Aporte : Saulo Quispe Huaman

1.INTRODUCCION
2.RIESGOSDELAINFORMACINYELCENTRODECMPUTO.
3.CONTROLINTERNO
4.EL AUDITOR
Saulo Quispe Huamani
La Informtica hoy, est subsumida en la gestin integral de la
empresa, y por eso las normas y estndares propiamente informticos
deben estar; por lo tanto, sometidos a los generales de la misma.
Las organizaciones informticas forman parte de lo que se ha
denominado el "management o gestin de la empresa. debido a su
importancia en el funcionamiento de una empresa, existe la Auditoria
Informtica.
La palabra auditora proviene del latn auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de or.
Saulo Quispe Huamani
Es un examen que se realiza con carcter objetivo, crtico, sistemtico y
selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de
los recursos informticos, de la gestin informtica y si estas han brindado
el soporte adecuado a los objetivos y metas del negocio.
Saulo Quispe Huamani
La Auditoria de Tecnologa de Informacin(T.I.) como se le conoce
actualmente, (Auditoria informtica o Auditoria de sistemas en nuestro
medio), se ha consolidado en el mundo entero como cuerpo de
conocimientos cierto y consistente, respondiendo a la acelerada evolucin
de la tecnologa informtica de los ltimos aos.
La INFORMACIN es considerada un activo tan o ms importante que
cualquier otro en una organizacin.
Saulo Quispe Huamani
Existe pues, un cuerpo de conocimientos, normas, tcnicas y buenas
practicas dedicadas a la evaluacin y aseguramiento de la calidad,
seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y
almacenada a travs del computador y equipos afines, as como de la
eficiencia, eficacia y economa con que la administracin de un ente est
manejando dicha INFORMACION y todos los recursos fsicos y humanos
asociados para su adquisicin, captura, procesamiento, transmisin,
distribucin, uso y almacenamiento. Todo lo anterior con el objetivo de
emitir una opinin o juicio, para lo cual se aplican tcnicas de auditoria de
general aceptacin y conocimiento tcnico especfico.
Saulo Quispe Huamani
La Auditora Informtica deber comprender no slo la evaluacin de los
equipos de cmputo, de un sistema o procedimiento especfico, sino que
adems habr de evaluar los sistemas de informacin en general desde sus
entradas, procedimientos, controles, archivos, seguridad y obtencin de
informacin.
Saulo Quispe Huamani
Esta es de vital importancia para el buen desempeo de los sistemas de
informacin, y a que proporcin a los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Adems debe
evaluar todo: informtica, organizacin de centros de informacin,
hardware y software.
Saulo Quispe Huamani
El alcance ha de definir con precisin el entorno y los lmites en que va a
desarrollarse la auditoria informtica, se complementa con los objetivos de
sta.
El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha
llegado, si no cuales materias fronterizas han sido omitidas.
Saulo Quispe Huamani
Ejemplo: Se sometern los registros grabados a un control de integridad
exhaustivo?
Se comprobar que los controles de validacin de errores son adecuados y
suficientes?
La definicin de los alcances de la auditoria compromete el xito de la
misma.
Saulo Quispe Huamani
La informacin de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias
primas si las hay. Por ende, han de realizarse inversiones informticas,
materia de la que se ocupa la Auditoria de Inversin Informtica.
Del mismo modo, los Sistemas Informticos han de protegerse de modo
global y particular: a ello se debe la existencia de la Auditora de Seguridad
Informtica en general, o a la auditora de Seguridad de alguna de sus
reas, como pudieran ser Desarrollo o Tcnica de Sistemas.
Saulo Quispe Huamani
Cuando se producen cambios estructurales en la Informtica, se
reorganiza de alguna forma su funcin: se est en el campo de la
Auditora de Organizacin Informtica.
Estos tres tipos de auditoras engloban a las actividades auditoras
que se realizan en una auditora parcial. De otra manera: cuando se
realiza una auditoria del rea de Desarrollo de Proyectos de la
Informtica de una empresa, es por que en ese Desarrollo existen,
adems de ineficiencias, debilidades de organizacin, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
Saulo Quispe Huamani
El control del funcionamiento del departamento de informtica con
el exterior, con el usuario se realiza por medio de la Direccin. Su
figura es importante, en tanto en cuanto es capaz de interpretar las
necesidades de la Compaa. Una informtica eficiente y eficaz
requiere el apoyo continuado de su Direccin frente al exterior.
Revisar estas interrelaciones constituye el objeto de la Auditora
Informtica de Direccin.
Saulo Quispe Huamani
Estas tres auditoras, mas la auditora de Seguridad, son las cuatro reas
Generales de la Auditora Informtica ms importantes.
Dentro de las reas generales, se establecen las siguientes divisiones de
Auditora Informtica:
I. De Explotacin,
II. De Sistemas,
III. De Comunicaciones y
IV. De Desarrollo de Proyectos.
Estas son las reas Especificas de la Auditora Informtica ms
importantes.
Saulo Quispe Huamani
La Explotacin Informtica se ocupa de producir resultados
informticos de todo tipo: listadosimpresos, ficheros soportados
magnticamente para otros informticos, ordenes automatizadas
para lanzar o modificar procesos industriales, etc.
La explotacin informtica se puede considerar como una fabrica con
ciertas peculiaridades que la distinguen de las reales. Para realizar la
Explotacin Informtica se dispone de una materia prima, los Datos,
que es necesario transformar, y que se someten previamente a
controles de integridad y calidad.
Saulo Quispe Huamani
Se ocupa de analizar la actividad que se conoce como Tcnica de Sistemas en todas sus facetas.
Sistemas Operativos:
Engloba los Subsistemas de Teleproceso, Entrada/Salida, etc. Debe verificarse en primer lugar que los Sistemas estn
actualizados con las ltimas versiones del fabricante, indagando las causas de las omisiones si las hubiera.
Software Bsico:
Es fundamental para el auditor conocer los productos de software bsico que han sido facturados aparte de la propia
computadora. En cuanto al Software desarrollado por el personal informtico de la empresa, el auditor debe verificar
que ste no agreda ni condiciona al Sistema.
Saulo Quispe Huamani
Software de Teleproceso (Tiempo Real)
No se incluye en Software Bsico por su especialidad e importancia.
Tunning:
Es el conjunto de tcnicas de observacin y de medidas en caminadas a la
evaluacin del comportamiento de los Subsistemas y del Sistema en su
conjunto.
Saulo Quispe Huamani
Administracin de Base de Datos:
El diseo de las Bases de Datos, sean relaciones o jerrquicas, se ha
convertido en una actividad muy compleja y sofisticada. La
administracin tendra que estar a cargo de Explotacin. El auditor
de Base de Datos debera asegurarse que Explotacin conoce
suficientemente las que son accedidas por los Procedimientos que la
ejecuta. Analizar los Sistemas de salvaguarda existentes, que
competen igualmente a Explotacin. Revisar finalmente la
integridad y consistencia de los datos, as como la ausencia de
redundancias entre ellos.
Saulo Quispe Huamani
Revisin de la topologa de Red y determinacin de posibles mejoras,
anlisis de caudales y grados de utilizacin.
Saulo Quispe Huamani
Revisin del proceso completo de desarrollo de proyectos por parte de la
empresa auditada.
El anlisis se basa en cuatro aspectos fundamentales:
Saulo Quispe Huamani
Revisin de las metodologas utilizadas:
Se analizaran stas, de modo que se asegure la modularidad de las posibles
futuras ampliaciones de la Aplicacin y el fcil mantenimiento de las
mismas.
Saulo Quispe Huamani
Control Interno de las Aplicaciones:
Se debern revisar las mismas fases que presuntamente han debido seguir
el rea correspondiente de Desarrollo:
Estudio de Vialidad de la Aplicacin
Definicin Lgica de la Aplicacin.
Desarrollo Tcnico de la Aplicacin.
Diseo de Programas.
Mtodos de Pruebas.
Documentacin.
Equipo de Programacin
Saulo Quispe Huamani
Satisfaccin de usuarios:
Una Aplicacin tcnicamente eficiente y bien desarrollada, deber
considerarse fracasada sino sirve a los intereses del usuario que la solicit.
La aquiescencia del usuario proporciona grandes ventajas posteriores, y a
que evitar reprogramaciones y disminuir el mantenimiento de la
Aplicacin
Saulo Quispe Huamani
Control de Procesos y Ejecuciones de Programas Crticos: Se ha de
comprobar la correspondencia biunvoca y exclusiva entre el programa
codificado y su compilacin. Si los programas fuente y los programa mdulo
no coincidieran podra provocar graves y altos costos de mantenimiento,
hasta fraudes, pasando por acciones de sabotaje, espionaje industrial
informativo, etc.
Saulo Quispe Huamani
Cuestionarios
Conjunto de preguntas a las que el sujeto puede responder
oralmente o por escrito, cuyo fin es poner en evidencia
determinados aspectos.
Caractersticas:
Las auditoras informticas se materializan recabando informacin
y documentacin de todo tipo. Los informes finales de los
auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El
trabajo de campo del auditor consiste en lograr toda la informacin
necesaria para la emisin de un juicio global objetivo, siempre
amparado en hechos demostrables, llamados tambin evidencias.
Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy especficos para cada
situacin, y muy cuidados en su fondo y su forma.
Saulo Quispe Huamani
Entrevistas:
La entrevista es una de las actividades personales ms importante del
auditor; en ellas, ste recoge ms informacin, y mejor matizada, que la
proporcionada por medios propios puramente tcnicos o por las
respuestas escritas a cuestionarios. El auditor informtico experto
entrevista al auditado siguiendo un cuidadoso sistema previamente
establecido, consistente en que bajo la forma de una conversacin
correcta y lo menos tensa posible, el auditado conteste sencillamente y
con pulcritud a una serie de preguntas variadas, tambin sencillas. Sin
embargo, esta sencillez es solo aparente.
Saulo Quispe Huamani
Checklist
El auditor profesional y experto es aqul que
reelabora muchas veces sus cuestionarios en
funcin de los escenarios auditados. Tiene claro
lo que necesita saber, y porqu. Sus
cuestionarios son vitales para el trabajo de
anlisis, cruzamiento y sntesis posterior, lo cual
no quiere decir que haya de someter al auditado
a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el
auditor conversar y har preguntas normales,
que en realidad servirn para la
cumplimentacin sistemtica de sus
Cuestionarios, de sus Checklists.
Saulo Quispe Huamani
Trazas y/o Huellas:
Con frecuencia, el auditor informtico debe verificar que los programas,
tanto de los Sistemas como de usuario, realizan exactamente las funciones
previstas, y no otras. Para ello se apoya en productos Software muy
potentes y modulares que, entre otras funciones, rastrean los caminos que
siguen los datos a travs del programa. Las trazas se utilizan para
comprobar la ejecucin de las validaciones de datos previstas. Las
mencionadas trazas no deben modificar en absoluto el Sistema.
Saulo Quispe Huamani
Existen dos palabras muy importantes que son riesgo y
seguridad:
Riesgo: Es todo tipo de vulnerabilidades, amenazas que
pueden ocurrir sin previo aviso y producir numerosas
prdidas para las empresas.
Seguridad: Es una forma de proteccin contra los riesgos
Los riesgos mas perjudiciales son a las tecnologas de
informacin y comunicaciones.
Saulo Quispe Huamani
Se entiende por seguridad de la informacin a todas aquellas
medidas preventivas y reactivas del hombre, de las
organizaciones y de los sistemas tecnolgicos que permitan
resguardar y proteger la informacin buscando mantener la
confidencialidad, la autenticidad y la Integridad de la misma.
El concepto de seguridad de la informacin no debe ser
confundido con el de seguridad informtica, y a que este
ltimo slo se encarga de la seguridad en el medio informtico,
pudiendo encontrar informacin en diferentes medios o
formas.
Saulo Quispe Huamani
Para el hombre como individuo, la seguridad de la
informacin tiene un efecto significativo respecto a su
privacidad, la que puede cobrar distintas dimensiones
dependiendo de la cultura del mismo.
El campo de la seguridad de la informacin ha crecido y
evolucionado considerablemente a partir de la Segunda
Guerra Mundial, convirtindose en una carrera acreditada a
nivel mundial.
Saulo Quispe Huamani
Importancia de la Informacin
Se suele pasar por alto la base que hace posible la existencia de
los anteriores elementos, Esta base es la informacin.
La informacin:
Esta almacenada y procesada en computadoras.
Puede ser confidencial para algunas personas o a escala
institucional.
Puede ser mal utilizada o divulgada.
Puede estar sujeta a robos, sabotaje o fraudes
Saulo Quispe Huamani
En la actualidad gracias a la infinidad de posibilidades que se tiene
para tener acceso a los recursos de manera remota y al gran
incremento en las conexiones a la internet los delitos en el mbito
de TI se han visto incrementado, bajo estas circunstancias los riesgos
informticos son ms latentes.
Fraudes.
Falsificacin.
Venta de informacin.
Destruccin de la informacin.
Saulo Quispe Huamani
Principales atacantes
HACKER
CRACKER
LAMMER
COPYHACKER
BUCANEROS
PHREAKER
NEWBIE
SCRIPT KIDDIE (Skid kiddie)
Saulo Quispe Huamani
Evitar
No se permite ningn tipo de exposicin. Esto se logra simplemente
con no comprometerse a realizar la accin que origine el riesgo. Esta
tcnica tiene ms desventajas que ventajas, ya que la empresa
podra abstenerse de aprovechar muchas oportunidades.
Reducir
Cuando el riesgo no puede evitarse por tener varias dificultades de
tipo operacional, la alternativa puede ser su reduccin hasta el nivel
ms bajo posible. Esta opcin es la ms econmica y sencilla. Se
consigue optimizando los procedimientos, la implementacin
controles y su monitoreo constante.
Saulo Quispe Huamani
Retener, Asumir o Aceptar el riesgo.
Aceptar las consecuencias de la ocurrencia del evento.
Puede ser voluntaria o involuntaria, la voluntaria se caracteriza por el
reconocimiento de la existencia del riesgo y el acuerdo de asumirlas
perdidas involucradas, esta decisin se da por falta de alternativas.
La retencin involuntaria se da cuando el riesgo es retenido
inconscientemente.
Transferir.
Es buscar un respaldo y compartir el riesgo con otros controles o
entidades. Esta tcnica se usa ya sea para eliminar un riego de un lugar y
transferirlo a otro, para minimizar el mismo, compartindolo con otras
entidades
Saulo Quispe Huamani
Factores fsicos.
Factores ambientales
Factores humanos
Saulo Quispe Huamani
Cableado.
La iluminacin
El aire de renovacin o ventilacin
Las fuentes de alimentacin.
Saulo Quispe Huamani
Incendios.
Inundaciones.
Sismos.
Humedad.
Saulo Quispe Huamani
Robos.
Actos vandlicos.
Actos vandlicos contra el sistema de red
Fraude.
Sabotaje.
Terrorismo.
Saulo Quispe Huamani
Saulo Quispe Huamani
Es la probabilidad de que suceda un evento, impacto o consecuencia
adversos. Se entiende tambin como la medida de la posibilidad y
magnitud de los impactos adversos, siendo la consecuencia del
peligro, y est en relacin con la frecuencia con que se presente el
evento.
Saulo Quispe Huamani
El auditor obtendr la certeza suficiente y apropiada a travs de la
ejecucin de sus comprobaciones de procedimientos para permitirle
emitir las conclusiones sobre las que fundamentar su opinin acerca
del estado del sistema Informtico.
Saulo Quispe Huamani
La fiabilidad de la evidencia est en relacin con la fuente de la que se
obtenga interna y externa, y con su naturaleza, es decir, visual, documental
y oral.
Saulo Quispe Huamani
La Evidencia es la base razonable de la opinin del auditor informtico, es
decir el informe de Auditoria Informtica.
Saulo Quispe Huamani
1. La evidencia externa es ms fiable que la interna.
2. La evidencia interna es ms fiable cuando los controles internos
relacionados con ellos son satisfactorios.
3. La evidencia obtenida por el propio auditor es ms fiable que la
obtenida por la empresa.
4. La evidencia en forma de documentos y manifestaciones escritas es
ms fiable que la procedente de declaraciones orales.
5. El auditor puede ver aumentada su seguridad como la evidencia
obtenida de diferentes fuentes.
6. Debe existir una razonable relacin entre el costo de obtener una
evidencia y la utilidad de la informacin que suministra.
Saulo Quispe Huamani
La Evidencia tiene una serie de calificativos a saber:
La Evidencia Relevante, que tiene una relacin lgica con los
objetivos de la auditoria.
La Evidencia Fiable, que es valida y objetiva aunque, con nivel de
confianza.
La Evidencia Suficiente, que es de tipo cuantitativo para soportar la
opinin profesional del auditor.
La Evidencia Adecuada, que es de tipo cualitativo para afectar las
conclusiones del auditor.
Saulo Quispe Huamani
La Inspeccin: consiste en la revisin de
la coherencia y concordancia de los
registros, as como en el examen de los
documentos y activos tangibles.
La observacin: consiste en ver la
ejecucin de un proceso o
procedimiento efectuado por otros.
Las preguntas: obtienen informacin
apropiada de las personas de dentro y
fuera de la entidad.
Las confirmaciones: mediante ellas se
obtiene corroboracin, normalmente
por escrito, de una informacin
contenida en los registros
Saulo Quispe Huamani
Los clculos: comprueban la exactitud aritmtica de los registros y de los
clculos y anlisis realizados por la entidad o en la realizacin de clculos
independientes.
En principio, las pruebas son de cumplimiento o sustantivas.
Saulo Quispe Huamani
Control Interno como cualquier actividad o accin realizada manual
y/o automticamente para prevenir, corregir errores oir
iregularidades que puedan afectar al funcionamiento de un sistema
para conseguir sus objetivos. (AuditoraInformtica-Un Enfoque
Prctico-MarioG.Plattini)
Saulo Quispe Huamani
El Informe COSO define el Control Interno como Las normas, los
procedimientos, las prcticas y las estructuras organizativas
diseadas para proporcionar seguridad razonable de que los
objetivos de la empresa se alcanzarn y que los eventos no deseados
se prevern, se detectarn y se corregirn.
Saulo Quispe Huamani
En el ambiente informtico, el control interno se materializa
fundamentalmente en controles de dos tipos:
Controles manuales: aquellos que son ejecutados por el personal
del rea usuaria o de informticas en la utilizacin de herramientas
computacionales.
Controles Automticos: son generalmente los incorporados en el
software, llmense estos de operacin, de comunicacin, de gestin
de base de datos, programas de aplicacin, etc.
Saulo Quispe Huamani
Entorno de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin
Saulo Quispe Huamani
Son las polticas y procedimientos que ayudan a asegurar que se toman las
medidas para limitar los riesgos que pueden afectar que se alcancen los
objetivos organizacionales.
Saulo Quispe Huamani
Se debe identificar, ordenar y comunicar en forma oportuna
la informacin necesaria para que los empleados puedan
cumplir con sus obligaciones.
La informacin puede ser operativa o financiera, de origen
interno o externo.
Deben existir adecuados canales de comunicacin.
El personal debe ser informado de la importancia de que
participe en el esfuerzo de aplicar el control interno.
Saulo Quispe Huamani
Debe existir un proceso que
compruebe que el sistema de control
interno se mantiene en
funcionamiento a travs del tiempo.
La misma tiene tareas permanentes y
revisiones peridicas. Estas ltimas
dependern en cuanto a su frecuencia
de la evaluacin de la importancia de
los riesgos en juego.
Saulo Quispe Huamani
Sistema integrado al proceso
administrativo, en la planeacin,
organizacin, direccin y control de las
operaciones con el objeto de asegurar la
proteccin de todos los recursos
informticos y mejorar los ndices de
economa, eficiencia y efectividad de los
procesos operativos automatizados.
(Auditora Informtica-Aplicaciones en
Produccin-Jos Dagoberto Pinilla)
Saulo Quispe Huamani
El control interno informtico controla diariamente que todas las
actividades de sistemas de informacin sean realizadas cumpliendo los
procedimientos, estndares y normas fijados por la direccin de la
organizacin y/o direccin de informtica, as como los requerimientos
legales.
Saulo Quispe Huamani
La misin del Control Interno Informtico es asegurarse de que las medidas
que se obtienen de los mecanismos implantados por cada responsable sean
correctas y validas.
Saulo Quispe Huamani
Controlar que todas las actividades
se realizan cumpliendo los
procedimientos y normas fijados,
evaluar su bondad y asegurarse del
cumplimiento de las normas legales.
Asesorar sobre el conocimiento de
las normas
Colaborar y apoyar el trabajo de
Auditora Informtica interna/externa.
Definir, implantar y ejecutar
mecanismos y controles para
comprobar el logro de los grados
adecuados del servicio informtico.
Saulo Quispe Huamani
Difundir y controlar el cumplimiento de las normas, estndares y
procedimientos al personal de programadores, tcnicos y operadores.
Disear la estructura del Sistema de Control Interno de la Direccin de
Informtica en los siguientes aspectos:
Desarrollo y mantenimiento del software de aplicacin.
Explotacin de servidores principales
Software de Base
Redes de Computacin
Seguridad Informtica
Licencias de software
Cultura de riesgo informtico en la organizacin
Control interno informtico (reas de aplicacin)
Saulo Quispe Huamani
Controles Preventivos: Sirve para tratar de evitar un
evento no deseado de todas las reas de
departamento como son: Equipo de cmputo,
sistemas, telecomunicaciones.
Ejemplo: contar con un software de seguridad que
impida los accesos no autorizados al sistema.
Controles Detectivos: trata de descubrir a posteriori
errores o fraudes que no haya sido posible evitar los
con controles preventivos. Ejemplo (registros de
intentos de acceso no autorizados, el registro de la
actividad diaria para detectar errores u omisiones).
Saulo Quispe Huamani
Controles Correctivos: Tratan de asegurar que se subsanen todos los
errores identificados, mediante los controles preventivos; es decir facilitan
la vuelta a la normalidad ante una incidencia. Es un plan de contingencia.
Ejemplo: Backup supondra un control correctivo.
Saulo Quispe Huamani
Es el conjunto de todos los elementos en donde lo principal son las
personas, los sistemas de informacin, la supervisin y los procedimientos.
Saulo Quispe Huamani
Este es de vital importancia, y a que promueve la eficiencia, asegura la
efectividad, previene que se violen las normas y los principios de general
aceptacin.
Los directivos de las organizaciones deben crear un ambiente de control, un
conjunto de procedimientos de control directo y las limitaciones del control
interno.
Saulo Quispe Huamani
Los controles pueden implantarse a varios niveles
diferentes. La evaluacin de los controles de la
Tecnologa de la Informacin exige analizar diversos
elementos interdependientes. Por ello es importante
llegar a conocer bien la configuracin del sistema, con
el objeto de identificar los elementos, productos y
herramientas que existen para saber dnde pueden
implantarse los controles. As como para identificar
posibles riesgos.
Saulo Quispe Huamani
Se llama auditor/a a la persona capacitada y
experimentada que se designa por una
autoridad competente o por una empresa de
consultora, para revisar, examinar y evaluar
con coherencia los resultados de la gestin de
una dependencia (institucin gubernamental) o
entidad (empresa o sociedad) con el propsito
de informar o dictaminar acerca de ellas,
realizando las observaciones y
recomendaciones pertinentes.
El auditor informtico ha de velar por la correcta utilizacin de los
amplios recursos que la empresa pone en juego para disponer de un
eficiente y eficaz sistema de Informacin.
Saulo Quispe Huamani
Ha de revisar los diferentes controles internos
definidos en cada una de las funciones
informticas y el cumplimiento de normativa
interna y externa, de acuerdo al nivel de riesgo,
conforme a los objetivos definidos por la
Direccin de Negocio y la Direccin de
Informtica. Informar a la Alta Direccin de los
hechos observados y al detectarse deficiencias o
ausencias de controles recomendarn acciones
que minimicen los riesgos que pueden
originarse.
Saulo Quispe Huamani
La norma ISO/IEC 20000 es el estndar
reconocido internacionalmente en gestin
de servicios de Tecnologas de la
Informacin (TI). Hoy en da, existe
generalmente la percepcin de que los
servicios de TI no estn alineados con las
necesidades y requisitos del negocio.
Una manera de demostrar que los servicios
de TI estn cumpliendo con las necesidades
del negocio es implantar un Sistema de
Gestin de Servicios de TI (SGSTI) basado en
los requisitos de la norma ISO/IEC 20000.
Saulo Quispe Huamani
Si se entiende que la auditoria informtica comprende las tareas de evaluar,
analizar los procesos informticos, el papel de auditor debe estar
encaminado hacia la bsqueda de problemas existentes dentro de los
sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Saulo Quispe Huamani
El auditor Informtico debe estar capacitado en los siguientes aspectos:
Deber ver cuando se puede conseguir la mxima eficacia y
rentabilidad de los medios informticos de la empresa auditada,
estando obligado a presentar recomendaciones acerca del
reforzamiento del sistema y del estudio de las soluciones mas idneas,
segn los problemas detectados en el sistema informtico, siempre y
cuando las soluciones que se adopten no violen la ley ni los principios
ticos.
Saulo Quispe Huamani
Una vez estudiado el sistema informtico a
auditar, el auditor deber establecer los
requisitos mnimos, aconsejables y ptimos
para su adecuacin con la finalidad de que
cumpla para lo que fue diseado,
determinando en cada clase su adaptabilidad,
su fiabilidad, limitaciones, posibles mejoras,
costos.
El auditor deber lgicamente abstenerse de
recomendar actuaciones innecesariamente
onerosas, daina, o que genere riesgo in
justificativo para el auditado e igualmente de
proponer modificaciones carentes de bases
cientficas insuficientemente probadas o de
imprevisible futuro.
Saulo Quispe Huamani
El auditor al igual que otros profesionales pueden incidir
en la toma de decisiones en la mayora de sus clientes con
un elevado grado de autonoma, dado la dificultad prctica
de los mismos, de constatar su capacidad profesional y en
desequilibrio de desconocimientos tcnicos existente entre
al auditor y los auditados (Puede pesar gravemente).
El auditor deber prestar sus servicios de acuerdo a las
posibilidades de la ciencia y a los medios a su alcance con
absoluta libertad, respecto a la utilizacin de dichos
medios y en unas condiciones tcnicas adecuadas para el
idneo cumplimiento de su labor. En los casos en que
precariedad de los medios puestos a su disposicin,
impidan o dificulten seriamente la realizacin de la
auditoria deber negarse a realizar hasta que se le
garantice un mnimo de condiciones tcnicas que no
comprometan la calidad de sus servicios o dictmenes.
Saulo Quispe Huamani
El auditor tanto en sus relaciones con el auditado como con terceras
personas deber en todo momento, deber actuar conforme a las
normas implcitas o explcitas de dignidad de la profesin y de
correccin en el trato personal.
El auditor deber facilitar e incrementar la confianza de auditado en
base a una actuacin de transparencia, en su actividad profesional sin
alardes cientfico- tcnico, que, por su incomprensin, pueden restar
credibilidad a los resultados obtenidos y a las directrices aconsejadas.
Saulo Quispe Huamani
1) Se deben poseer una mezcla de conocimientos de auditora financiera y
de informtica en general. En el rea informtica, se debe tener
conocimientos bsicos de:
Desarrollo de SI,
Sistemas operativos,
Telecomunicaciones,
Administracin de Bases de Datos,
Redes locales,
Seguridad fsica,
Administracin de Datos,
Automatizacin de oficinas (ofimtica),
Comercio electrnico, de datos, etc.
2) Especializacin en funcin de la importancia econmica que tienen
distintos componentes financieros dentro del entorno empresarial.
Saulo Quispe Huamani
3) Debe conocer tcnicas de administracin de empresas y de cambio, ya
que las recomendaciones y soluciones que aporte deben estar alineadas a
los objetivos de la empresa y a los recursos que se poseen.
4) Debe tener un enfoque de Calidad Total, lo cual har que sus
conclusiones y trabajo sean reconocidos como un elemento valioso dentro
de la empresa y que los resultados sean aceptados en su totalidad.
Saulo Quispe Huamani
1. Verificacin del control interno tanto de las aplicaciones como de los SI,
perifricos, etc.
2. Anlisis de la administracin de Sistemas de Informacin, desde un
punto de vista de riesgo de seguridad, administracin y efectividad de la
administracin.
3. Anlisis de la integridad, fiabilidad y certeza de la informacin a travs
del anlisis de aplicaciones.
4. Auditora del riesgo operativo de los circuitos de informacin
5. Anlisis de la administracin de los riesgos de la informacin y de la
seguridad implcita.
Saulo Quispe Huamani
6. Verificacin del nivel de continuidad de las operaciones.
7. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las
consecuencias empresariales que un desfase tecnolgico puede acarrear.
8. Diagnstico del grado de cobertura que dan las aplicaciones a las
necesidades estratgicas y operativas de informacin de la empresa
9. Tambin el auditor informtico es responsable de establecer los objetivos
de control que reduzcan o eliminen la exposicin al riesgo de control
interno.
Saulo Quispe Huamani
Principio de beneficio del auditado
El auditor deber conseguir la mxima eficiencia y rentabilidad de los
medios informticos de la empresa auditada.
El auditor deber evitar estar ligado a determinados intereses.
Principio de calidad
El auditor deber prestar servicios con los medios a su alcance.
Libertad de utilizacin de los mismos.
Condiciones tcnicas adecuadas.
Principio de capacidad
El auditor debe estar plenamente capacitado para la realizacin de la
auditora encomendada.
Debe ser plenamente consciente del alcance de sus conocimientos y de su
capacidad y aptitud para desarrollar la auditora (sobreestima o subestima).
Saulo Quispe Huamani
Principio de cautela:
El auditor debe evitar que el auditado se embarque en proyectos de futuro
fundamentados en intuiciones sobre la evolucin de las nuevas tecnologa
de la informacin.
Principio de comportamiento profesional
Exige al auditor una seguridad en sus conocimientos tcnicos y una clara
percepcin de sus carencias (acudiendo a expertos si necesario) dejando
constancia de esa circunstancia y reflejando en forma diferenciada, en sus
informes y dictmenes, las opiniones y conclusiones propias y las emitidas
por los mismo.
Debe guardar un escrupuloso respeto por la poltica de la empresa que
audita.
Saulo Quispe Huamani
Principio de concentracin en el trabajo
El auditor deber evitar que un exceso de trabajo supere sus posibilidades
de concentracin y precisin en cada una de las tareas
Nunca copiar conclusiones de otros informes de auditoras pasadas por la
acumulacin de trabajo
Principio de confianza:
El auditor deber facilitar e incrementar la confianza del auditado en base a
una actuacin de transparencia en su actividad profesional
Principio de criterio propio:
El auditor deber actuar con criterio propio y no permitir que este este
subordinado al de otros profesionales
Principio de discrecin:
El auditor deber mantener una cierta discrecin en la divulgacin de datos
Saulo Quispe Huamani
Principio de economa:
El auditor deber proteger los derechos econmicos del auditado evitando
generar gastos innecesarios
Principio de formacin continuada:
Impone al auditor la obligacin de estar en contnua formacin.
Principio de fortalecimiento y respeto a la profesin
Los auditores han de cuidar del valor de trabajo realizado y de las
conclusiones obtenidas
Principio de independencia
El auditor debe exigir una total autnoma e independencia en su trabajo.
Saulo Quispe Huamani
Principio de informacin suficiente:
Obliga al auditor aportar en forma clara, precisa e inteligible para el
auditado la informacin
Principio de integridad moral
Obliga al auditor a ser honesto, leal y diligente en el desempeo de su
misin, a ajustarse a las normas morales, de justicia y probidad, y a evitar
participar en actos de corrupcin personal o a terceras personas.
Principio de legalidad
El auditor deber evitar utilizar sus conocimientos para facilitar, a los
auditados o a terceras personas, la contravencin de la legalidad vigente
Principio de libre competencia
Exige que el ejercicio de la profesin se realice en el marco de la libre
competencia.
Saulo Quispe Huamani
Principio de no discriminacin
El auditor en su actuacin antes, durante y despus de la auditora, deber
evitar inducir, participar o aceptar situaciones discriminatorias de ningn
tipo.
Principio de no injerencia
El auditor deber evitar injerencias en los trabajos de otros profesionales,
respetar su labor y eludir hacer comentarios que pudieran interpretarse
como despreciativos de la misma o provocar cierto desprestigio de su
calificacin profesional.
Principio de precisin
Exige del auditor la no conclusin de su trabajo hasta estar convencido de la
viabilidad de sus propuestas.
Principio de secreto profesional
La confidencia y la confianza son caractersticas esenciales de las relaciones
entre el auditor y el auditado, e imponen al primero la obligacin de
guardar en secreto los hechos e informaciones que conozca en el ejercicio
de su actividad profesional.
Saulo Quispe Huamani
Principio de veracidad
El auditor en sus comunicaciones con el auditado deber tener siempre
presente la obligacin de asegurar la veracidad de sus manifestaciones con
los lmites impuestos por los deberes de respeto, correccin y secreto.
Principio de servicio pblico
Incitar al auditor a hacer lo que est en su mano y sin perjuicio de los
intereses de su cliente, para evitar daos sociales como los que pueden
producirse en los casos en que, durante la ejecucin de la auditora,
descubra elementos de software dainos (virus) que puedan propagarse a
otros sistemas informticos diferentes al auditado.
Saulo Quispe Huamani