UNIDAD II:
MÉTODOS DE AUDITORIA
CONTROLES INTERNOS
Se pueden definir el control interno como cualquier actividad o acción realizada manualmente y/o automáticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para conseguir sus objetivos.
Clasificación de los controles informáticos:
.- Controles preventivos: para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.
.- Controles detectivos: cuando fallan los preventivos para tratar de conocer cuanto antes el evento.
.- Controles correctivos: facilitan la vuelta a la normalidad cuándo se han producido incidencias. La auditoria en informática debe ser respaldada por un proceso formal que asegure su previo entendimiento por cada uno de los responsables de llevar a la práctica dicho proceso en la empresa.
El uso de un proceso de trabajo metodológico y estándar en la función de auditoria informática genera las siguientes ventajas:
1. Los recursos orientan sus esfuerzos a la obtención de productos de calidad, con características y requisitos comunes para todos los responsables.
2. Las tareas y productos terminados de los proyectos se encuentran definidos y formalizados en un documento al alcance de todos los auditores en informática.
3. Se facilita en alto grado la administración y seguimiento de los proyectos pues la metodología obliga a la planeación detallada de cada proyecto bajo criterios estándares.
4. Facilita la superación profesional y humana de los individuos, ya que orienta los esfuerzos hacia la especialización, responsabilidad, estructuración y depuración de funciones del auditor en informática.
5. Es un complemento clave en el desarrollo de cada individuo, ya que su formal seguimiento, aunado a las habilidades, normas y criterios personales coadyuva al cumplimiento exitoso de los proyectos de auditoria en informática
6. El proceso de capacitación o actualización en el uso de un proceso metodológico es más ágil y eficiente, dado que se trabaja sobre tareas y productos terminados perfectamente definidos.
Los productos terminados más importantes de la etapa son tres:
Matriz de riesgo.
Plan general de auditoria en informática.
Compromiso ejecutivo.
Cada uno forma parte esencial del proceso metodológico.
El primero porque define las áreas que serán auditadas.
El segundo porque establece las tareas, tiempos, responsables, etc., del proyecto.
El tercero debido a que da el visto bueno al líder de proyecto para continuar con las siguientes etapas contempladas en el plan general.
CONTROLES EXTERNOS
Los órganos de control fiscal externo son, a diferencia de los que realizan el control interno, aquellos que no forman parte de la administración activa, ubicándose fuera de ella y sin que exista ninguna especie de subordinación ó dependencia.
El control externo comprende la vigilancia, inspección y fiscalización ejercida por los órganos competentes del control fiscal externo sobre las operaciones de las entidades sometidas a su control.
Tales actividades deben realizarse con la finalidad de determinar el cumplimiento de las disposiciones constitucionales, legales, reglamentarias ó demás normas aplicables a sus operaciones, así como para determinar también el grado de observancia de las políticas prescritas en relación con el patrimonio y la salvaguarda de los recursos de tales entidades.
De igual forma deben los órganos de control fiscal externo evaluar la eficiencia, eficacia, economía, calidad de sus operaciones, con fundamento en índices de gestión, de rendimientos y demás técnicas aplicables, evaluando además, el Sistema de Control Interno y formular las recomendaciones necesarias para mejorarlo.
Para garantizar su independencia y buen funcionamiento, se fundamentan en principios los cuales son:
Capacidad financiera e independencia presupuestaria.
Apoliticismo partidista.
El carácter técnico de Control Fiscal.
La oportunidad en el ejercicio del control y en la presentación de resultados.
La economía en el ejercicio del control fiscal.
La celeridad, y la participación ciudadana en la gestión contralora.
Concatenando estas características y principios, los órganos de control fiscal externo podrán, al fin, gozar de plena autonomía hacia el logro de sus metas y objetivos.
El control de gestión tiene rango constitucional y legal, ya que el control fiscal implica ahora una investigación a fondo, con fines de evaluación permanente, de las actividades de los entes y organismos sujetos a control, que a su vez permitirá la verificación de planes y programas, así como él cumplimento y resultado de políticas y decisiones gubernamentales.
METODOLOGÍAS DE AUDITORIA INFORMÁTICA
Las metodologías son necesarias para desarrollar cualquier proyecto que nos propongamos de manera ordenada y eficaz.
La auditoria informática solo identifica el nivel de “exposición” por la falta de controles mientras el análisis de riesgos facilita la evaluación de los riesgos y recomienda acciones en base al costo-beneficio de la misma.
Todas las metodologías existentes en seguridad de sistemas van encaminadas a establecer y mejorar un entramado de contramedidas que garanticen que la productividad de que las amenazas se materialicen en hechos sea lo mas baja posible o al menos quede reducida de una forma razonable en costo-beneficio.
Todas las metodologías existentes desarrolladas y utilizadas en la auditoria y el control informático, se puede agrupar en dos grandes familias:
Cuantitativas: Basadas en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico.
Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional).
Ventajas:
Enfoca lo amplio que se desee.
Plan de trabajo flexible y reactivo.
Se concentra en la identificación de eventos.
Desventajas
Depende fuertemente de la habilidad y calidad del personal involucrado.
Identificación de eventos reales más claros al no tener que aplicarles probabilidades complejas de calcular.
Dependencia profesional.
METODOLOGÍAS EN AUDITORIA INFORMÁTICA.
Las metodologías de auditoria informática son de tipo cualitativo/subjetivo. Se puede decir que son subjetivas por excelencia. Están basadas en profesionales de gran nivel de experiencia y formación, capaces de dictar recomendaciones técnicas, operativas y jurídicas, que exigen en gran profesionalidad y formación continua. Solo existen dos tipos de metodologías para la auditoria informática:
Controles Generales.- Son el producto estándar de los auditores profesionales. El objetivo aquí es dar una opinión sobre la fiabilidad de los datos del computador para la auditoria financiera, es resultado es escueto y forma parte del informe de auditoria, en donde se hacen notar las vulnerabilidades encontradas.
Metodologías de los auditores internos.- Están formuladas por recomendaciones de plan de trabajo y de todo el proceso que se debe seguir. También se define el objetivo de la misma, que habrá que describirlo en el memorando de apertura al auditado. De la misma forma se describe en forma de cuestionarios genéricos, con una orientación de los controles a revisar. El auditor interno debe crear sus metodologías necesarias para auditar los distintos aspectos o áreas en el plan auditor.
CONOCIMIENTOS NECESARIOS
No resulta necesario tener conocimientos informáticos para realizar una auditoria informática mediante las técnicas utilizadas. No obstante se cree necesario un mínimo de formación específica para, al menos, saber qué es lo que se quiere analizar, así como algunos conceptos no nos resulten excesivamente extraños.
Minicomputador.
Red local.
PC.
Periféricos.
Software de base.
Eficacia de un servicio informática.
Seguridad lógica.
Seguridad física.
Etc.
FASES DE LA AUTOEVALCIÓN
Riesgo en la continuidad del proceso
Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso también a paralizarla.
Riesgos en la eficacia del servicio informático
Los riesgos en al eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático.
Riesgo en la eficiencia del servicio informático
La eficiencia del servicio es la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio.
Riesgos de la seguridad lógica
Todos aquellos que posibiliten accesos no autorizados a la información mecanizada mediante técnicas informáticas o de otro tipos.
Riesgos de la seguridad física
Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física.
También es importante saber que existen herramientas de apoyo a la auditoria las cuales estan orientadas a:
ResponderEliminara. Incrementar la productividad e efectivadad del auditor.
b. Optimizar la emisión del informe de auditoria.
c. Homogeneizar el conocimiento de los auditores.
Uno de los objetivos de los controles son:
ResponderEliminar- en un sistema solo se ingresan datos completos, exactos, validos y autorizados.
- el procesamiento se realiza a tiempo y cumpliendo con el diseño aprobado del sistema.
- los datos siempre se mantendrán protegidos.
Los métodos son herramientas que permiten al auditor realizar la auditoria de forma ordenada, a grandes rasgos, se puede decir, que la metodología en auditoria informática consta de 6 fases:
ResponderEliminar1- Identificación del alcance y los objetivos de la auditoria.
2- Revisión del área a auditar.
3- Estipulación de los recursos que serán necesarios para efectuar la auditoria.
4- Planificación del trabajo a efectuar.
5- Ejecución de las actividades de auditoria
6- Documentación de correcciones y recomendaciones según los resultados arrojados en la auditoria.
Dentro de los métodos de auditoria, el control interno es un herramienta fundamental para el desarrollo de la misma, debido a que el control interno permite prevenir y corregir errores que puedan afectan el buen funcionamiento del sistema. Ademas de ello, los tipos de controles informaticos, forman parte de esto, ya que por su parte, el control preventivo, como su palabra lo indica, lo que hace es prevenir el acceso a faltas que puedan interferir en el proceso, mientras que el control detectivo, hace visible las fallas o errores que se presenten en el sistema a auditar, y por ultimo, el control correctivo, el cual tiene la capacidad de corregir dichos errores que se puedan presentar en el desarrollo de dicha auditoria.
ResponderEliminar