel de software y controles de procedimientos para la migración de programas software aprobados y probados.
La implementación de una política y cultura sobre la seguridad requiere que sea realizada por fases y esta respaldada por la dirección:
• Dirección de negocio o dirección de sistemas de información (S.I.): Define la política y/o dirección para los sistemas de información en base a las exigencias del negocio.
• Dirección de informática: define las normas de funcionamiento del entorno informático y de cada una de las funciones informáticas mediante la creación y publicación de procedimientos.
• Control interno informático: define los diferentes controles periódicos a realizar en cada una de las funciones informáticas.
Auditor interno/externo informático: Ha de revisarlos diferentes controles internos definidos en cada una de las funciones informáticas y el cumplimiento de normativa interna y externa, de acuerdo al nivel de riesgo, conforme a los objetivos definidos por la Dirección de Negocio y la Dirección de Informática.
La creación de un sistema de control informático es una responsabilidad de la Gerencia y un punto destacable de la política en el entorno informático.
CONTROLES GENERALES ORGANIZATIVOS
• Políticas: Deberán servir en la base de la planificación, control y evaluación por la dirección de las actividades del depto. De informática.
Planificación:
• Plan estratégico de información: Realizado por los órganos de la alta Dirección de la empresa donde se definen los procesos corporativos.
• Plan informático: Realizado por el Depto. De informática, determina los cambios precisos para cubrir las necesidades de la empresa plasmándolas en proyectos informáticos.
• Plan general de seguridad: Garantiza la confidencialidad, integridad y disponibilidad de la información.
• Plan de emergencia ante desastre: Garantiza la disponibilidad de los sistemas ante eventos.
• Estándares: Regulan la adquisición de recursos, el diseño, desarrollo y modificación y explotación de sistemas.
• Procedimientos: Describen la forma y la responsabilidad de ejecutoria para regular las relaciones del departamento de informática.
• Organizar el departamento de informática.
• Descripción de las funciones y responsabilidades.
• Políticas de personal.
CONTORLES DE DESARROLLO, ADQUISISION Y MANTENIMIENTO DE SISTEMAS DE INFORMACION.
Para que permitan alcanzar la eficacia del sistema, economía y eficiencia, integridad de los datos, protección de los recursos y cumplimiento con las leyes y regulaciones.
• Explotación y mantenimiento: el establecimiento de controles asegurara que los datos se tratan de forma congruente y que el contenido de sistemas solo será modificado mediante autorización adecuada.
Procedimientos de control de explotación.
Sistema de contabilidad para asignar usuarios.
Procedimientos para realizar un seguimiento.
CONTROLES DE EXPLOTACION DE SISTEMAS DE INFORMACION
• Planificación y gestión de recursos: Define el presupuesto operativo del departamento, plan de adquisición de equipos y gestión de la capacidad de equipos.
Calendario de carga de trabajo.
Programación de personal.
Gestión de problemas y cambios.
Procedimiento de facturación a usuarios.
Mantenimiento preventivo de material.
• Procedimientos de selección de software del sistema, de instalación, de mantenimiento, seguridad y control de cambios.
• Seguridad física y lógica
Definir un grupo de seguridad de la información.
Controles físicos para asegurar el acceso a las instalaciones del departamento de informática.
Las personas del departamento deben de ir acompañadas por un personal de plantilla.
Control de acceso restringido a las computadoras.
Instalación de medidas de protección contra el fuego.
CONTROLES EN APLICACIONES
Cada aplicación debe de llevar controles incorporados para garantizar la entrada, actualización y validez y mantenimiento completos y exactos de los datos.
• Control de entradas de datos: Procedimientos de conversación y de entrada, validación y corrección de datos.
• Control de tratamientos: Para asegurar que no den de alta, modifiquen o borren datos no autorizados.
• Control de salida de datos: Sobre el cuadre y reconciliación de salidas, procedimientos de distribución de salidas, de gestión de errores en las salidas, etc.
CONTROLES ESPECIFICOS DE CIERTAS TECNOLOGIAS
• Controles en sistemas de gestión de base de datos:
Que están definidas las responsabilidades sobre la planificación, organización, dotación y control de activos de datos.
Controles para asegurar la integridad de los datos
Controles para minimizar fallos, recuperar el entorno de la base de datos hasta el punto de caída.
• Controles en informática y redes
Planes adecuados de implementación, conversación y pruebas de aceptación para la red.
Existencia de grupo de control de red.
Controles para asegurar la compatibilidad de conjunto de datos.
Existencia de inventarios de red.
Controles de seguridad lógica: control de acceso a la red y de establecimiento a usuarios.
Procedimientos de respaldo de hardware y software en la red.
Asegurarse de que haya procedimientos de recuperación y reinicio.
Existencia de mantenimiento preventivo a todos los activos.
• Controles sobre computadores personales y redes de área local
Políticas de adquisición y utilización.
Normativas y procedimientos de desarrollo y adquisición de software y aplicaciones.
Procedimientos de control de software contratado bajo licencia.
Inventario actualizado de todas las aplicaciones de entidad.
Revisiones periódicas del uso de las computadoras personales.
Procedimientos de seguridad lógica y física.
Adecuada identificación de usuarios en cuanto a las siguientes operaciones: altas, bajas y modificaciones, cambio de Password, explotación del log del sistema.
Controlar las conexiones remotas in/out (CAL): módems, gateways, mapper.
Controles para evitar la introducción de un Sistema operativo a través del disquete que pudiera vulnerar el Sistema de seguridad establecido.
Contratos de mantenimiento correctivo y preventivo.
No hay comentarios:
Publicar un comentario