Auditoría Informática: Tipos, Normas, Seguridad y Control

Gestión de empresas, , , , , ,

Tipos de Auditorías

Existen varios tipos de auditorías, cada una con un enfoque específico:

  • Financieras: Se enfocan en la revisión de los estados financieros de una organización.
  • Verificativas: Comprueban el cumplimiento de normativas y regulaciones.
  • Informáticas: Evalúan los sistemas y procesos informáticos de una entidad.
  • Operativas o de Gestión: Analizan la eficiencia y eficacia de las operaciones y procesos de una empresa.

Procedencia y Relevancia de los Papeles de Trabajo en Auditoría

Los papeles de trabajo son fundamentales en cualquier auditoría. Su procedencia y relevancia se detallan a continuación:

Normas de Auditoría

Las normas de auditoría establecen los requisitos mínimos de calidad que debe cumplir el auditor en cuanto a su persona, su trabajo y la información que presenta como resultado.

Papeles de Trabajo

Los papeles de trabajo son la evidencia documental del trabajo realizado por el auditor. Sus características principales son:

  • Documentan las conclusiones del auditor.
  • Recopilan la evidencia obtenida durante la auditoría.
  • Constituyen el soporte principal para el dictamen del auditor.
  • Facilitan la ejecución y supervisión del trabajo de auditoría.
  • Tienen valor probatorio en caso de litigios, protegiendo al auditor en situaciones de acusaciones por fraude o negligencia.

Técnicas de Auditoría

Son los métodos prácticos de investigación y prueba que el auditor utiliza para obtener la evidencia necesaria. Su aplicación se basa en el criterio y juicio profesional del auditor, adaptándose a las circunstancias específicas de cada caso.

ISACA: Asociación Internacional de Auditoría y Control de Sistemas

ISACA (Information Systems Audit and Control Association) es una asociación internacional con sede en Chicago. Su misión principal es proporcionar capacitación, estándares y desarrollo profesional a sus miembros en el campo de la auditoría, control y seguridad de sistemas de información.

Definiciones Clave en Auditoría Informática

  • Normas: Requisitos mínimos de calidad para el auditor, su trabajo y el informe resultante.
  • Salvedad: Una excepción o limitación en el alcance o en la opinión del auditor, expresada en su informe.
  • Papeles de trabajo: Documentación del trabajo del auditor, incluyendo evidencia y conclusiones.
  • Auditoría informática: Evaluación de los sistemas informáticos para asegurar su eficiencia, seguridad y cumplimiento.
  • Control interno: Procesos y políticas para asegurar la confiabilidad de la información financiera y el cumplimiento de leyes.
  • Control interno informático: Controles específicos para proteger los activos y datos informáticos.
  • Riesgo: Posibilidad de que ocurra un evento que afecte negativamente a la organización.
  • Metodología: Conjunto de procedimientos y técnicas utilizados para llevar a cabo una auditoría.
  • Encriptación: Proceso de codificación de información para proteger su confidencialidad.

Etapas de la Planificación de una Auditoría Informática

  1. Identificar el origen de la auditoría (solicitud interna, externa, etc.).
  2. Realizar una visita preliminar al área que se evaluará.
  3. Establecer los objetivos de la auditoría.
  4. Determinar los puntos específicos que se evaluarán.
  5. Elaborar planes, programas y presupuestos detallados.
  6. Identificar y seleccionar métodos, herramientas, instrumentos y procedimientos.
  7. Asignar los recursos humanos y tecnológicos necesarios.

Importancia de Auditar el Área de Desarrollo de Sistemas

Los sistemas de información son cruciales para alcanzar los objetivos organizacionales. La auditoría del área de desarrollo de sistemas busca asegurar que todas las actividades relacionadas con los sistemas automatizados cumplan con las normas, estándares, procedimientos y disposiciones legales establecidas, tanto interna como externamente.

Objetivos de Control en las Etapas de Desarrollo de Sistemas

  • Aprobación, planificación y gestión del proyecto: El proyecto debe estar formalmente aprobado, definido y planificado.
  • Análisis: Los usuarios y responsables deben establecer claramente los requerimientos del sistema.
  • Diseño: Se debe definir una arquitectura física coherente con la especificación funcional y el entorno tecnológico.
  • Construcción: Los componentes deben desarrollarse utilizando técnicas de programación correctas.
  • Implantación: El sistema debe ser formalmente aceptado por los usuarios antes de su puesta en marcha (certificación usuaria).

Puntos Clave de un Dictamen de Auditoría

(El documento original no especifica los puntos que debe contener un dictamen, se requiere información adicional para completar esta sección).

Seguridad Física: Amenazas y Consideraciones

(El documento original no define la seguridad física ni sus amenazas, se requiere información adicional).

Antes, Durante y Después en la Seguridad Física

(El documento original no explica estos conceptos, se requiere información adicional).

Plan de Contingencia: Componentes Esenciales

(El documento original no detalla el contenido de un plan de contingencia, se requiere información adicional).

Fuentes de Información para la Auditoría Física

  • Políticas, normas y planes de la dirección y del departamento de seguridad.
  • Auditorías anteriores (generales y parciales) relacionadas con la seguridad física.
  • Contratos de seguros, proveedores y mantenimiento.
  • Entrevistas con personal de seguridad, informática, limpieza, mantenimiento y responsables de seguridad de otras empresas.

Objetivos de Seguridad del Área de Informática

  • Proteger la integridad, exactitud y confidencialidad de la información.
  • Proteger los activos contra desastres causados por el hombre y actos hostiles.
  • Proteger a la organización contra desastres naturales y sabotajes.
  • Contar con planes y políticas de contingencia para una pronta recuperación.
  • Disponer de seguros que cubran pérdidas económicas en caso de desastre.

Motivos de Delitos Informáticos

  • Beneficio personal (económico, político, social o de poder).
  • Beneficios para la organización (sin evaluar las repercusiones).
  • Odio o revancha hacia la organización.
  • «Síndrome de Robin Hood» (beneficiar a otros mediante acciones ilegales).
  • Facilidad para cometer el delito.
  • Problemas financieros personales.
  • Percepción de deshonestidad en el departamento o la organización.
  • Problemas psicológicos.

Seguridad Lógica y Tipos de Usuarios

La seguridad lógica se refiere a los controles de acceso diseñados para proteger la integridad de la información almacenada en una computadora.

Tipos de Usuarios

  • Propietario: Dueño de la información, con control total y capacidad para autorizar a otros.
  • Administrador: Puede actualizar software con autorización, pero no modificar la información.
  • Usuario principal: Autorizado por el propietario para modificar y utilizar datos, pero sin permisos para autorizar a otros.
  • Usuario de consulta: Solo puede leer la información.
  • Usuario de explotación: Puede leer y utilizar la información para generar reportes.
  • Usuario de auditoría: Puede rastrear la información dentro del sistema para fines de auditoría.

Objetivos de las Auditorías en Redes y Comunicaciones

  • Gestionar la red, el inventario de equipos y las normas de conectividad.
  • Monitorear las comunicaciones, registrar y resolver problemas.
  • Revisar costos, asignar proveedores y servicios, balancear el tráfico y seleccionar equipos.
  • Participar en la estrategia de procesos de datos, establecer estándares y evaluar necesidades de comunicaciones.

Controles de Auditoría en Telecomunicaciones

  • Gerencia de comunicaciones con autoridad para establecer procedimientos.
  • Procedimientos y registros de inventario y cambios.
  • Funciones de vigilancia del uso de la red, ajustes de rendimiento y resolución de problemas.
  • Procedimientos para el seguimiento de costos y su asignación.

Políticas para el Control de Datos

  • Políticas de respaldo (backup).
  • Políticas y procedimientos para la administración del área de sistemas.
  • Políticas de revisión de bitácoras (soporte técnico).

Controles sobre la Compra de Equipos de Cómputo

  • ¿Existe un comité de compra de equipo?
  • ¿Quiénes participan en el comité?
  • ¿Existen políticas de adquisición de equipos?
  • ¿Cómo se determina el proveedor del equipo?
  • ¿Se evalúan opciones de compra, renta y renta con opción a compra?
  • ¿Cómo se evalúan las propuestas de instalación, mantenimiento y entrenamiento?

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *