REVISTA FAECO SAPIENS
ISSN L 2644-3821
Acceso Abierto. Disponible en:
Volumen 3 - Número 1
Enero-Junio 2020
Recibido: 23/10/19 Aceptado: 20/11/19 pp. 64-74
Indexada
|
REVISTA FAECO SAPIENS ISSN L 2644-3821
Acceso Abierto. Disponible en: |
|
Enero-Junio 2020 Recibido: 23/10/19 Aceptado: 20/11/19 pp. 64-74 Indexada |
System audit as a tool to examine processes in companies
Profesora Titular, Facultad de Administración de Empresas y Contabilidad, Universidad de Panamá
Las constantes debilidades e ineficiencias en los sistemas informativos, aprovechamiento por parte de los usuarios que alimentan el mismo, carencias procedimentales e inexistencia de seguridad en los aspectos tanto en las áreas funcionales como en el ambiente lógico, permite que el escenario sea favorable para los ataques y hechos delictivos.
La auditoría de sistema se caracteriza por seguir fases, etapas o procedimientos para lograr examinar, verificar y obtener criterios que serán tomados en cuenta para las recomendaciones que debe adoptar la empresa. Tales recomendaciones coadyuvarán a que los procesos mejoren.
Este aporte lo realizamos con la finalidad de instituir que existen herramientas, estrategias y acciones para descubrir que, en los medios informáticos, a través de la evidencia digital se puede demostrar y sustentar debilidades, posibles anomalías que se han cometido y que dan pie a un hecho delictivo que se ha comprobado objeto de estudio.
Palabras claves: auditoría de sistemas, delito, evidencia digital, fraude, intruso.
The constant weaknesses and inefficiencies in the information systems, use by users who feed it, procedural deficiencies and lack of security in aspects both in functional areas and in the logical environment, allows the scenario to be favorable for attacks and criminal facts.
The system audit is characterized by following phases, stages or procedures to be able to examine, verify and obtain criteria that will be taken into account for the recommendations that the company must adopt. Such recommendations will help the processes improve.
This contribution is made in order to establish that there are tools, strategies and actions to discover that, in computer media, through digital evidence it is possible to demonstrate and sustain weaknesses, possible anomalies that have been committed and that give rise to a criminal fact that has been proven object of study.
Keywords: systems audit, crime, digital evidence, fraud, intruder.
La Auditoria de sistemas es un instrumento y/o herramienta que se utiliza para identificar los desafíos y técnicas de intromisión de curiosos (intrusos) al sistema de la organización con la finalidad de aprovecharse. La evidencia digital es una prueba razonable de las desviaciones que puedan ocasionar importantes desajustes en los resultados económico-financiero de la empresa.
La verificación del cumplimiento de las normativas, políticas y procedimientos establecidos en el control interno de las organizaciones es fundamental, ya que garantiza el control de los procesos y la seguridad del manejo de las técnicas implementadas.
Abarca aspectos como: la integridad de los datos, disponibilidad de la información como fuente principal a través de la metodología de revisión y evaluación de los controles, procesamiento de recursos que intervienen en el sistema.
Esta contribución pretende demostrar que la auditoría de sistemas abarca la revisión y evaluación de los sistemas de información y/o automáticos que procesan la información e incluye todas aquellas interfaces que hacen posible su funcionamiento, tales como: software, hardware, comunicaciones, recurso humano, políticas, procedimientos, normativas internas y controles de seguridad.
La auditoría de sistemas es una herramienta y/o técnica que armoniza fases y procesos que permite identificar el correcto desempeño de los procedimientos de control interno y permite identificar las causas, efectos y consecuencias, que identifica las debilidades en el proceso de la información. Asimismo, corrobora los posibles delitos y/o fraude cometido, ya sea por error involuntario o cuales quiera sea la consecuencia del acto cometido.
La auditoría de sistemas es un examen sistemático de todos recursos que involucran el sistema en su totalidad para determinar si se requiere de inversión en los recursos que componen el sistema para garantizar que los objetivos se cumplan.
La auditoría de sistema persigue mostrar por etapas que el diseño del sistema automatizado o informático se ajusta a los lineamientos establecidos en el control interno, políticas y procedimientos a fin de analizar que se contemplan los aspectos tanto teóricos como prácticos previamente establecidos, dentro de los cuales se debe tomar en cuenta los siguientes aspectos: planeación, programas de auditoría, cuestionarios de control interno, procedimientos, diseño de papeles de trabajo y presentación de los informes de la auditoría de sistemas aplicables al sistema de información o soporte lógico.
El rol fundamental de la auditoría de sistemas es garantizar la seguridad de que los sistemas que están funcionando de manera eficiente, eficaz y económicamente dentro de la organización. Es decir, que están bien definidos a nivel de la función tanto del talento humano, como de la participación y desarrollo adecuado de las tendencias tecnológicas al igual que las diversas etapas de adquisición de los recursos informáticos.
Para Piattini (2008), la auditoría informática es “el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos”
La definición anterior nos indica claramente que la auditoría de sistema abarca todos los recursos de la organización.
Echenique (2008) define la auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes; también se puede decir que es el examen y evaluación de los procesos del área de Procesamiento Electrónico de Datos (PED) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.
Para ello es necesario realizar el examen y revisión de los siguientes elementos:
Examinar la estructura y funcionamiento de la entidad a inspeccionar.
Analizar el control interno, políticas y normativas internas de la organización.
Comprensión de las tecnologías de la información.
Vincular las fases y/o técnicas de auditoria de sistemas para identificar y prevenir posibles hechos delictivos.
Reconocimiento de riesgos y evaluación de controles.
Analizar el proceso de registro incorrecto de las transacciones y/o procedimientos para ocultarlas.
La metodología y/o técnica que se realiza en una auditoría de sistemas se realiza a través de las fases y/o etapas de cada una. Se describen brevemente y el objetivo que persigue, las cuales detallamos a continuación:
|
Fases |
Descripción |
Objetivo |
|
Fase I |
Conocimiento del sistema |
Aspectos legales, políticas internas. Características del sistema operativo. Características de la aplicación de automatización. |
|
Fase II |
Análisis de transacciones y recursos |
Definición de las transacciones. Establecer el flujo de los documentos. Identificar y codificar los recursos que participan en el sistema. Relación entre transacciones y recursos. |
|
Fase III |
Análisis de riesgos y amenazas |
Identificación de riesgos. Identificación de las amenazas. Identificación entre recursos/amenazas/riesgos. |
|
Fase IV |
Análisis de controles |
Codificación de controles. Relación entre recursos/amenazas/riesgos. Análisis de cobertura de los controles requeridos. |
|
Fase V |
Evaluación de controles |
Objetivo de la evaluación. Plan de prueba de los controles. Prueba de controles. Análisis de los resultados de las pruebas. |
|
Fase VI |
Informe de auditoría |
Informe detallado de recomendaciones.
Evaluación de las respuestas. Informe final para la alta gerencia. |
|
Fase VII |
Seguimiento de las recomendaciones |
Informe del seguimiento. Evaluación de los controles implantados. |
La auditoría de sistemas examina procedimientos de control interno, métodos, manuales, estructura, funcionamiento y sistemas de información, con la finalidad de evaluar que el sistema se desempeña de acuerdo a los objetivos de la organización.
La revisión y evaluación de los recursos de la empresa, entidad y organización conlleva a que se evalúen las normas, controles, técnicas y procedimientos que se tienen establecidos en la empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas automatizados y/o de información.
La auditoría de sistema igualmente examina el correcto desarrollo, instalación, mantenimiento y explotación de la sistematización, así como sus equipos e instalaciones.
En la auditoría de sistemas se toma en consideración las normas generalmente aceptadas. Además de los estándares de ISACA, los que coadyuvan a crear un compendio de normas coherentes que facilitan la labor de los auditores de sistemas.
La auditoría de sistema evalúa que el control interno de la seguridad de la información esté debidamente alineado con los criterios de mejores prácticas de COBIT 5.
COBIT 5 en la auditoria de sistemas permite de manera sencilla lograr encontrar los hallazgos en lo que respecta al rendimiento y coadyuva a que los auditores puedan presentar su opinión a la gerencia sobre los controles internos y asesoramiento de la funcionalidad.
Las buenas prácticas de COBIT 5 ofrece a los auditores de tecnología de información estrategias que permiten conocer los procesos que se deben establecer en los sistemas de información al igual que los controles mínimos que se deben implementar.
La aplicación de COBIT 5, coadyuva a que se deben seguir las siguientes pautas:
Papeles de Trabajo
 |
 |
 |
 |
 |
 |
La auditoría de sistemas juega un papel muy importante, pues a través de ella se verifica que los controles generales del ambiente informático y controles a nivel de aplicación están operando correctamente.
Al realizar una auditoría de sistemas en cualquier empresa u organización es relevante analizar cómo administran el flujo de la información que es fundamental para la toma de decisiones y que dicha información es generada por los sistemas que estén ejecución a nivel de la organización.
La evolución tecnológica optimiza y proporciona evidencias que validan de manera eficiente los muestreos que se deben realizar al análisis de las transacciones y recursos al igual que a los riesgos y amenazas que se puedan detectar, mediante la aplicación de un criterio contra una evidencia. Asimismo, de la evaluación de los controles existentes y la forma de realizar los procesos.
Para que la auditoría de sistemas se desarrolle adecuadamente, es necesario tomar en cuenta los controles claves que estarán determinados en la aplicación de los controles automáticos y los controles definidos a nivel de la aplicación. Tales como: desarrollo de aplicaciones, cambios a programas, operaciones, acceso de datos y programas.
La finalidad de la auditoría de sistemas es examinar que el software que está en desarrollo es capaz de ejercer un control continuo de las operaciones que se llevan a cabo en el área de procesamiento de datos.
El auditor de sistemas brindará las recomendaciones a la administración para que se mejore o adecue el control interno con el ámbito tecnológico con el propósito de que se logre mayor eficiencia operativa y administrativa en la organización.
Areitio, J. (2009). Seguridad de la Información: Redes, Informática y Sistemas de Información.
Cengage Learning-Paraninfo.
Areitio, J. (2010). Test de Seguridad para evaluar y mejorar el nivel de riesgos de seguridad. Blanco, L. (2001). Auditoría a Sitios Web. Universidad de la Habana.
Carrasco, L. (2012). Redes Anonimización en Internet.leee.es. Instituto Español de Estudios Estratéticos.
Cascarino, R. (2012). Auditor's Guide to IT Auditing. Second Edition. . Wiley. Cepeda A., G. (2002). Auditoría y Control Interno. . Colombia: Mc Graw Hill.
Echenique G., J. A. (2008). Auditoría en Informática. Segunda Edición. México: Mc Graw Hill. Enrique, B. F. (2001). Auditoría Administrativa. 1° Edición . México: Mc Graw Hill.
Enrique, B. F. (s.f.). Auditoría Informática: Un Enfoque Operacional. México: Eco Ediciones. Giménez, F. (2014). Seguridad en Equipos Informáticos. España: IFCT0109.
Goñi C, L. (2008). El qué y el cómo del diagnóstico del sistema de información gerencial.
Acimed.
Hernádez, A. (2010). Auditoría Informática y Gestión Tecnológica de Información y Comunicación (TIC's). Compendium.
Hernández, E. (1997). Auditoría Informática: Un Enfoque Metodológico y Práctico. México: Continental.
ISACA. (2013). COBIT 5 Implementation Español (Spanish). Information Systems Audit and Control Association.
ISO. (2013). ISO/IEC 2700:2013 - Information tecnology - Security techiques - Information security management Systems - Requeriments - Ginebra: International Standarizaction and Organization.
Lardent, A. (2001). Sistema de Información para la gestión empresaria - Procedimientos y Auditoría. Prentice Hall.
Montilla, O. & Herrera, L. (2006). El deber ser de la auditoría. Estudios gerenciales. Piattini V., M. (2008). Auditoría de Tecnología y Sistemas de Información. RA-MA. Piattini, M. G. (2001). Auditoría Informática un Enfoque Práctico. Computec.
Pinilla, J. D. (s.f.). Auditoría Informática un Enfoque Operacional. Ecoe.
Ramírez, G. & Álvarez, E. (2003). Auditoría a la Gestión de las Tecnologías y Sistemas de Información. Industrial Data.
Valencia, F. & Tamayo, J. (2012). Evidencias digital y técnicas y herramientas de auditoría asistidas por computador. Ventana Informática.