Qu es la Auditora de Redes?

Identificar los conceptos bsicos requeridos para la prctica de auditora de redes de voz y datos.

CONOCIMIENTOS DE LA UNIDAD DE APRENDIZAJE AUDITORA DE REDES UNIDAD DE COMPETENCIA I

CONCEPTO DE AUDITORA A LAS TECNOLOGAS DE LA INFORMACIN TIPOS DE AUDITORA

ORGANIZACIN DE LA FUNCIN DE AUDITORA ESTNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUAS DE AUDITORA CDIGO DE TICA PROFESIONAL DEL AUDITOR

EL CONTROL INTERNO

RIESGOS DE AUDITORA Y MATERIALIDAD

DETECCIN DE FRAUDES

AUTOEVALUACIN DEL CONTROL

COBIT

ITIL

MARCO JURDICO NORMATIVO DE LA FUNCIN DE AUDITORA

 La Auditora Informtica constituye una

serie de exmenes que se realizan en un sistema informtico de manera peridica o espordica, con el propsito de analizar y evaluar la planificacin, la eficacia, sus objetivos de control, la seguridad, economa y por supuesto la deteccin de irregularidades que se podran manifestar en el procesamiento de la informacin.

 La Auditora Informtica comprende la revisin y

la evaluacin independiente y objetiva, del ambiente y del entorno informtico de una organizacin. Comprende la evaluacin de todas o algunas de sus reas, los estndares y procedimientos en vigor, su calidad y el cumplimiento de ellos, de los objetivos fijados, de los contratos y las normas legales aplicables; el grado de satisfaccin de usuarios y directivos; los controles existentes y un anlisis de los riesgos.

 El curso est centrado en el anlisis de los

aspectos tericos, metodolgicos y tcnicos de los diversos temas que comprende la auditora informtica. El propsito fundamental es el de ofrecer a los estudiantes, mtodos y procedimientos que apoyados en tecnologas de la informacin fortalezcan el aprendizaje significativo.

 Comprende la enseanza aprendizaje de 5

unidades didcticas que tendrn como diferentes recursos para lograr la construccin del conocimiento de los estudiantes.

Definiendo Auditora
La palabra auditora viene del latn auditorius, y de

esta proviene auditor el que tiene la virtud de or; revisor de cuentas colegiado
El auditor tiene la virtud de or y revisar cuentas,

encaminado a un objetivo especfico, evaluar la eficiencia y eficacia con que se est operando para que por medio de sealamientos , se tomen decisiones que permitan corregir los errores en caso de que existan o mejorar la forma de actuacin.

Definiendo Auditora
con frecuencia la palabra auditora se ha empleado incorrectamente y se le ha considerado una evaluacin cuyo nico fn es detectar errores y sealar fallas, por eso la frase tan utilizada tiene auditora como sinnimo de que antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditora.

Definiendo Auditora
El concepto de auditora es ms amplio; no

solo detecta errores: es un examen crtico con la finalidad de evaluar la eficiencia y eficacia de una seccin o un organismo, Determinar cursos alternativos de accin para mejorar la organizacin y lograr los objetivos propuestos

CONCEPTO DE AUDITORA A LAS TECNOLOGAS DE LA INFORMACIN

Concepto de Auditora a las tecnologas de la Informacin

La Auditoria de TECNOLOGIAS DE INFORMACION (T.I.), como se le conoce actualmente, (Auditoria informtica o Auditoria de sistemas en nuestro medio). En algunos pases altamente desarrollados es catalogada como una actividad de apoyo vital para el mantenimiento de la infraestructura crtica de una nacin, tanto en el sector pblico como privado, en la medida en que la INFORMACION es considerada un activo tan o ms importante que cualquier otro en una organizacin.

Concepto de Auditora a las tecnologas de la Informacin

Existen, normas, tcnicas y buenas practicas dedicadas a la evaluacin y aseguramiento de la calidad, seguridad, razonabilidad, y disponibilidad de la INFORMACION tratada y almacenada a travs de la computadora y equipos afines, as como de la eficiencia, eficacia y economa con que la administracin de un ente estn manejando dicha INFORMACION y todos los recursos fsicos y humanos asociados para su adquisicin, captura, procesamiento, transmisin, distribucin, uso y almacenamiento.

Concepto de Auditora a las tecnologas de la Informacin

Cuyo objetivo es una opinin o juicio, para lo cual se aplican tcnicas de auditoria de general aceptacin y conocimiento tcnico especfico.

Concepto de Auditora a las tecnologas de la Informacin

apoyada por un conjunto de conocimientos acerca de la tecnologa informtica, de tcnicas y procedimientos de auditora y de conocimientos contables, para evaluar la calidad, fiabilidad y seguridad de un entorno informtico dado, as como brindar seguridad razonable acerca de la utilidad de la informacin almacenada y procesada en ellos, con el fin de emitir un juicio al respecto.

Concepto de Auditora
Finalmente, deber expresar su opinin

acerca del grado de eficiencia, eficacia y economa con que estn siendo usados - administrados todos los recursos de tecnologa informtica a cargo de la administracin, incluido el factor humano.

Auditora de Red
La globalizacin, la competencia y los avances tecnolgicos estn aumentando la importancia de las redes corporativas en todos los sectores empresariales. Las empresas con mayor visin deben estar preparadas para una creciente dependencia de sus redes y, en consecuencia, para un crecimiento de red exponencial. Adems, La infraestructura de las Tecnologas de la Informacin y de las Comunicaciones (TIC) se ha convertido en un activo empresarial estratgico y la red constituye su ncleo.

Concepto
Una Auditoria de Redes es, en esencia, una serie de mecanismos mediante los cuales se pone a prueba una red informtica, evaluando su desempeo y seguridad, a fin de lograr una utilizacin ms eficiente y segura de la informacin.

Concepto
El primer paso para iniciar una gestin responsable de la seguridad es identificar la estructura fsica (hardware, topologa) y lgica (software, aplicaciones) del sistema (sea un equipo, red, intranet, extranet), y hacerle una Anlisis de Vulnerabilidad, para saber en qu grado de exposicin nos encontramos.

Concepto
As, hecha esta "radiografa" de la red, se procede a localizar sus fallas ms crticas, para proponer una Estrategia de Saneamiento de los mismos; un Plan de Contencin ante posibles incidentes; y un Seguimiento Contnuo del desempeo del sistema.

TIPOS DE AUDITORA

Tipos de Auditora
Auditora Interna y Auditora Externa: La auditora interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada.

Los empleados que realizan esta tarea son remunerados econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento.

Auditora externa
Realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

Auditora informtica interna

La auditora informtica interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditora externa, las cuales no son tan perceptibles como en las auditoras convencionales. La auditora interna tiene la ventaja de que puede actuar peridicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitan a las Auditoras, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

Auditora informtica interna

En una empresa, los responsables de Informtica escuchan, orientan e informan sobre las posibilidades tcnicas y los costeo de tal Sistema. Con voz, pero a menudo sin voto, Informtica trata de satisfacer lo ms adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informtica y sta necesita que su propia gestin est sometida a los mismos Procedimientos y estndares que el resto de aquella. La conjuncin de ambas necesidades cristaliza en la figura del auditor interno informtico.

Auditora informtica interna

En cuanto a empresas se refiere, solamente las ms grandes pueden poseer una Auditora propia y permanente, mientras que el resto acuden a las auditoras externas. Puede ser que algn profesional informtico sea trasladado desde su puesto de trabajo a la Auditora Interna de la empresa cuando sta existe. Finalmente, la propia Informtica requiere de su propio grupo de Control Interno, con implantacin fsica en su estructura, puesto que si se ubicase dentro de la estructura Informtica ya no sera independiente.

Auditora informtica interna

Hoy, ya existen varias organizaciones Informticas dentro de la misma empresa, y con diverso grado de autonoma, que son coordinadas por rganos corporativos de Sistemas de Informacin de las Empresas.

Auditora informtica interna

Una Empresa o Institucin que posee auditora interna puede y debe en ocasiones contratar servicios de auditora externa. Las razones para hacerlo suelen ser:

1) Necesidad de auditar una materia de gran especializacin, para la cual los servicios propios no estn suficientemente capacitados.

Ausitora informtica interna

2) Contrastar algn Informe interno con el que resulte del externo, en aquellos supuestos de emisin interna de graves recomendaciones que chocan con la opinin generalizada de la propia empresa. 3) Servir como mecanismo protector de posibles auditoras informticas externas decretadas por la misma empresa.

Auditora informtica interna

Aunque la auditora interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditoras externas como para tener una visin desde afuera de la empresa. La auditora informtica, tanto externa como interna, debe ser una actividad exenta de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o cliente.

Tipos y clases de auditora

Dentro de las reas generales, se establecen las siguientes divisiones de Auditora Informtica: de Explotacin, de Sistemas, de Comunicaciones y de Desarrollo de Proyectos. Estas son las reas Especificas de la Auditora Informtica ms importantes.

Tipos y clases de auditora

Cada rea Especifica puede ser auditada desde los siguientes criterios generales: Desde su propio funcionamiento interno. Desde el apoyo que recibe de la Direccin y, en sentido ascendente, del grado de cumplimiento de las directrices de sta. Desde la perspectiva de los usuarios, destinatarios reales de la informtica. Desde el punto de vista de la seguridad que ofrece la Informtica en general o la rama auditada.

Tipos y clases de auditora entre otras

Financiera Informtica Gestin Cumplimiento

ORGANIZACIN DE LA FUNCIN DE AUDITORA

Organizacin de la funcin de auditora

La funcin de auditora informtica paso de ser una funcin de ayuda al auditor financiero a ser una funcin que desarrolla un trabajo, y seguir hacindolo en el futuro. En acuerdo con la importancia que tienen los sistemas informticos y de informacin para las organizaciones. El auditor informtico pasa a ser auditor y consultor y asesor en: seguridad, control interno, eficiencia y eficacia, tecnologa informtica, continuidad de operaciones, gestin de riesgos.

Mas all de los sistemas informticos sino en el contexto empresarial.

Organizacin de la funcin de auditora

cmo se debe organizar la funcin de auditora informtica dentro de la empresa? Histricamente la funcin de auditora informtica se considera dentro de la funcin de auditora interna, pero debe ser independiente de los objetivos de la auditora interna operativa y financiera. Debe tener accesibilidad total a los sistemas informticos y de informacin. Debe estar bajo la direccin del director de auditora interna, para evitar que otras dependencias cambien o disminuyan su imagen.

Organizacin de la funcin de auditora

No debe depender del encargado de sistemas ni del departamento de organizacin, financiero o administrativo (debe ser independiente). El departamento de auditora informtica debe tener una organzacin interna basada en: Jefe del departamento Gerente o supervisor de auditora informtica Staff de auditores informticos

Organizacin de la funcin de auditora

El tamao debe estar en funcin de los objetivos de la funcin, con especialistas en entorno informtico en comunicaciones y o redes, responsable de gestin de riesgo operativo, responsable de la auditora de sistemas y de ser posible un especialista para la elaboracn de programas trabajos conjuntos con la auditora financiera.

ESTNDARES, DIRECTRICES, PROCEDIMIENTOS Y GUAS DE AUDITORA

Estndares
La Organizacin Internacional para la Estandarizacin, ISO por sus

siglas en ingls (International Organization for Standardization), es una federacin mundial que agrupa a representantes de cada uno de los organismos nacionales de estandarizacin (como lo es el IRAM en la Argentina), y que tiene como objeto desarrollar estndares internacionales que faciliten el comercio internacional.
Cuando las organizaciones tienen una forma objetiva de evaluar la

calidad de los procesos de un proveedor, el riesgo de hacer negocios con dicho proveedor se reduce en gran medida, y si los estndares de calidad son los mismos para todo el mundo, el comercio entre empresas de diferentes pases puede potenciarse en forma significativa y de hecho, as ha ocurrido .

Estndares
Durante las ltimas dcadas, organizaciones de todos

los lugares del mundo se han estado preocupando cada vez ms en satisfacer eficazmente las necesidades de sus clientes, pero las empresas no contaban, en general, con literatura sobre calidad que les indicara de qu forma, exactamente, podan alcanzar y mantener la calidad de sus productos y servicios. De forma paralela, las tendencias crecientes del comercio entre naciones reforzaba la necesidad de contar con estndares universales de la calidad. Sin embargo, no exista una referencia estandarizada para que las organizaciones de todo el mundo pudieran demostrar sus prcticas de calidad o mejorar sus procesos de fabricacin o de servicio.

Estndares
Teniendo como base diferentes antecedentes sobre normas de

estandarizacin que se fueron desarrollando principalmente en Gran Bretaa, la ISO cre y public en 1987 sus primeros estndares de direccin de la calidad: los estndares de calidad de la serie ISO 9000.
Con base en Ginebra, Suiza, esta organizacin ha sido desde

entonces la encargada de desarrollar y publicar estndares voluntarios de calidad, facilitando as la coordinacin y unificacin de normas internacionales e incorporando la idea de que las prcticas pueden estandarizarse tanto para beneficiar a los productores como a los compradores de bienes y servicios. Particularmente, los estndares ISO 9000 han jugado y juegan un importante papel al promover un nico estndar de calidad a nivel mundial.

Estndares

LA FAMILIA ISO Las series de normas ISO relacionadas con la calidad constituyen lo que se denomina familia de normas, las que abarcan distintos aspectos relacionados con la calidad: ISO 9000: Sistemas de Gestin de Calidad Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad en diseo, fabricacin, inspeccin, instalacin, venta, servicio post venta, directrices para la mejora del desempeo. ISO 10000: Guas para implementar Sistemas de Gestin de Calidad/ Reportes Tcnicos Gua para planes de calidad, para la gestin de proyectos, para la documentacin de los SGC, para la gestin de efectos econmicos de la calidad, para aplicacin de tcnicas estadsticas en las Normas ISO 9000. Requisitos de aseguramiento de la calidad para equipamiento de medicin, aseguramiento de la medicin. ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones. Principios ambientales, etiquetado ambiental, ciclo de vida del producto, programas de revisin ambiental, auditoras. ISO 19011: Directrices para la Auditora de los SGC y/o Ambiental

 I.1 Aplicacin La ISO 9001 2000 se puede aplicar en cualquier tipo de

organizacin, ya sea con o sin fines de lucro, manufacturera o de servicios, grande, mediana o pequea.

I.2 Qu se necesita para iniciar un proceso de Aseguramiento de la Calidad s/Normas ISO serie 90012000? Compromiso real y participacin de los directivos Involucramiento de todos los empleados Comunicacin Capacitacin de todas las reas de la organizacin Disponibilidad de recursos dedicados a la implementacin del SGC (responsables, tiempos, dinero, espacios fsicos para reuniones, etc.) Definicin clara de responsabilidades

 Realizacin de un diagnstico de calidad

Comprensin de los requerimientos de los clientes Fijacin de polticas y objetivos de calidad Establecimiento de un plan de calidad Ordenamiento de la documentacin existente Creacin de la documentacin del SGC s/ norma ISO (Manual de Calidad, procedimientos, instrucciones de trabajo) Puesta a punto o calibracin de mquinas, equipos, etc. Diseo e implementacin de mecanismos de mejora continua Definicin, planificacin e implementacin de actividades de medicin y seguimiento necesarias para asegurar el cumplimiento de las exigencias de la norma

Directrices
Una auditora se realiza con base a un patrn o conjunto de directrices o buenas practicas sugeridas. Existen estndares orientados a servir como base para auditoras de informtica. Uno de ellos es COBIT (Objetivos de Control de la Tecnologas de la Informacin), dentro de los objetivos definidos como parmetro, se encuentra el "Garantizar la Seguridad de los Sistemas". Adicional a este estndar podemos encontrar el standard ISO 27002, el cual se conforma como un cdigo internacional de buenas prcticas de seguridad de la informacin, este puede constituirse como una directriz de auditora apoyndose de otros estndares de seguridad de la informacin que definen los requisitos de auditora y sistemas de gestin de seguridad, como lo es el estndar ISO 27001.

Procedimientos
Al conjunto de tcnicas de investigacin aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinin del auditor dentro de una auditora, se les dan el nombre de procedimientos de auditora en informtica. La combinacin de dos o ms procedimientos, derivan en programas de auditora, y al conjunto de programas de auditora se le denomina plan de auditora, el cual servir al auditor para llevar una estrategia y organizacin de la propia auditora. El auditor no puede obtener el conocimiento que necesita para sustentar su opinin en una sola prueba, es necesario examinar los hechos, mediante varias tcnicas de aplicacin simultnea.

Procedimientos
Anlisis de datos. Dentro de este trabajo, desarrollaremos

diversos tipos de tcnicas y procedimientos de auditora, de los cuales destacan el anlisis de datos, ya que para las organizaciones el conjunto de datos o informacin son de tal importancia que es necesario verificarlos y comprobarlos, as tambin tiene la misma importancia para el auditar ya que debe de utilizar diversas tcnicas para el anlisis de datos, basados en [bib-solis-2002], las cuales se describen a continuacin.

Procedimientos
En General los procedimientos de auditora permiten: Obtener conocimientos del control interno. Analizar las caractersticas del control interno. Verificar los resultados de control interno. Fundamentar conclusiones de la auditora. Por esta razn el auditor deber aplicar su experiencia y decidir cul tcnica o procedimiento de auditora sern los mas indicados par obtener su opinin.

Procedimientos
Comparacin de programas esta tcnica se emplea para efectuar una comparacin de cdigo (fuente, objeto o comandos de proceso) entre la versin de un programa en ejecucin y la versin de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias. Mapeo y rastreo de programas esta tcnica emplea un software especializado que permite analizar los programas en ejecucin, indicando el nmero de veces que cada lnea de cdigo es procesada y las de las variables de memoria que estuvieron presentes.

Procedimientos
Anlisis de cdigo de programas Se emplea para analizar los programas de una aplicacin. El anlisis puede efectuarse en forma manual (en cuyo caso slo se podra analizar el cdigo ejecutable). Datos de prueba Se emplea para verificar que los procedimientos de control incluidos los programas de una aplicacin funcionen correctamente. Los datos de prueba consisten en la preparacin de una serie de transacciones que contienen tanto datos correctos como datos errneos predeterminados.

Procedimientos
Datos de prueba integrados

Tcnica muy similar a la anterior, con la diferencia de que en sta se debe crear una entidad, falsa dentro de los sistemas de informacin. Existen varios tipos de bitcoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tales como bitcoras de fallas del equipo, bitcoras de accesos no autorizados, bitcoras de uso de recursos, bitcoras de procesos ejecutados.

Anlisis de bitcoras

Procedimientos
Simulacin paralela

Tcnica muy utilizada que consiste en desarrollar programas o mdulos que simulen a los programas de un sistema en produccin. El objetivo es procesar los dos programas o mdulos de forma paralela e identificar diferencias entre los resultados de ambos.

Procedimientos
Monitoreo. Dentro de las organizaciones todos los

procesos necesitan ser evaluados a travs del tiempo para verificar su calidad en cuanto a las necesidades de control, integridad y confidencialidad, este es precisamente el mbito de esta tcnica, a continuacin se muestran los procesos de monitoreo:

Procedimientos
M1 Monitoreo del proceso. M2 Evaluar lo adecuado del control

Interno. M3 Obtencin de aseguramiento independiente. M4 Proveer auditora independiente.

Procedimientos
M1 Monitoreo del proceso Asegura el logro de los objetivos para los

procesos de TI, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeo y la implementacin de sistemas de soporte as como la atencin regular a los reportes emitidos. Para ello la gerencia podr definir indicadores claves de desempeo y factores crticos de xito y compararlos con los niveles propuestos para evaluar el desempeo de los procesos de la organizacin.

Procedimientos
M2 Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control

interno establecidos para los procesos de TI, para ello se debe monitorear la efectividad de los controles internos a travs de actividades administrativas, de supervisin, comparaciones, acciones rutinarias, evaluar su efectividad y emitir reportes en forma regular

 M3 Obtencin de aseguramiento independiente Incrementa los niveles de confianza entre la

organizacin, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deber obtener una certificacin o acreditacin independiente de seguridad y control interno antes de implementar nuevos servicios de tecnologa de informacin que resulten crticos, as como para trabajar con nuevos proveedores de servicios de tecnologa de informacin, luego la gerencia deber adoptar como trabajo rutinario tanto hacer evaluaciones peridicas sobre la efectividad de los servicios de tecnologa de informacin, de los proveedores de estos servicios as como tambin asegurarse el cumplimiento de los compromisos contractuales de los servicios de tecnologa de informacin y de los proveedores de dichos servicios.

Procedimientos
M4 Proveer auditora independiente. Incrementa los niveles de confianza de

recomendaciones basadas en mejores prcticas de su implementacin, lo que se logra con el uso de auditoras independientes desarrolladas a intervalos regulares de tiempo. Para ello la gerencia deber establecer los estatutos para la funcin de auditora, destacando en este documento la responsabilidad, autoridad y obligaciones de la auditora.

 El auditor deber ser independiente del auditado, esto

significa que los auditores no debern estar relacionados con la seccin o departamento que est siendo auditado y en lo posible deber ser independiente de la propia empresa, esta auditora deber respetar la tica y los estndares profesionales, seleccionando para ello auditores que sean tcnicamente competentes, es decir que cuenten con habilidades y conocimientos que aseguren tareas efectivas y eficientes de auditora informtica. La funcin de la auditora informtica deber proporcionar un reporte que muestre los objetivos, perodo de cobertura, naturaleza y trabajo de auditora realizado, as como tambin la organizacin, conclusin y recomendaciones relacionadas con el trabajo de auditora informtica llevado a cabo.

Procedimientos
Anlisis de bitcoras. Hoy en da los sistemas de cmputo se

encuentran expuestos a distintas amenazas, las vulnerabilidades de los sistemas aumentan, al mismo tiempo que se hacen ms complejos, el nmero de ataques tambin aumenta, por lo anterior las organizaciones deben reconocer la importancia y utilidad de la informacin contenida en las bitcoras de los sistemas de computo as como mostrar algunas herramientas que ayuden a automatizar el proceso de anlisis de las mismas.

Procedimientos
El crecimiento de Internet enfatiza esta problemtica, los

sistemas de cmputo generan una gran cantidad de informacin, conocidas como bitcoras o archivos logs, que pueden ser de gran ayuda ante un incidente de seguridad, as como para el auditor. Una bitcora puede registrar mucha informacin acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora. Direcciones IP origen y destino. Direccin IP que genera la bitcora. Usuarios. Errores.

Procedimientos
La importancia de las bitcoras es la de

recuperar informacin ante incidentes de seguridad, deteccin de comportamiento inusual, informacin para resolver problemas, evidencia legal, es de gran ayuda en las tareas de cmputo forense. Las Herramientas de anlisis de bitcoras mas conocidas son las siguientes: Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent

Procedimientos
Las bitcoras contienen informacin crtica es

por ello que deben ser analizadas, ya que estn teniendo mucha relevancia, como evidencia en aspectos legales. El uso de herramientas automatizadas es de mucha utilidad para el anlisis de bitcoras, es importante registrar todas las bitcoras necesarias de todos los sistemas de cmputo para mantener un control de las mismas.

Procedimientos
Tcnicas de auditora asistida por computadora La utilizacin de equipos de computacin en las

organizaciones, ha tenido una repercusin importante en el trabajo del auditor, no slo en lo que se refiere a los sistemas de informacin, sino tambin al uso de las computadoras en la auditora. Al llevar a cabo auditoras donde existen sistemas computarizados, el auditor se enfrenta a muchos problemas de muy diversa condicin, uno de ellos, es la revisin de los procedimientos administrativos de control interno establecidos en la empresa que es auditada.

Procedimientos
La utilizacin de paquetes de programas

generalizados de auditora ayuda en gran medida a la realizacin de pruebas de auditora, a la elaboracin de evidencias plasmadas en los papeles de trabajo. Segn [bib-zavaro-martinez] las tcnicas de auditora Asistidas por Computadora (CAAT) son la utilizacin de determinados paquetes de programas que actan sobre los datos, llevando a cabo con ms frecuencia los trabajos siguientes:

Procedimientos
Seleccin e impresin de muestras de

auditoras sobre bases estadsticas o no estadsticas, a lo que agregamos, sobre la base de los conocimientos adquiridos por los auditores. Manipulacin de la informacin al calcular subtotales, sumar y clasificar la informacin, volver a ordenar en serie la informacin, etc.

Procedimientos
Consecuentemente, se hace indispensable el

empleo de las CAAT que permiten al auditor, evaluar las mltiples aplicaciones especficas del sistema que emplea la unidad auditada, el examinar un diverso nmero de operaciones especficas del sistema, facilitar la bsqueda de evidencias, reducir al mnimo el riesgo de la auditora para que los resultados expresen la realidad objetiva de las deficiencias, as como de las violaciones detectadas y elevar notablemente la eficiencia en el trabajo.

Procedimientos
Teniendo en cuenta que se haca

imprescindible auditar sistemas informticos; as como disear programas auditores, se deben incorporar especialistas informticos, formando equipos multidisciplinarios capaces de incursionar en las auditoras informticas y comerciales, independientemente de las contables, donde los auditores que cumplen la funcin de jefes de equipo, estn en la obligacin de documentarse sobre todos los temas auditados.

Procedimientos
De esta forma los auditores adquieren ms

conocimientos de los diferentes temas, pudiendo incluso, sin especialistas de las restantes materias realizar anlisis de esos temas, aunque en ocasiones es necesario que el auditor se asesore con expertos, tales como, ingenieros industriales, abogados, especialistas de recursos humanos o de normalizacin del trabajo para obtener evidencia que le permita reunir elementos de juicio suficientes.

 Examen de registros de acuerdo con los

criterios especificados. Bsqueda de alguna informacin en particular, la cual cumpla ciertos criterios, que se encuentra dentro de las bases de datos del sistema que se audita.

Procedimientos
Benchmarking Las empresas u organizaciones deben buscar

formas o frmulas que las dirijan hacia una mayor calidad, para poder ser competitivos, una de estas herramientas o frmulas es el Benchmarking. Existen varios autores que han estudiado el tema, y de igual manera existen una gran cantidad de definiciones de lo que es benchmarking, a continuacin se presentan algunas definiciones.

Procedimientos
Benchmarking es el proceso continuo de

medir productos, servicios y prcticas contra los competidores o aquellas compaas reconocidas como lderes en la industria (1)

(1) [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP).

Procedimientos
Esta definicin presenta aspectos importantes

tales como el concepto de continuidad, ya que benchmarking no slo es un proceso que se hace una vez y se olvida, sino que es un proceso continuo y constante. Segn la definicin anterior podemos deducir que se puede aplicar benchmarking a todas las facetas de las organizaciones, y finalmente la definicin implica que el benchmarking se debe dirigir hacia aquellas organizaciones y funciones de negocios dentro de las organizaciones que son reconocidas como las mejores.

Procedimientos
Entre otras definiciones tenemos la extrada del

libro Benchmarking de Bengt, la cual es: benchmarking es un proceso sistemtico y contino para comparar nuestra propia eficiencia en trminos de productividad, calidad y prcticas con aquellas compaas y organizaciones que representan la excelencia. Como vemos en esta definicin se vuelve a mencionar el hecho de que benchmarking es un proceso continuo, tambin se presenta el trmino de comparacin y por ende remarca la importancia de la medicin dentro del benchmark.

Procedimientos
Estos autores se centran, a parte de la

operaciones del negocio, en la calidad y en la productividad de las mismas, considerando el valor que tienen dichas acciones en contra de los costos de su realizacin lo cual representa la calidad, y la relacin entre los bienes producidos y los recursos utilizados para su produccin, lo cual se refiere a la productividad. Por lo que podemos ver existen varias definiciones sobre lo que es benchmarking, y aunque difieren en algunos aspectos tambin se puede notar que concuerdan o presentan una serie de elementos comunes.

Procedimientos
Para empezar en la mayora de ellas se resalta

el hecho de que benchmarking es un proceso continuo que al aplicarla en nuestra empresa resuelva los problemas de la misma, sino que es un proceso que se aplicar una y otra vez ya que dicho proceso est en bsqueda constante de las mejores prcticas de la industria, y como sabemos la industria est en un cambio constante y para adaptarse a dicho cambio desarrolla nuevas practicas, por lo que no se puede asegurar que las mejores prcticas de hoy lo sern tambin de maana.

Procedimientos
Tambin se vio en las diferentes definiciones

que este proceso no slo es aplicable a las operaciones de produccin, sino que puede aplicarse a todas la fases de las organizaciones, por lo que benchmarking es una herramienta que nos ayuda a mejorar todos los aspectos y operaciones del negocio, hasta el punto de ser los mejores en la industria, observando aspectos tales como la calidad y la productividad en el negocio.

 De igual manera podemos concluir que

es de suma importancia como una nueva forma de administrar ya que cambia la prctica de compararse slo internamente a comparar nuestras operaciones en base a estndares impuestos externamente por las organizaciones conocidas como las de excelencia dentro de la industria.
[2]http://Monografias.com/Trabajos4.html

Guas
Una gua de auditora es un manual escrito que contiene

directrices especficas o instrucciones para llevar a cabo una auditora. Estas guas estn generalmente especficas de negocio industrias o sectores, tales como las compaas de seguros, correduras y compaas de financiamiento. Guas de auditora pueden basarse en los principios de marco de contabilidad nacionales o reglamentaciones gubernamentales relativas a industrias especficas del negocio o sectores.Auditores utilicen dichas guas para evaluar la financiera o las operaciones de negocios de una empresa y determinan si cualquier violaciones o debilidades importantes existen en informacin interna o externa de la empresa.

 Una gua de auditora puede desarrollarse para cada tipo

de auditora llevada a cabo por una firma de contabilidad pblica u otra organizacin. Tipos ms comunes de las auditoras incluyen financiera, cumplimiento de normas, o las auditoras operacionales. La Gua de auditora puede utilizarse por auditores internos empleados directamente por la empresa o por auditores pblicos que realizan auditoras externas. Guas de auditora interna y auditora externa usualmente difieren en su mbito de aplicacin para la evaluacin de la informacin de la empresa. Las auditoras internas suelen ser menos formal y destinados a uso de gestin slo. Una gua de auditora externa a menudo se utiliza para evaluar la informacin de la empresa de despacho a los interesados de negocios externos.

 Una gua de auditora interna normalmente

comprueba la implementacin de las empresas de controles internos para proteger su informacin financiera y de negocios. Controles internos podrn limitar el nmero de funciones de un individuo puede completar en la empresa, restringir el acceso a informacin confidencial de la empresa o del cliente, garantizar que la compaa cumple requisitos para las designaciones profesionales, o reunin especfica gubernamentales y legales. Los directores de contabilidad a menudo son responsables de desarrollar a la Gua de auditora interna y asegurar que la gua cubre todas las funciones importantes del negocio de la empresa.

Planeacin de la Auditoria Informtica

Se debe recopilar informacin para obtener una visin general del rea a auditar por medio de: observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin. La planeacin de la auditora debe sealar en forma detallada el alcance y direccin esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigacin preliminar solicitando y revisando la informacin de cada una de las reas de la organizacin.
Para poder analizar y dimensionar la estructura por auditar se debe solicitar: 1- A nivel Organizacin Total: Objetivos a corto y largo plazo Manual de la Organizacin Antecedentes o historia del Organismo Polticas generales

2. A nivel rea informtica: Objetivos a corto y largo plazo Manual de organizacin del rea que incluya puestos, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea Procedimientos administrativos en el rea. Presupuestos y costos del rea.

3. Recursos materiales y tcnicos Solicitar documentos sobre los equipos, nmero (de los equipos por instalados, por instalar y programados), localizacin y caractersticas. Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contrato de seguros Convenios que se mantienen con otras instalaciones Configuracin de los equipos, capacidades actuales y mximas. Planes de expansin Ubicacin general de los equipos Polticas de operacin Polticas de uso o de equipos

4- Sistemas Manual de formularios. Manual de procedimientos de los sistemas Descripcin genrica Diagrama de entrada, archivo y salida. Salidas impresas Fecha de instalacin de los sistemas Proyectos de instalacin de nuevos sistemas.

Como resultado de los trabajos preliminares se debe explicitar: objetivo alcance limitaciones y colaboracin necesarias grado de responsabilidad Informes que se entregaran

Fases de la Auditora Informtica

TOMA DE CONTACTO PLANIFICACION DE LA OPERACION DESARROLLO DE LA AUDITORIA FASE DE DIAGNOSTICO PRESENTACION DE LAS CONCLUSIONES FORMULACION DEL PLAN DE MEJORAS

 Toma de Contacto En esta etapa se debern

establecer: - Definitivamente el objetivo de la AI - Las reas a cubrir - Personas de la Organizacin que habrn de colaborar y en que momentos de la auditoria - Plan de trabajo: - tareas - calendario - resultados parciales - presupuesto - equipo auditor necesario

Planificacin de la Operacin Desarrollo de la Auditoria Informtica Es el momento de ejecutar las tareas que se enunciaron en la fase anterior. Es esta una fase de observacin, de recoleccin de datos, situaciones, deficiencias, en resumen un perodo en el que:

 se efectuarn las entrevistas previstas en la

fase de planificacin. se completarn todos los cuestionarios que presente el auditor se observarn las situaciones deficientes, no solo las aparentes, sino las que hasta ahora no hayan sido detectadas, para lo que se podr llegar a simular situaciones lmites. se observarn los procedimientos, tanto los informticos como los de usuarios. se ejecutarn por lo tanto, todas las previsiones efectuadas en la etapa anterior con el objeto de llegar a la siguiente etapa en condiciones de diagnosticar la situacin encontrada.

Fase de Diagnstico
Cuando ya se hayan efectuado todas los

estudios y revisiones, se debe elaborar el diagnstico. Como resultados de esta etapa han de quedar claramente definidos los puntos dbiles, y por contrapunto los fuertes, los riesgos eventuales, y en primera instancia los posibles tipos de solucin o mejoras de los problemas planteados.
Estas conclusiones se discutirn con las

personas afectadas por lo que sern suficientemente argumentadas y probadas.

 Es un momento delicado en el trato con

las reas, los auditores deben presentar estas conclusiones como un plan de mejoras en beneficio de todos, en lugar de una reprobacin de los afectados, salvo en el caso de que esto sea estrictamente necesario.

Presentacin de las Conclusiones Formulacin del Plan de Mejoras Llegados a este ltimo punto, la direccin conoce ya las deficiencias que el equipo auditor ha observado en su departamento informtico, stas han sido discutidas. Mas no basta con quedarse ah, ahora es cuando los auditores han de demostrar su experiencia en situaciones anteriores lo suficientemente contrastadas y exitosas y ser capaces de adjuntar, al informe de auditora, el plan de mejoras que permitir solventar las deficiencias encontradas.

 El plan de mejoras abarcar todas las

recomendaciones derivadas de las deficiencias detectadas en la realizacin de la auditoria. Para ello se tendrn en cuenta los recursos disponibles, o al menos potencialmente disponibles, por parte de la Empresa objeto de la Auditoria.

 Entre las primeras se incluirn aquellas

mejoras puntuales y de fcil realizacin como son las mejoras en plazo, calidad, planificacin o formacin. Las medidas de mediano plazo necesitaran de uno a dos aos para poderse concretar. Aqu pues caben mejoras ms profundas y con mayor necesidad de recursos, como la optimizacin de programas, o de la documentacin, e incluso de algunos aspectos de diseo de los sistemas.

 Para finalizar, las consideraciones a

largo plazo, pueden llevar cambios sustanciales en las polticas, medios o incluso estructuras del servicio de informtica. Estas mejoras pueden pasar por la reconsideracin de los sistemas en uso o de los medios, humanos y materiales, con que se cuenta, llegando si es preciso a una seria reconsideracin del plan informtico.

ALGUNAS RECOMENDACIONES A TENER EN CUENTA:

1- No hacer juicios sin la suficiente fundamentacin 2- Cuidar los aspectos de imagen, presentacin y protocolo 3- No adelantar resultados parciales que pueden distorsionar el resultado final 4- Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas muy bien para que surtan el efecto que de ellas se espera.

5- En todo momento, por cordiales que resulten las relaciones con los auditados, no perder de vista el papel de consultores experimentados que han de tener los auditores informticos. 6- Exponer la idea que los resultados de la auditoria no harn ms que intentar mejorar, a todos los efectos, el servicio de informtica con el beneficio que ello supondra para todos los implicados en el rea.

7- Exponer la idea que al final de la auditoria no se trata de castigar a nadie. El objetivo fundamental es el de encontrar deficiencias y corregirlas.

8- Estudiar hechos y no opiniones. (no se toman en cuenta rumores ni informacin sin fundamento) 9- Investigar las causas, no los efectos. 10- Atender razones, no excusas. 11- Criticar objetivamente y a fondo todos los informes y los datos recabados.

CDIGO DE ETICA PROFESIONAL DEL AUDITOR

Elaborar resumen captulo 7 Piattini

EL CONTROL INTERNO

 El control interno informtico controla

diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y no normas fijados por la Direccin de la organizacin y/o a la direccin de informtica as como los requerimientos legales.

Misin del control interno informtico Asegurarse de que las medidas que se obtienen de los mecanismos implantados por cada responsable sean correctas y vlida. Suele ser un rgano staff, dotado de las personas y medios materiales proporcionados para tareas encomendadas.

Objetivos: Controlar que todas las actividades que se realicen cumplan con normas y procedimientos, evaluar sus beneficios y asegurarse de cumplimiento de normas legales. Asesorar sobre el conocimientos de las normas

Debido a que cada da es mas frecuente el uso de redes en las instituciones, las cuales que van desde simples redes internas y redes locales (LANs), hasta las redes metropolitanas (MANs) o las redes instaladas a escala mundial (WANs). El establecimientos para estos controles para la seguridad en sistemas de redes y sistemas multiusuario de una empresa es de vital importancia. Razn por la cual se debe tomar medidas muy especificas para la proteccin, resguardo y uso de programas, archivos e informacin compartida de la empresa.

Respecto a la seguridad en redes, existe un sinnmero de medidas preventivas y correctivas, las cuales constantemente se incrementan en el mundo de los sistemas.
Debido a la caractersticas de los propios sistemas computacionales , a las formas de sus instalaciones , el numero de terminales y a sus tipos de conexin , es necesario adaptarse a los constantes cambios tecnolgicos que buscan garantizar la seguridad en el funcionamiento de las propias redes, de sus programas de uso colectivo, de su archivos de informacin y de su dems caractersticas.

La seguridad en las redes es muy eficiente y con una profundidad digna de sealarse debido a que constantemente se establecen y actualizan sus controles, los cuales van desde restriccin de las accesos para usuarios, hasta el uso de palabras claves para el ingreso a los programas y archivos de la empresa , as como el monitoreo de actividades, rutinas de auditoria para identificar comportamientos, con el propsito de salvaguardar la informacin y los programas de estos sistemas.

Lo mismo ocurre respecto a los planes y programas de contingencias diseados para la salvaguarda de la informacin, de los programas y de los mismos sistemas de red establecidos en la empresa.

CONTROLES

ORGANIZACIN Registro de los intercambios Custodia de activos que no sean los del propio departamento Correccin de errores que no provengan de los originados por el propio dpto. En cuanto a la organizacin dentro del mismo departamento , las siguiente funciones deben estar segregadas: programacin del sistema operativo anlisis , programacin y mantenimiento operacin ingreso de datos control de datos de entrada / salida archivos de programas y datos.

 DESARROLLO Y MANTENIMIENTO DE SISTEMAS Las tecnicas de mantenimiento y programacin

operativos del sistema deben estar normalizados y documentados. OPERACIN Y PROCEDIMIENTOS Deben existir controles que aseguren el procesamiento exacto y oportuno de la informacin contable. instrucciones por escrito sobre procedimiento para para preparar datos para su ingreso y procesamiento La funcin de control debe ser efectuada por un grupo especfico e independiente. Instrucciones por escrito sobre la operacin de los equipos. Solamente operadores de computador deben procesar los SIST OP.

 CONTROLES DE EQUIPOS Y PROGRAMAS DEL

SISTEMA Debe efectuarse un control de los equipos : programacin del mantenimiento preventivo y peridico registro de fallas de equipos Los cambios del sist. Op. Y la programacin. CONTROLES DE ACCESO El acceso al PED debe estar restringido en todo momento. Tambin debe controlarse : el acceso los equipos debe estar restringido a aquellos autorizados el acceso de documentacin solo aquellos autorizados el acceso a los archivos de datos y programas solo limitado a operadores

El El

funcionamiento adecuado de los protocolos de red

funcionamiento corrector de direcciones ya sean por un nivel o jerrquicas.

El

manejo de los tamaos de paquetes que se manejan en la red, segn su mximo.

El

control de errores para la entrega confiable y en orden o sin orden de la informacin que se trasmite en la red.
Control Control

de flujo y de velocidad de trasmisin de los datos de la red.

de congestin del manejo de la informacin, trasmisin y protocolo de la red.

Administracin

y control de la problemtica de seguridad de la red, la informacin, los usuarios, los sistemas computacionales y de las instalaciones fsicas.
Contabilidad

de los tiempos de uso del sistema, ya sea por conexin de las terminales, por paquetes, por byte, por proceso o por cualqu

Anlisis

del funcionamiento de los mecanismos de control de acceso a las instalaciones, informacin y software institucional.
Anlisis

de prevencin de accesos mltiples, sin permisos, dolosos y de todas aquellas acciones para ingresar al sistema sin la autorizacin correspondiente.
Anlisis Anlisis

del procesamiento de informacin en los sistemas de red.

de la administracin y el control de la asignacin de los niveles de acceso, privilegios y contrasea para los usuarios para ingresar al sistema de la informacin.
Anlisis Anlisis

del monitoreo de las actividades de los usuarios.

de las medidas correctivas y preventivas para evitar la piratera de informacin, software, activos informticos y consumibles del rea de sistemas.

RIESGOS DE AUDITORA Y MATERIALIDAD

Anlisis de riesgos y materialidad

El Riesgo en auditora representa la posibilidad de que el auditor

exprese una opinin errada en su informe debido a que los estados financieros o la informacin suministrada a l estn afectados por una distorsin material o normativa.

Anlisis de riesgos y materialidad

En auditora se conocen tres tipos de riesgo: Inherente, de

Control y de Deteccin. El riesgo inherente es la posibilidad de que existan errores significativos en la informacin auditada, al margen de la efectividad del control interno relacionado; son errores que no se pueden prever. El riesgo de control est relacionado con la posibilidad de que los controles internos imperantes no preveen o detecten fallas que se estn dando en sus sistemas y que se pueden remediar con controles internos ms efectivos. El riesgo de deteccin estn relacionados con el trabajo del auditor, y es que ste en la utilizacin de los procedimientos de auditora, no detecte errores en la informacin que lesuministran. El riesgo de auditoria se encuentra as: RA = RI x RC x RD

Clasificacin de los riesgos

Esta clasificacin de los riesgos en auditora puede tener

sus variantes; por ejemplo, en Taylor y Glezze se mencionan el riesgo alfa(riesgo del rechazo indebido) y el riesgo beta(riesgo de la aceptacin indebida)
La SAS No 39. Menciona el Riesgo Ultimo como una

combinacin de dos riesgos: el que se cometan errores de importancia en el proceso contable y el de que estos errores no sean detectados por el auditor. Se describe tambin como el riesgo de que en el saldo de una cuenta, exista un error monetario mayor que el que se pueda tolerar(Materialidad) y que el auditor no pueda detectarlo.

La materialidad
La

Materialidad es el error monetario mximo que puede existir en el saldo de una cuenta sin dar lugar a que los estados financieros estn sustancialmente deformados. A la materialidad tambin se le conoce como Importancia Relativa.

DETECCIN DE FRAUDES

Fraude
Definicin.- Podemos afirmar que es un engao hacia un tercero, abuso de

confianza, dolo, simulacin, etc. El trmino "fraude" se refiere al acto intencional de la Administracin, personal o terceros, que da como resultado una representacin equivocada de los estados financieros, pudiendo implicar:

* Manipulacin, falsificacin o alteracin de registros o documentos. * Malversacin de activos * Supresin u omisin de los efectos de ciertas transacciones en los registros o documentos. * Registro de transacciones sin sustancia o respaldo * Mala aplicacin de polticas contables.

Tipos de fraude
Se considera que hay dos tipos de fraudes: el primero de ellos

se realiza con la intencin financiera clara de malversacin de activos de la empresa.

El segundo tipo de fraude, es la presentacin de informacin

financiera fraudulenta como acto intencionado encaminado a alterar las cuentas anuales.

* Los fraudes denominados internos son aquellos organizados por una o varias personas dentro de una institucin, con el fin de obtener un beneficio propio. * Los fraudes conocidos como externos son aquellos que se efectan por una o varias personas para obtener un beneficio, utilizando fuentes externas como son: bancos, clientes, proveedores, etc.

Porque hay fraudes

Por Que Hay Fraudes

Se considera que hay fraudes por: * Falta de controles adecuados. * Poco y mal capacitado personal.

* Baja / alta rotacin de puestos.

* Documentacin confusa. * Salarios bajos. * Existencia de activos de fcil conversin: bonos, pagares, etc.

* Legislacin deficiente.
* Actividades incompatibles entre s.

 Como se evita un fraude: La respuesta ms sencilla es la de mejorar el control

administrativo, implementar practicas y polticas de control, analizar los riesgos que motiven a un fraude, tener la mejor gente posible, bien remunerada y motivada.
Como se detecta un fraude: Existe una infinidad de respuestas a esta pregunta las ms

comunes son:

* Observar, probar o revisar los riesgos especficos de control, identificar los mas importantes y vigilar constantemente su adecuada administracin.

* Simular operaciones.
* Revisar constantemente las conciliaciones de saldos con bancos, clientes, etc. * Llevar acabo pruebas de cumplimiento de la eficacia de los controles.

Situacin Internacional Aspectos legislados

Abuso fraudulento en el procesamiento de

informacin (Austria, Japn) Dao de equipo de cmputo y uso ilegal de equipo de cmputo (Japn) Lucrar utilizando inadecuadamente bases de datos (Japn, Nueva Zelanda) Sabotear negocios ajenos (Japn) Piratera y adquisicin ilegal de programas (Francia, Alemania, Japn, Escocia, Gran Bretaa, El Salvador).