AUDITORIA DE SISTEMAS

1. TIPOS DE AUDITORIA:Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas comunicacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, así como sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

1.1. AUDITORIA CON LA COMPUTADORA:Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus programas para evaluar cualquier tipo de actividades y operaciones no necesariamente Computarizadas, pero si susceptibles de ser automatizadas; dicha auditoria se realizara también a las actividades del centro de sistemas y a sus componentes.

1.2. AUDITORIA SIN LA COMPUTADORA:

1.2.1. Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y valides de la transacciones económicas, administrativas y operacionales de un área de computo, y en si de todos los aspectos que afectan a las actividades que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de sistemas computacionales.

1.2.2. Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y valides de la transacciones económicas, administrativas y operacionales de un área de computo, y en si de todos los aspectos que afectan a las actividades que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de sistemas computacionales.

1.3. AUDITORIA DE LA GESTIÓN INFORMÁTICA. Es la auditoria cuya aplicación se enfoca exclusivamente a las revisiones de las funciones y actividades de tipo administrativo que se realizaran dentro de un centro de cómputo, tales como la plantación, organización, dirección de dicho centro.

1.4. AUDITORIA ALREDEDOR DE LA COMPUTADORA

1.5. AUDITORIA DE SEGURIDAD DE SISTEMAS:Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal así como a las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de sus equipos computacionales las bases de datos, redes, instalaciones y usuarios de los sistemas

1.6. AUDITORIA A LOS SISTEMAS DE REDES:Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de una empresa considerando en la evaluación los tipos de redes, arquitectura, topología, su protocolo de información las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento.

2. ESTÁNDARES APLICABLES A LA AUDITORIA EN SISTEMAS DE INFORMACIÓN:Auditoría de Sistemas de Información, y las capacidades necesarias para la realización de dichas auditorias, requieren estándares de aplicación específica a la auditoria de sistemas.

2.1. ESTÁNDARES ESPECIFICOS

2.1.1. 1. ISO 27001:Esta norma contiene los requisitos del sistema de gestión de seguridad de la información.

2.1.2. 2. ISO 15504 (Spice)_istema de calidad de productos software, combina ideas de CMM e ISO 9000. Sus derivados:

2.2. ISO/IEC 17799 (denominada también como ISO 27002) es un estándar para la seguridad de la información. Este estándar internacional de alto nivel para la administración de la seguridad de la información, fue publicado por la ISO en diciembre de 2000 con el objeto de desarrollar un marco de seguridad sobre el cual trabajen las organizaciones.

3. sistema gestor de base de datos: Es un conjunto de programas que permiten el almacenamiento, modificación y extracción de la información en una base de datos. Los usuarios pueden acceder a la información usando herramientas específicas de consulta y de generación de informes, o bien mediante aplicaciones al efecto.

3.1. Sistemas orientados a objetos:Durante la década de 1980 el auge de la programación orientada a objetos influyó en el modo de manejar la información de las bases de datos. Programadores y diseñadores comenzaron a tratar los datos en las bases de datos como objetos. Esto quiere decir que si los datos de una persona están en la base de datos, los atributos de la persona como dirección, teléfono y edad se consideran que pertenecen a la persona, no son datos extraños. Esto permite establecer relaciones entre objetos y atributos, más que entre campos individuales.

3.2. Sistemas NoSQL (2000)

4. PERFIL DE UN AUDITOR DE SISTEMAS:un auditor informático es un profesional dedicado al análisis de sistemas de la información que esta especializado en algunas ramas de la auditoria informática que posee conocimientos generales en los ámbitos en los que esta se desenvuelve, además de contar con conocimientos empresariales generales

4.1. Funciones del Auditor Informático:Hablando de la realidad actual se podría afirmarse que las funciones deben mantenerse los objetivos de revisión que le demande la organizacion: Análisis de la administración de los riesgos de la información y de la seguridad implícita Análisis de la administración de los sistemas de información, desde un enfoque de riesgo de seguridad, administración y efectividad de la administración Análisis de la integridad, fiabilidad y certeza de la información a través del análisis de aplicaciones

4.2. Perfil del auditor de sistemas:Especialización en función de la importancia económica que tienen distintos componentes financieros dentro del entorno empresarial Debe conocer técnicas de administración de empresas y de cambio, ya que las recomendaciones y soluciones que aporte deben estar alineadas a los objetivos de la empresa y a los recursos que se poseen El auditor debe tener un enfoque de calidad total, lo cual hará que sus

4.3. INDEPENDENCIA:La independencia supone una actitud mental que permite al auditor actuar con libertad respecto a su juicio profesional, para lo cual debe encontrarse libre de cualquier predisposición que limite su imparcialidad en la consideración objetiva de los hechos, así como en la formulación de sus conclusiones.

4.4. INTEGRIDAD:La integridad debe entenderse como la rectitud intachable en el ejercicio profesional, que le obliga a ser honesto y sincero en la realización de su trabajo y en la emisión de su informe.

4.5. OBJETIVIDAD:La objetividad implica el mantenimiento de una actitud imparcial en todas las funciones del auditor. Para ello, debe gozar de una total independencia en sus relaciones con la entidad auditada. Debe ser justo y no permitir ningún tipo de influencia o perjuicio.

4.6. COMPETENCIA PROFESIONAL:Es la obligación de mantener su nivel de competencia a lo largo de toda su carrera profesional, así como de mantener sus conocimientos y sus habilidades a un nivel adecuado para asegurar que la evaluación será la adecuada.

4.7. NORMAS TÉCNICAS:El auditor deberá conducir una auditoria conforme las Normas y Políticas, locales o internacionales. Estas deberán contener principios básicos y procedimientos esenciales junto con lineamientos relativos y asociados a las funciones del auditor

5. TENDENCIAS DE LA AUDITORIA DE SISTEMAS:Los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.

5.1. Evolución de la Auditoria Continua:El proceso de auditoria continua surgió mediante los esfuerzos de Vasarhelyi y Halper para medir y analizar el proceso de facturación en AT&T en el año 1989. Ese trabajo demostró la necesidad que estaba surgiendo de cambiar el paradigma de aseguramiento y acceso a la información, por lo que, el Instituto Canadiense de Contadores Públicos CICA y el Instituto Americano de Contadores Públicos Certificados AICPA, conformaron un grupo de trabajo,

5.2. Descripción del proceso de Auditoria Continua:La primera complementación de auditoría continua en 1991, realizada por Vasarhelyi y Halper, funcionó como un proceso automatizado para revisar los datos introducidos en un sistema, en un brevísimo tiempo después, para poder encontrar errores rápidamente.

5.3. Auditoria Continua de Datos CDA:La auditoria continua de datos se realizó extrayendo datos del sistema del área operativa y transfiriéndolos o introduciéndoos directamente a un sistema en el ambiente de auditoria. Luego se realizaron las pruebas para asegurarse que los datos eran correctos.

5.4. Monitorio continuo de controles:El monitorio continuo de controles se realizó siguiendo los pasos de evaluación de controles que normalmente realizaba un auditor y adicional mente se identificaron los controles que pudieron ser automatizados directamente en los sistemas.

5.5. Beneficios de la Complementación de CA/CM;Según KPMG en su reporte "Auditoria Continua/ Monitorio Continuo: Uso de la Tecnología para Generar Valor, Gestionando Riesgos y Mejorando el Desempeño