son los diferentes objetivos de la auditoria que facilitan al estudiante en exponer frente a los problemas que se presentan en una empresa y el perfil el auditor como debe realizar su labor y definir el metodo de estudio
Nota: Este documento se ha realizado con el animo de compartir tesis con los miles de cibernautas que consultan a diario en la web, para lo cual aclaro que el contenido aquí presente pertenece a sus autores para lo cual se ha colocado la Bibliografía consultada al final de cada tema. Éxitos y Bendiciones. ¡Cristo les ama y les quiere salvar!
Matriz foda sobre la auditoria en las empresas en vzlaAndrea Arana
Determinación de las fortalezas, debilidades, oportunidades y amenazas de la Auditoria en las empresas, así como también las estrategias pertinentes ha tomar.
PPT sobre la Impotancia de las TICS en la Auditoría.
Trabajo para el ramo Empresa y Sociedad del Conocimiento, del profesor JORGE ISRAEL.
Integrantes: Giselle Aranguiz
Nadia Cabello
Jenny Rodriguez
Eduardo Riquelme
Karla Rivas
Romina Silva
son los diferentes objetivos de la auditoria que facilitan al estudiante en exponer frente a los problemas que se presentan en una empresa y el perfil el auditor como debe realizar su labor y definir el metodo de estudio
Nota: Este documento se ha realizado con el animo de compartir tesis con los miles de cibernautas que consultan a diario en la web, para lo cual aclaro que el contenido aquí presente pertenece a sus autores para lo cual se ha colocado la Bibliografía consultada al final de cada tema. Éxitos y Bendiciones. ¡Cristo les ama y les quiere salvar!
Matriz foda sobre la auditoria en las empresas en vzlaAndrea Arana
Determinación de las fortalezas, debilidades, oportunidades y amenazas de la Auditoria en las empresas, así como también las estrategias pertinentes ha tomar.
PPT sobre la Impotancia de las TICS en la Auditoría.
Trabajo para el ramo Empresa y Sociedad del Conocimiento, del profesor JORGE ISRAEL.
Integrantes: Giselle Aranguiz
Nadia Cabello
Jenny Rodriguez
Eduardo Riquelme
Karla Rivas
Romina Silva
Portal neutral de información cuyo principal objetivo es dar a conocer las principales adjudicaciones, licitaciones, compras centralizadas y anuncios previos del sector tecnológico (TIC), convocados por la Administración pública a nivel local, autonómico y estatal.
Las tic’s como herramientas de apoyo a la gestión empresarialCristian Salazar C.
Las TIC’s agregan valor a las actividades operacionales y de gestión empresarial en general y permite a las empresas obtener ventajas competitivas, permanecer en el mercado y centrarse en su negocio
1. Universidad Central
Empresa y Sociedad del Conocimiento
Importancia de las Tics en la
Auditoría.
Empresa y Sociedad del Conocimiento
Profesor: Jorge Israel
Integrantes: Giselle Aranguiz
Nadia Cabello
Eduardo Riquelme
Karla Rivas
Jenny Rodríguez
Romina Silva
Santiago 12 de junio de 2010.
1
2. Universidad Central
Empresa y Sociedad del Conocimiento
Introducción:
En este informe veremos la importancia que tiene la Tecnología de la Información y de
la Comunicación en la Auditoria, en como se ha convertido en un recurso
imprescindible en el trabajo diario del controlador financiero y el auditor y del
complejo proceso de este procedimiento que requiere herramientas informáticas
adecuadas para el desempeño de nuestra función como futuros Auditores.
Para introducirnos en el tema principal debemos saber ¿Qué son las Tic?
Tecnologías: Aplicación de los conocimientos científicos para facilitar la realización de
las actividades humanas. Supone la creación de productos, instrumentos, lenguajes y métodos
al servicio de las personas.
Información: Datos que tienen significado para determinados colectivos. La información
resulta fundamental para las personas, ya que a partir del proceso cognitivo de la información
que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan
lugar a todas nuestras acciones.
Comunicación: Transmisión de mensajes entre personas. Como seres sociales las personas,
además de recibir información de los demás, necesitamos comunicarnos para saber más de ellos,
expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los
grupos en convivencia, etc.
Tecnologías de la Información y la comunicación (TIC) : Cuando unimos estas tres palabras
hacemos referencia al conjunto de avances tecnológicos que nos proporcionan la informática,
las telecomunicaciones y las tecnologías audiovisuales, que comprenden los desarrollos
relacionados con los ordenadores, Internet, la telefonía, los "mas media", las aplicaciones
multimedia y la realidad virtual. Estas tecnologías básicamente nos proporcionan información,
herramientas para su proceso y canales de comunicación.
2
3. Universidad Central
Empresa y Sociedad del Conocimiento
La aparición de la informática ha supuesto una revolución en la contabilidad. La
creación de programas contables específicos en un entorno Windows, acercó las
aplicaciones informáticas al usuario, haciendo que fueran más fáciles de utilizar y más
versátiles. El siguiente paso, fue la revolución de las comunicaciones, especialmente de
Internet, así como la ampliación del abanico de posibilidades de la contabilidad a
actividades tales como la banca electrónica y el envío de declaraciones fiscales por
Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y
rapidez. Hay que señalar además, que el nacimiento y posterior regulación de la
Firma electrónica reconocida como medio de autentificar los mensajes enviados
haciendo muy difícil su falsificación, incrementa en gran medida el interés de las nuevas
tecnologías de la información y la comunicación (TIC).
Los profesionales TIC, auditores informáticos, pasan por ser los recursos cualificados
para contribuir a la construcción de la confianza en la Administración Electrónica,
configurándose como los garantes de la prestación de servicios de calidad, y en la
consecución de las políticas públicas relacionadas.
La función de la Auditoria Informática en las organizaciones, comienza con la
implantación de un proceso para supervisar el control de las tecnologías y de los
procesos asociados, y la evolución hacia un enfoque proactivo participando en otras
fases del ciclo del control.
Las distintas áreas operativas de las organizaciones se sostienen y apoyan cada vez más
en los servicios de las tecnologías de la información y las comunicaciones (TIC), que
han acompañado la automatización y el crecimiento de todos los procesos productivos,
y la prestación de nuevos servicios. Como consecuencia, son muchas las organizaciones
en las que la información y la tecnología que la soporta representan los activos más
valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologías les
pueden proporcionar. La productividad de cualquier organización depende del
funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno
como un proceso crítico adicional.
Por tanto, se requiere contar con una efectiva administración de los riesgos asociados
con las TIC, y que viene dada por:
- La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente
Dependencia de la información y de los sistemas que la proporcionan.
- El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas
a las que están expuestos.
- La importancia y magnitud de los costes y las inversiones TIC.
- La desconfianza que los procedimientos automatizados o los servicios electrónicos
pudieran provocar en el colectivo usuario y en los ciudadanos en general.
3
4. Universidad Central
Empresa y Sociedad del Conocimiento
- El potencial de las nuevas tecnologías de la información es tal que pueden llegar a
introducir importantes cambios en la organización, y en las prácticas de su actividad,
para crear nuevas oportunidades y reducir costos.
Resulta de ello el rol básico que debe desempeñar la función de Auditoria Informática
O Auditoria de los Sistemas de Información, en una organización: supervisión de los
controles efectivamente implementados y determinación de la eficiencia de los mismos.
Dada la especialización de los controles a supervisar, es indudable que en la
Administración Pública el perfil de los profesionales TIC es el idóneo para asumir y
realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la
confianza en los servicios prestados, en especial los enmarcados dentro de la
Administración Electrónica.
Los Auditores informáticos pueden recomendar cambios en los procesos de negocios
para lograr los objetivos económicos o sociales de la organización. También es posible
que las investigaciones revelen fraudes, desperdicios o abusos. Los auditores
informáticos modernos proceden de manera sistemática en sus estudios, planificando
sus acciones y enfocándose en las áreas de mayor riesgo.
Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de
normativa para su buen gobierno, el auditor informático también trabaja como consejero
empresarial, asesorando en cuanto al establecimiento de políticas y estándares que
aseguren la información y el control de las TIC.
Es así que los profesionales TIC de la Administración tienen ante si un reto en su
carrera profesional: realizar tareas propias de la función de auditoria, para contribuir a la
mejora de la calidad de los servicios prestados a los ciudadanos.
4
5. Universidad Central
Empresa y Sociedad del Conocimiento
Servicios de Auditoria de Tecnologías de la Información
La Auditoria de las Tecnologías de la Información y las Comunicaciones está
adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la
seguridad, continuidad y disponibilidad de las infraestructuras informáticas sobre las
que se sustentan los procesos de negocio de toda empresa u organismo, necesitando
adicionalmente que todos estos procesos se realicen de forma eficiente.
Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de
acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de
Información y como parte inherente de la Auditoría Financiera, se está requiriendo cada
vez más que los Sistemas de Información sean, a su vez, auditados.
Dirección estratégica de las TICS: auditando los Sistemas de Información
Un servicio muy útil a la hora de gestionar los Sistemas de Información (SI) de una
empresa o sus Tecnologías de la Información y Comunicaciones (TIC) son las
Auditorias. Una Auditoría es una radiografía de una parte de una empresa u
organización. Las auditorías pueden ser externas (Hechas por un consultor externo a la
organización) o Internas (Hechas por gente de la misma organización).
El objetivo de una Auditoría es descubrir las causas de problemas en el funcionamiento,
la verificación de presuntas causas o simplemente mejorar su funcionamiento. Algunos
ejemplos son:
• Auditoría técnica de sistemas para conocer el estado actual del hardware de la
empresa (Estado, Antigüedad, Si es el adecuado, etc.),
• Auditoría de la explotación para conocer el estado actual de los elementos de
una explotación (Licencias, Recursos de explotación, ),
• Auditoría de las redes de la empresa y evaluar su adecuación, seguridad, etc.
5
6. Universidad Central
Empresa y Sociedad del Conocimiento
La información obtenida de la auditoría debe servir a la dirección de la empresa para la
toma de decisiones, como por ejemplo: Implementar un software u otro según sus
necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un
plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.
El tipo de auditoría puede variar (puede ser interna o externa, auditoría de objetivos,
etc.). No obstante, como común denominador, el ciclo de vida básico de una auditoría
es el siguiente:
1- Inicio de la auditoría: Contrato y definición del alcance. La definición del alcance
de la auditoría es un punto crítico, hay que acotar exactamente el trabajo ha hacer para
obtener los resultado deseados (Mucha gente no presta atención a esto).
2- Revisión de la documentación y preparación de las actividades: Aquí se define el
plan de auditoría, se organiza la inspección y se preparan los documentos de trabajo
(Formularios, Listas de verificación, etc.).
3- Desarrollo del plan de auditoría
4- Preparación del informe de la auditoría y presentación de resultados: Una vez
finalizadas las acciones del plan de auditoría se debe preparar el informe de auditoría
donde debe aparecer toda la documentación de la auditoría y sus conclusiones. También
debe realizarse la presentación de los resultados a la persona auditada y asegurarse que
son comprendidos.
En resumen, la auditoría es una herramienta poco conocida y muy valiosa a la hora de
tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos
brinda la información necesaria para tomar decisiones sobre una base sólida y con
garantías de éxito.
6
7. Universidad Central
Empresa y Sociedad del Conocimiento
Problemas en las TICS.
En el mundo de las TICs, como en cualquier otro, son varios los problemas a los que los
administradores se deben enfrentar, aunque los peores son aquellos que no son
evidentes. Hemos identificado ‘situaciones a evitar’ que causan importantes pérdidas
monetarias y que afectan a la productividad.
Los usuarios acceden a servicios externos
El rápido crecimiento de las tecnologías Web 2.0 ha puesto herramientas potentes,
gratuitas y fáciles de usar al alcance de todos, incluyendo los empleados que utilizan
estos servicios para facilitar y simplificar las tareas corporativas.
Como ejemplo, hay empleados que colaboran en la creación de un informe utilizando
Google, se comunican con proveedores a través del Messenger o, incluso, utilizan
herramientas de gestión SAAS (software por pago) en proyectos críticos. En la mayoría
de los casos, estas herramientas se utilizan sin la supervisión del personal de TI.
Sin embargo, este tipo de situación puede causar problemas para todos. Los empleados
que descubren problemas de acceso a los servicios esenciales se pueden encontrar con
que el personal de TI no dispone de la preparación adecuada para proporcionarles
ayuda. Por otra parte, el personal de TI se enfrenta ahora a la posibilidad de una
infección de malware que entre por estos puntos.
Así, los responsables de Tecnología deben asegurar que los servicios externos forman
parte de cualquier discusión sobre las aplicaciones necesitadas por los departamentos.
Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos
utilizados así como las herramientas que proporcionan información sobre las
estadísticas de uso.
7
8. Universidad Central
Empresa y Sociedad del Conocimiento
Los datos sensibles des encriptados están siendo transmitidos
Su negocio dispone de lo que usted considera una configuración de red estándar y
segura. Un cortafuego protege todo el tráfico interno. Servidores Web y otros sistemas
que requieren un acceso directo a Internet disponen de túneles encriptados a las fuentes
de datos dentro de los cortafuegos.
Más allá de esta configuración tradicional, muchas empresas podrían beneficiarse con
otras opciones de encriptación.
Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa
que ésta esté protegida. Incluso aquellos empleados con un poco de destreza tecnológica
tienen a su alcance herramientas que permiten escanear las redes para rastrear
información sensible, desde datos empresariales a las nóminas del personal.
Los administradores de redes deben pensar como hackers y utilizar las mismas
herramientas de rastreo que estos para identificar todos los datos, moviéndose por la
red. Si pueden ver esta información, cualquier otro usuario también la puede ver. Una
vez identificados estos datos descubiertos, las conexiones se pueden robustecer con
seguridad.
Las aplicaciones Web están repletas de fallos de seguridad
Aunque son ya muchas las compañías que se han puesto ‘serias’ en cuando a la
implementación de parches y actualizaciones de las aplicaciones, esta práctica no cubre
el perfil entero de la seguridad de aplicaciones.
La razón radica en que existen aplicaciones corporativas que se suelen descartar o
ignorar en las políticas de actualizaciones y, frecuentemente, éstas contienen
información sensible.
8
9. Universidad Central
Empresa y Sociedad del Conocimiento
Los problemas en las empresas
La topología actual de aplicaciones empresariales es mixta y está compuesta tanto por
programas internos como externos. Muchos de estos programas no son más que
pequeños scripts. Y estos son precisamente los que más riesgo conllevan porque son
sencillos y fáciles de descifrar.
Las compañías deben tener a mano un listado de todas las aplicaciones Web y scripts
que residen en la red. Asegúrese de que dispone de las últimas versiones de las
aplicaciones y componentes que hay detrás de los wikis y blogs, por ejemplo. En el caso
de aplicaciones customizadas, mantenga un fichero de los scripts que éstas puedan
incorporar.
Esto significa la monitorización periódica de servicios de seguridad como CERT y las
páginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las
aplicaciones que son un punto de entrada a la red corporativa es una inversión sin
precio.
Datos no auditables
Una buena auditoría de los datos almacenados en su organización es un deber común en
las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas
empresas.
Las industrias reguladas, como son Banca, Seguros y Sanidad, están acostumbradas al
proceso de auditorías periódicas y disponen de un banco de conocimientos sobre la
ubicación de los datos. Sin embargo, las industrias emergentes no son tan detallistas.
Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el
cumplimiento de las normas como la seguridad de la información.
La seguridad afecta tanto a la protección de la información como a la aplicación de
parches para asegurar que las aplicaciones funcionan como deben. Una buena manera
de evitar problemas de cumplimiento de normas es la implementación estricta de
políticas que monitorizan cada modificación de los servidores y los dispositivos de red.
9
10. Universidad Central
Empresa y Sociedad del Conocimiento
Escasos recursos de almacenamiento
Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente
a la utilización actual, sugieren que su organización dispone de mucha capacidad. Sin
embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un
recurso esencial.
Los administradores deben evaluar los requerimientos de capacidad y rendimiento de
las aplicaciones junto con los recursos disponibles de almacenamiento. Las
organizaciones pueden maximizar la utilización de capacidad y mantener un nivel de
rendimiento aceptable.
Su IP podría ser deficiente
Más que nunca, las organizaciones dependen de sus redes IP para todo tipo de tareas. En
muchas compañías, puntos de acceso inalámbricos, teléfonos VOIP y cámaras de
seguridad ofrecen nuevas opciones de disminuir el número de líneas físicas y cables de
suministro de energía.
Una falta de Business Intelligence
La BI no es una tecnología nueva. Las grandes empresas, especialmente las del sector
financiero y de sanidad, han utilizado herramientas de BI durante muchos años.
Las medianas y pequeñas empresas que no implementan estas tecnologías se enfrentan a
problemas de competitividad. Lejos de ser tecnologías sólo aptas para empresas
grandes, las herramientas de análisis han evolucionado de tal manera que son asequibles
incluso para organizaciones más modestas.
No cabe duda que estas herramientas pueden marcar una diferencia importante en los
servicios y productos de una compañía que llegan al mercado, incrementando la
rentabilidad de transacciones comerciales.
Pero para poder aprovechar estas herramientas hay que comprometerse a unificar la
tecnología y los procesos de negocio en una organización. Esto significa una
infraestructura óptimamente configurada con herramientas que recogen la información
pertinente de una transacción.
10
11. Universidad Central
Empresa y Sociedad del Conocimiento
Los consultores han de vigilarse
Las promesas de costes reducidos y plazos cortos pueden abrir las puertas a una serie de
errores que no benefician a nadie.
Los consultores suelen tomar atajos poco correctos para cumplir los plazos de
cumplimiento. Quizás envían datos sensibles inalámbricamente sin las protecciones
adecuadas. Quizás utilizan software no licenciado para monitorizar o gestionar algún
componente del despliegue. O quizás abren un agujero en sus cortafuegos para obtener
un acceso directo y después se olvidan en cerrarlo.
Las compañías deben especificar claramente las normas de conducta y establecer un
sistema de evaluación medible.
En el contrato, las compañías deben decretar el comportamiento mínimo aceptable con
respecto a las licencias, la seguridad, documentación y gestión de cambios. Finalmente,
ha de haber una evaluación a posteriori para comprobar el cumplimiento de objetivos y
asegurar que la infraestructura no haya sufrido ningún daño colateral.
11
12. Universidad Central
Empresa y Sociedad del Conocimiento
Conclusión
El incremento masivo en el uso de medios informáticos, ya sea de ordenadores en los puestos de
trabajo como en las aplicaciones de tecnología cada vez más sofisticada, y en la prestación de
servicios a los ciudadanos mediante la Administración Electrónica, han llevado a la necesidad
de adaptar las técnicas de auditoria tradicionales para poder hacer frente a esos cambios.
Una vez planteadas y reconocidas las nuevas exigencias de control, surge la necesidad de contar
con un marco metodológico para organizar las actividades de Auditoria, y así definir las pautas
y los controles a considerar en las futuras actuaciones de auditoria. Esto se sustenta en el hecho
que el uso de una metodología contrastada contribuye a:
- Salvar las brechas existentes entre riesgos del proceso de gestión, necesidades de control y
aspectos técnicos. Esto es debido a que los riesgos de un proceso de gestión no son los mismos
que los riesgos a que se expone el sistema de información que le da apoyo. La Auditoria
Informática debe intentar asegurar que ambos están controlados, o sea, ajustados a las
necesidades de control, o a lo que se asuma controlar, y a los medios y recursos técnicos
disponibles.
- Determinar el alcance de la tarea de auditoria e identificar los controles mínimos, que debe
estar dirigida no sólo a auditores informáticos, sino también a los gestores y a los usuarios.
- Observar e incorporar los estándares y regulaciones nacionales o internacionales.
Al contar con una metodología se podrán tener predefinidos los procedimientos de actuación,
que aunque sólo lleguen a definir el qué y el cómo hacer las actuaciones, permitirán generar
resultados homogéneos por los distintos miembros del equipo auditor. Asimismo, el marco
metodológico adoptado tendrá que definir las pautas y los controles a realizar con relación a los
sistemas de información, tecnologías de hardware, seguridad, planificación, desarrollo de
sistemas, etc.
12