ACTIVIDAD INDIVIDUAL UNIDAD 3

ANDREA ARTEAGA PALACIOS

Trabajo escrito para la asignatura de Auditoria Informtica

Presentado a la tutora CRISTINA OSORIO DEL VALLE

SENA VIRTUAL SANTIAGO DE CALI VALLE DEL CAUCA 2007

INTRODUCCIN

El desarrollo de este trabajo trata de analizar una empresa cualquiera, desde el punto de vista de la Auditoria. Adems se tratan las normas de Auditoria que son aplicadas y no lo son en esta compaa, de tal manera que se pueda comenzar a evaluar de manera efectiva y eficiente.

Para lo cual se deben emplear mtodos, tcnicas o procedimientos para dicha evaluacin, aplicables a la Auditoria Informtica.

Realizar una Auditoria de SI, incrementa la productividad, el control, la seguridad y la confidencialidad, para tener la informacin necesaria en el tiempo y en el lugar adecuado para poder tomar las mejores decisiones.

1. Con respecto a las Normas Generales de Auditoria, en esta empresa se aplican las siguientes: Aquellas relacionadas con el trabajo que desarrolla el auditor, en la que se tienen criterios y lineamientos tanto para la planeacin, supervisin, aplicacin del control interno, de herramientas, tcnicas y procedimientos para un mejor desempeo.

 Una segunda norma que cumplen en esta empresa, es la que se relaciona con el auditor, en el que es considerado con un prestigio moral y muy responsable. Con regularidad el auditor recibe capacitacin para la actualizacin de sus conocimientos tcnicos. Se tiene muy en cuenta la opinin del auditor, pues de l depende la mayor parte de las decisiones que se toman para el bien de la empresa. De acuerdo con las Normas de auditoria de Sistemas de Informacin, las normas que se cumplen son: Se exige una educacin profesional continua. Seguimiento en sus inspecciones. Relacin con la organizacin para obtener la informacin requerida. El auditor se basa mucho en su tica profesional. Responsabilidad, autoridad y rendimiento de cuentas Habilidades y conocimientos Contenido y formato de los informes Realiza constantemente supervisin.

Algunas normas que no se encuentran aplicando y que se puede aplicar son: Realizar una planificacin de lo que se va a realizar. Contenido y formato de los informes. Evidencia.

BREVE DESCRIPCIN DE LA EMPRESA SELECCIONADA People On Line S.A. es una compaa experta en lograr que las Tecnologas de Informtica y Telecomunicaciones (TIC) sean realmente un efectivo agente de desarrollo para las empresas, los gobiernos y la sociedad en general.

Como concesionaria de Servicios de Valor Agregado, est autorizada por el gobierno colombiano para prestar servicios de acceso a Internet, y operar soluciones de voz, video y datos sobre redes telemticas. Por su experiencia en proyectos de alcance social, especialmente en educacin y medio ambiente, People On Line S.A. goza de reconocimiento internacional y sus programas hacen parte de la agenda de conectividad del gobierno de Colombia. People On Line S.A. se especializa en usar las TIC para el desarrollo humano. Por ser una empresa de Telecomunicaciones People On Line S.A. requiere contar con una infraestructura tecnolgica que le permita brindar a sus clientes un excelente servicio, para ayudar a cumplir con lo anterior y adems brindar a la empresa pautas para lograr estar tecnolgicamente al da se ha determinado realizar una auditoria sobre los procesos de compra de hardware y software y seguridad de la red, por ser estos procesos algunos de los ms importantes dentro de la organizacin por su naturalezas.

TABLAS EN LAS QUE SE IDENTIFICAN LOS BENEFICIOS DE LA EMPRESA POR LA APLICACIN DE LAS NORMAS DESCRITAS ANTERIORMENTE

NORMA DE AUDITORIA GENERAL BENEFICIO DE LA EMPRESA Aplicacin de criterios, tcnicas, En el momento de la toma de procedimientos y dems herramientas. decisiones, el gerente tendr o una la junta mayor administrativa,

claridad con el informe presentado por el auditor. El auditor presenta responsabilidad y Pues la empresa necesita de una tener tica profesional. persona confiable, leal y discreta; puesto que administra informacin muy Capacitacin para el auditor importante para la empresa. Es un gran beneficio para la empresa, pues el auditor estar siempre actualizado en sus conocimientos y le Tener en cuenta la opinin del auditor ahorrar mucho dinero a la empresa. Es un profesional que le ayuda a la empresa a encontrar sus riesgos y controles, las cuales son decisivas en la toma de decisiones.

NORMA DE AUDITORIA DE SI Educacin profesional continua

BENEFICIO DE LA EMPRESA El estar actualizado ayuda a ver desde otras perspectivas, los sucesos que ocurren en la empresa, para darles una solucin ptima y eficaz. De esta manera la empresa resolver pronto sus inconvenientes y podr

Seguimiento en las inspecciones, tica profesional

optimizar sus prdidas econmicas, ya Relacin con la organizacin sea de forma parcial o total. La empresa puede obtener informacin a nivel global y resolver sus puntos dbiles frente a la competencia. Responsabilidad, autoridad, El auditor debe ser una persona que rendimiento de cuentas y realiza est comprometida con la empresa, a la constantemente supervisin. cual le pueda suministrar un buen rendimiento de su trabajo, basado en la permanente supervisin que el mismo auditor da a sus informes. Habilidades, conocimientos, contenido La compaa obtiene estudios ptimos, y formato de los informes. para mejorar ya sea la calidad de sus productos o servicios, para posteriores toma de decisiones.

2. Recoleccin y evaluacin de evidencias. 2.1 Algunos de los mtodos, tcnicas o procedimientos para la evaluacin de evidencia aplicables a la Auditoria Informtica son: Examen: Es utilizado para analizar la correcta operacin de un sistema, el desarrollo de proyectos, as como analizar que la entrada, procesamiento y salida de datos sea correcta. Inspecciona la seguridad del sistema y del rea de informtica. Tambin examina los controles de accesos fsicos y lgicos al sistema, a los programas y a las bases de datos. El examen

tambin inspecciona las actividades y funciones del personal de informtica y de los usuarios. Inspeccin: Es similar al concepto de pruebas o exmenes solo que la inspeccin da un veredicto o en otras palabras su propsito es juzgar. Algunos ejemplos de inspecciones en la auditoria de sistemas son: La inspeccin a los sistemas de seguridad y proteccin del equipo, personal con el propsito de dictaminar sobre su eficiencia y confiabilidad. Juzgar el cumplimiento de las funciones, actividades y responsabilidades del personal del rea de sistemas y usuarios del sistema, a fin de opinar sobre su actuacin. Confirmacin: El auditor deber estar plenamente seguro de que los datos y hechos que sustentan su dictamen son verdicos y confiables, por lo que deber confirmar que hayan sido obtenidos con tcnicas de auditoria validas. Revisiones de acceso: Se conserva un registro computarizado de todos los accesos a determinados archivos; por ejemplo, informacin de la identificacin tanto de la Terminal como del usuario. Matriz de Evaluacin: Esta consiste en colocar en la primera columna la descripcin del elemento que est siendo evaluado y en las columnas siguientes la calificacin con que se est evaluando, siendo posible colocar nmero del 10 como Excelente y as ir bajando a Muy Bueno, Bueno, Regular, Malo Matriz FODA: Sirve par evaluar las Fortalezas, Oportunidades, Debilidades y Amenazas. Se realiza un revisin de los aspectos que tienen que ver con cuestiones Internas a la empresa como La cultura organizacional, estrategias, estructura organizacional y aspectos externos tanto nacionales como internacionales todo esto aplicado al rea de sistemas. Guas de Auditoria: Como su nombre lo dice representa una ayuda para el seguimiento de una auditoria, en este documento se registra lo que se va a auditar y el mtodo, tcnica o procedimiento a seguir. Estos elementos a auditar son calificados. Adems se les puede asignar un peso a cada elemento para obtener una calificacin total. Simulacin: Consiste en desarrollar programas de aplicacin para determinada prueba y comparar los resultados de la simulacin con la aplicacin real. La simulacin es una herramienta utilizada para evaluar el funcionamiento de las medidas de contingencia en caso de algn siniestro como un terremoto, esto ayuda a visualizar que es lo que se tiene que

hacer cuando esa situacin se presente, esto ayuda a la de capacitacin del personal para que acten de manera correcta 2.2 Informacin adicional. Auditoria en Informtica: es una funcin que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organizacin en forma eficaz y eficiente (definicin segn Ron Weber en Auditing Conceptual Foundations and Practice). Segn Mair William, la definicin es: Auditoria en informtica es la verificacin de los controles en las siguientes tres reas: Aplicaciones (programas de produccin), desarrollo de sistemas e instalacin del centro de proceso. Por tanto la Auditoria en informtica es la revisin y evaluacin de los controles, sistemas y procedimientos de la informtica; de los equipos de cmputo, su utilizacin, eficiencia y seguridad de la organizacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente, confiable y segura de la informacin que servir para una adecuada toma de decisiones. La informacin es un recurso necesario para la organizacin y para la continuidad de las operaciones, ya que provee de una imagen de su ambiente actual, su pasado y su futuro. Si la imagen de la organizacin es apropiada, est crecer adaptndose a los cambios de su entorno. En el proceso de la informacin se deben detectar sus errores u omisiones, y evitar su destruccin y causas naturales (temblores, inundaciones o cualquier contingencia que pudiera suscitarse. La toma de decisiones incorrectas, producto de datos errneos proporcionados por los sistemas trae como consecuencia efectos significativos, que afectan directamente a la organizacin.

Los principales planes que se requieren dentro de la organizacin Informtica son: Estudio de viabilidad. Planeacin de cambios, modificaciones y actualizacin, Plan maestro. Plan de proyectos. Plan de seguridad: seguros, contingencias y recuperacin en caso siniestro.

Evaluacin de la estructura orgnica. Para lograr la evaluacin de la estructura orgnica se deber solicitar el manual de organizacin de la direccin, el cual deber comprender, como mnimo: Organigrama con jerarquas. Funciones. Objetivos y polticas. Anlisis, descripcin y evaluacin de puestos. Manual de procedimientos. Manual de normas. Instructivos de trabajo o guas de actividad. Objetivos de la direccin. Polticas y normas de la direccin. Planeacin.

Evaluacin de sistemas. Existen diversas formas por medio de las cuales las organizaciones pueden contar con el software necesario para cumplir con sus requerimientos; entre ellas se encuentran: Elaborado por el usuario, o bien un software comercial. Software compartido o regalado. Software transportable. Un solo usuario o multiusuario. Categorizacin de software de aplicacin por usuario. Software a la medida de la oficina.

Evaluacin del diseo lgico del sistema. En esta etapa se debern analizar las especificaciones del sistema:

Qu deber hacer? Cmo lo deber hacer? Cul es la justificacin para que se haga de la manera sealada? Cul es la secuencia y ocurrencia de los datos?

La definicin del proceso. Los archivos y bases de datos utilizados. Las salidas y reportes.

La naturaleza especializada de la Auditoria a los sistemas de informacin (SI), as como las destrezas necesarias para llevar a cabo tales Auditorias, requiere de estndares que aplican especficamente a la Auditoria de SI. Uno de los objetivos de la Asociacin de Auditoria y Control de los Sistemas de Informacin (Information Systems Audit and Control Association, ISACA) es promover estndares aplicables internacionalmente para cumplir con su visin. El desarrollo y difusin de los Estndares de Auditoria de SI son una piedra angular de la contribucin profesional de ISACA a la comunidad de Auditoria. La estructura para los Estndares de Auditoria de SI brinda mltiples niveles de asesoramiento:

Los Estndares definen requisitos obligatorios para la Auditoria y el reporte de SI. Informan a:

Los auditores de SI respecto al nivel mnimo de desempeo aceptable requerido para cumplir con las responsabilidades profesionales indicadas en el Cdigo de tica Profesional de ISACA. La direccin y otras partes interesadas en las expectativas de la profesin con respecto al trabajo de sus profesionales. Los poseedores de la designacin de Auditor Certificado de Sistemas de Informacin (Certified Information Systems Auditor, CISA) respecto a los requisitos que deben cumplir. El incumplimiento de estos estndares puede resultar en una investigacin de la conducta del poseedor del certificado CISA por parte de la Junta de Directores de ISACA o del comit apropiado de ISACA y, en ltima instancia, en sanciones disciplinarias.

Las Directrices proporcionan asesoramiento en la aplicacin de los Estndares de Auditoria de SI. El auditor de SI debe considerarlas al determinar cmo lograr la implementacin de los estndares, utilizar un buen juicio profesional en su aplicacin y estar dispuesto a justificar cualquier desviacin de las mismas. El objetivo de las Directrices de Auditoria de SI es proporcionar mayor informacin con respecto a cmo cumplir con los Estndares de Auditoria de SI. Los Procedimientos proporcionan ejemplos de procedimientos que podra seguir un auditor de SI en el curso de un contrato de auditoria. Los documentos sobre procedimientos proporcionan informacin sobre cmo cumplir con los estndares al realizar trabajos de auditoria de SI, pero no establecen los requisitos correspondientes. El objetivo de los Procedimientos de Auditoria de SI es proporcionar

mayor informacin con respecto a cmo cumplir con los Estndares de Auditoria de SI. Los recursos de COBIT deben utilizarse como fuente de asesoramiento con respecto a las mejores prcticas. El Marco Referencial de COBIT establece que: "Es responsabilidad de la gerencia salvaguardar todos los activos de la empresa. Para descargar esta responsabilidad, as como para lograr sus expectativas, la gerencia debe establecer un adecuado sistema de control interno. COBIT proporciona un conjunto detallado de controles y de tcnicas de control para el entorno de administracin/gestin de sistemas de informacin. La seleccin del material ms relevante en COBIT aplicable al alcance de la auditoria en particular se basa en la seleccin de procesos especficos de COBIT para TI, considerando adems los criterios de informacin de COBIT. COSO (Control Interno Informe COSO): Debido al mundo econmico integrado que existe hoy en da se ha creado la necesidad de integrar metodologas y conceptos en todos los niveles de las diversas reas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. El control interno posee cinco componentes que pueden ser implementados en todas las compaas de acuerdo a las caractersticas administrativas, operacionales y de tamao; los componentes son: un ambiente de control, una valoracin de riesgos, las actividades de control (polticas y procedimientos), informacin y comunicacin y finalmente el monitoreo o supervisin. En Colombia se ha institucionalizado la aplicacin del control interno en las entidades y organismos del Estado mediante la ley 87 de 1993, esta ley establece los objetivos que busca la administracin se cumplan en aras del bienestar comn buscando una adecuada gestin y control ciudadano conforme a las caractersticas estudiadas y analizadas en el informe COSO para su adecuado diseo, interpretacin, implementacin y evaluacin El Informe COSO El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de Control Interno. Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia en todo lo que concierne al Control Interno. El principal objetivo del Control Interno es garantizar que la empresa alcance sus objetivos. En este sentido, el Control Interno (CI) puede actuar de 2 distintas maneras: 1. Evitar que se produzcan desviaciones con respecto a los objetivos establecidos;

2. Detectar, en un plazo mnimo, estas desviaciones. En el primer caso, el Control Interno evita que estas desviaciones se produzcan. Un ejemplo practico podria ser el caso de una empresa que, establecidos unos objetivos en trminos de exposicin de sus cuentas a cobrar, analiza cada cliente antes de concederle crdito, evitando de esta forma que se produzcan situaciones de cuentas impagadas. En el segundo caso, por el contrario, el Control Interno no evita que se produzcan estas desviaciones, pero por lo menos hace saltar la alarma, de tal forma que la direccin de la empresa puede reaccionar rpidamente. Por ejemplo, una revisin trimestral de los ratios de rotacin de las existencias no evita que se produzcan situaciones de baja rotacin o de exceso de stock, pero permite a la empresa, en un plazo razonable (3 meses) detectar estas posibles circunstancias, antes de que sea demasiado tarde. En estos casos, la tempestividad es esencial: no es lo mismo detectar que nuestra rotacin ha disminuido despus de 3 meses, que despus de un ao (cuando los niveles de stock pudieran ser ya demasiado elevados). En ambos casos, no hay que caer en el error de pensar que el Control Interno ofrezca garantas absolutas de que se eviten o detecten estas desviaciones. Es importante comprender que el objetivo de todo sistema de Control Interno es ofrecer una seguridad razonable de que la empresa alcanzar sus objetivos. DUMPSEC: Es una herramienta de Auditoria Libre y corre bajo sistemas Windows 2.000, aunque tambin se puede ejecutar en Windows XP sin ningn problema. Dumpsec es muy til para realizar Auditorias en el equipo, ya que la utilera puede arrojar informacin de los permisos en los usuarios y grupos, informacin del as impresoras y directorios compartidos y reportar posibles huecos de seguridad en la configuracin del sistema. COBIT: (Control Objectives for Information and related Technology, Objetivos de Control para la Informacin y Tecnologas Relacionadas). Promueve un conjunto de 34 Objetivos de Control de alto nivel, uno para cada uno de los Procesos de TI, agrupados en cuatro dominios: planeacin & organizacin, adquisicin & implementacin, entrega (de servicio) y monitoreo.

CONCLUSIONES Fue una buena prctica la realizacin de este trabajo, pues me ense a colocar la teora dada y los conocimientos que he adquirido en este tiempo, para iniciar a

evaluar una empresa con los implementos sugeridos por la auditoria, y desenvolverme en la realidad de la ejecucin de una Auditoria. El avance tecnolgico que se ha logrado en los ltimos aos ha sido impresionante. El avance se ha reflejado ms posiblemente en el rea de informtica, lo cual ha provocado que se tenga computadoras con un bajo costo y con una gran capacidad de procesamiento. Esta nueva rea evala la informacin desde su generacin (dato) hasta su utilizacin (informacin), y debe considerar la herramienta que se utiliza, su optimizacin, el respaldo de la informacin, la seguridad y confidencialidad de la misma, y seguir el mejor uso de la informacin al menor costo, evitando duplicidad. Para lograr esta evaluacin se requiere que el auditor conozca no slo sobre las materias que le son propias, sino que tenga una capacitacin tcnica en le rea de sistema computacionales e informtica. La Auditoria no debe terminar con la presentacin, sino ser el inicio de una serie de Auditorias y revisiones peridicas, con adecuado seguimiento de las observaciones, para lograr las correcciones a los problemas y las mejoras a los sistemas que lo ameriten.

BIBLIOGRAFIA TEXTOS Informacin brindada por la empresa.

Informacin dada por la tutora. Auditoria en Informtica. Echenique Garca Jos Antonio. Editorial: Mc-Graw Hill, 2001. Mxico. Segunda edicin. Apuntes de auditoria administrative. lvarez Anguiano, Jorge. Mxico. Sistemas de informacin administrativa, Robert G. Murdic, segunda edicin, editorial: Prentice Hall. DIRECCIONES EN INTERNET http://www.monografias.com/trabajos12/coso/coso.shtml http://212.9.83.4/auditoria/home.nsf/COSO_1?OpenPage http://www.monografias.com/trabajos12/coso/coso2.shtml http://www.cemla.org/pdf/aud-991109-mex.PDF http://ciberconta.unizar.es/LECCION/seguro/100.HTM http://www.ls.eso.org/lasilla/quality/PDF/biblioteca%20-virtual-%20auditorias.pdf http://www.buscarportal.com/articulos/iso_9001_gestion_calidad.html http://www.mgar.net/soc/isoaud.htm