TICs en la AUDITORA Introduccin:

En este informe veremos la importancia que tiene la Tecnologa de la Informacin y de la Comunicacin en la Auditoria, en como se ha convertido en un recurso imprescindible en el trabajo diario del controlador financiero y el auditor y del complejo proceso de este procedimiento que requiere herramientas informticas adecuadas para el desempeo de nuestra funcin como futuros Auditores.

Para introducirnos en el tema principal debemos saber Qu son las Tic? Tecnologas: Aplicacin de los conocimientos cientficos para facilitar la realizacin de las
actividades humanas. Supone la creacin de productos, instrumentos, lenguajes y mtodos al servicio de las personas. Informacin: Datos que tienen significado para determinados colectivos. La informacin resulta fundamental para las personas, ya que a partir del proceso cognitivo de la informacin que obtenemos continuamente con nuestros sentidos vamos tomando las decisiones que dan lugar a todas nuestras acciones. Comunicacin: Transmisin de mensajes entre personas. Como seres sociales las personas, adems de recibir informacin de los dems, necesitamos comunicarnos para saber ms de ellos, expresar nuestros pensamientos, sentimientos y deseos, coordinar los comportamientos de los grupos en convivencia, etc.

Tecnologas de la Informacin y la comunicacin (TIC) : Cuando unimos estas tres palabras hacemos referencia al conjunto de avances tecnolgicos que nos proporcionan la informtica, las telecomunicaciones y las tecnologas audiovisuales, que comprenden los desarrollos relacionados con los ordenadores, Internet, la telefona, los "mas media", las aplicaciones multimedia y la realidad virtual. Estas tecnologas bsicamente nos proporcionan informacin, herramientas para su proceso y canales de comunicacin.

La aparicin de la informtica ha supuesto una revolucin en la contabilidad. La creacin de programas contables especficos en un entorno Windows, acerc las aplicaciones informticas al usuario, haciendo que fueran ms fciles de utilizar y ms verstiles. El siguiente paso, fue la revolucin de las comunicaciones, especialmente de Internet, as como la ampliacin del abanico de posibilidades de la contabilidad a actividades tales como la banca electrnica y el envo de declaraciones fiscales por Internet que facilitaron el intercambio de datos con mayor facilidad, fiabilidad y rapidez. Hay que sealar adems, que el nacimiento y posterior regulacin de la Firma electrnica reconocida como medio de autentificar los mensajes enviados haciendo muy difcil su falsificacin, incrementa en gran medida el inters de las nuevas tecnologas de la informacin y la comunicacin (TIC).

Los profesionales TIC, auditores informticos, pasan por ser los recursos cualificados para contribuir a la construccin de la confianza en la Administracin Electrnica, configurndose como los garantes de la prestacin de servicios de calidad, y en la consecucin de las polticas pblicas relacionadas. La funcin de la Auditoria Informtica en las organizaciones, comienza con la implantacin de un proceso para supervisar el control de las tecnologas y de los procesos asociados, y la evolucin hacia un enfoque proactivo participando en otras fases del ciclo del control. Las distintas reas operativas de las organizaciones se sostienen y apoyan cada vez ms en los servicios de las tecnologas de la informacin y las comunicaciones (TIC), que han acompaado la automatizacin y el crecimiento de todos los procesos productivos, y la prestacin de nuevos servicios. Como consecuencia, son muchas las organizaciones en las que la informacin y la tecnologa que la soporta representan los activos ms valiosos, y a su vez, reconocen los beneficios potenciales que las nuevas tecnologas les pueden proporcionar. La productividad de cualquier organizacin depende del funcionamiento interrumpido de los sistemas TIC, transformando a todo el entorno como un proceso crtico adicional. Por tanto, se requiere contar con una efectiva administracin de los riesgos asociados con las TIC, y que viene dada por: - La necesidad de dar respuestas adecuadas a los problemas planteados por la creciente Dependencia de la informacin y de los sistemas que la proporcionan. - El incremento de la vulnerabilidad de los sistemas, por el amplio espectro de amenazas a las que estn expuestos.

- La importancia y magnitud de los costes y las inversiones TIC. - La desconfianza que los procedimientos automatizados o los servicios electrnicos pudieran provocar en el colectivo usuario y en los ciudadanos en general.

- El potencial de las nuevas tecnologas de la informacin es tal que pueden llegar a introducir importantes cambios en la organizacin, y en las prcticas de su actividad, para crear nuevas oportunidades y reducir costos. Resulta de ello el rol bsico que debe desempear la funcin de Auditoria Informtica O Auditoria de los Sistemas de Informacin, en una organizacin: supervisin de los controles efectivamente implementados y determinacin de la eficiencia de los mismos.

Dada la especializacin de los controles a supervisar, es indudable que en la Administracin Pblica el perfil de los profesionales TIC es el idneo para asumir y realizar directamente esas funciones, ayudando a las organizaciones a fortalecer la confianza en los servicios prestados, en especial los enmarcados dentro de la Administracin Electrnica.

Los Auditores informticos pueden recomendar cambios en los procesos de negocios para lograr los objetivos econmicos o sociales de la organizacin. Tambin es posible que las investigaciones revelen fraudes, desperdicios o abusos. Los auditores informticos modernos proceden de manera sistemtica en sus estudios, planificando sus acciones y enfocndose en las reas de mayor riesgo.

Dada la dependencia creciente de las organizaciones en las TIC y el surgimiento de normativa para su buen gobierno, el auditor informtico tambin trabaja como consejero empresarial, asesorando en cuanto al establecimiento de polticas y estndares que aseguren la informacin y el control de las TIC.

Es as que los profesionales TIC de la Administracin tienen ante si un reto en su carrera profesional: realizar tareas propias de la funcin de auditoria, para contribuir a la mejora de la calidad de los servicios prestados a los ciudadanos.

Servicios de Auditoria de Tecnologas de la Informacin

La Auditoria de las Tecnologas de la Informacin y las Comunicaciones est adquiriendo cada vez una mayor importancia debido a la necesidad de garantizar la seguridad, continuidad y disponibilidad de las infraestructuras informticas sobre las que se sustentan los procesos de negocio de toda empresa u organismo, necesitando adicionalmente que todos estos procesos se realicen de forma eficiente.

Por otro lado, los entornos legislativos actuales hacen referencia a la obligatoriedad de acreditar el cumplimiento de sus normas mediante Auditorias de Sistemas de Informacin y como parte inherente de la Auditora Financiera, se est requiriendo cada vez ms que los Sistemas de Informacin sean, a su vez, auditados.

Direccin estratgica de las TICS: auditando los Sistemas de Informacin

Un servicio muy til a la hora de gestionar los Sistemas de Informacin (SI) de una empresa o sus Tecnologas de la Informacin y Comunicaciones (TIC) son las Auditorias. Una Auditora es una radiografa de una parte de una empresa u organizacin. Las auditoras pueden ser externas (Hechas por un consultor externo a la organizacin) o Internas (Hechas por gente de la misma organizacin).

El objetivo de una Auditora es descubrir las causas de problemas en el funcionamiento, la verificacin de presuntas causas o simplemente mejorar su funcionamiento. Algunos ejemplos son:

Auditora tcnica de sistemas para conocer el estado actual del hardware de la empresa (Estado, Antigedad, Si es el adecuado, etc.),

Auditora de la explotacin para conocer el estado actual de los elementos de una explotacin (Licencias, Recursos de explotacin, ), Auditora de las redes de la empresa y evaluar su adecuacin, seguridad, etc.

La informacin obtenida de la auditora debe servir a la direccin de la empresa para la toma de decisiones, como por ejemplo: Implementar un software u otro segn sus necesidades, Conocer los puntos flacos de la infraestructura de la empresa, Realizar un plan de mejora de los SI de la empresa, Implementar medidas para reducir costes, etc.

El tipo de auditora puede variar (puede ser interna o externa, auditora de objetivos, etc.). No obstante, como comn denominador, el ciclo de vida bsico de una auditora es el siguiente:

1- Inicio de la auditora: Contrato y definicin del alcance. La definicin del alcance de la auditora es un punto crtico, hay que acotar exactamente el trabajo ha hacer para obtener los resultado deseados (Mucha gente no presta atencin a esto). 2- Revisin de la documentacin y preparacin de las actividades: Aqu se define el plan de auditora, se organiza la inspeccin y se preparan los documentos de trabajo (Formularios, Listas de verificacin, etc.). 3- Desarrollo del plan de auditora 4- Preparacin del informe de la auditora y presentacin de resultados: Una vez finalizadas las acciones del plan de auditora se debe preparar el informe de auditora donde debe aparecer toda la documentacin de la auditora y sus conclusiones. Tambin debe realizarse la presentacin de los resultados a la persona auditada y asegurarse que son comprendidos. En resumen, la auditora es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditora (externa o interna) nos

brinda la informacin necesaria para tomar decisiones sobre una base slida y con garantas de xito.

Problemas en las TICS.

En el mundo de las TICs, como en cualquier otro, son varios los problemas a los que los administradores se deben enfrentar, aunque los peores son aquellos que no son evidentes. Hemos identificado situaciones a evitar que causan importantes prdidas monetarias y que afectan a la productividad.

Los usuarios acceden a servicios externos

El rpido crecimiento de las tecnologas Web 2.0 ha puesto herramientas potentes, gratuitas y fciles de usar al alcance de todos, incluyendo los empleados que utilizan estos servicios para facilitar y simplificar las tareas corporativas.

Como ejemplo, hay empleados que colaboran en la creacin de un informe utilizando Google, se comunican con proveedores a travs del Messenger o, incluso, utilizan herramientas de gestin SAAS (software por pago) en proyectos crticos. En la mayora de los casos, estas herramientas se utilizan sin la supervisin del personal de TI.

Sin embargo, este tipo de situacin puede causar problemas para todos. Los empleados que descubren problemas de acceso a los servicios esenciales se pueden encontrar con que el personal de TI no dispone de la preparacin adecuada para proporcionarles ayuda. Por otra

parte, el personal de TI se enfrenta ahora a la posibilidad de una infeccin de malware que entre por estos puntos. As, los responsables de Tecnologa deben asegurar que los servicios externos forman parte de cualquier discusin sobre las aplicaciones necesitadas por los departamentos. Las encuestas pueden ayudar a la hora de darnos una pista sobre los servicios externos utilizados as como las herramientas que proporcionan informacin sobre las estadsticas de uso.

Los datos sensibles des encriptados estn siendo transmitidos

Su negocio dispone de lo que usted considera una configuracin de red estndar y segura. Un cortafuego protege todo el trfico interno. Servidores Web y otros sistemas que requieren un acceso directo a Internet disponen de tneles encriptados a las fuentes de datos dentro de los cortafuegos. Ms all de esta configuracin tradicional, muchas empresas podran beneficiarse con otras opciones de encriptacin. Por ejemplo, el hecho de que una red se encuentre dentro de los cortafuegos no significa que sta est protegida. Incluso aquellos empleados con un poco de destreza tecnolgica tienen a su alcance herramientas que permiten escanear las redes para rastrear informacin sensible, desde datos empresariales a las nminas del personal. Los administradores de redes deben pensar como hackers y utilizar las mismas herramientas de rastreo que estos para identificar todos los datos, movindose por la red. Si pueden ver esta informacin, cualquier otro usuario tambin la puede ver. Una vez identificados estos datos descubiertos, las conexiones se pueden robustecer con seguridad.

Las aplicaciones Web estn repletas de fallos de seguridad

Aunque son ya muchas las compaas que se han puesto serias en cuando a la implementacin de parches y actualizaciones de las aplicaciones, esta prctica no cubre el perfil entero de la seguridad de aplicaciones.

La razn radica en que existen aplicaciones corporativas que se suelen descartar o ignorar en las polticas de actualizaciones y, frecuentemente, stas contienen informacin sensible.

Los problemas en las empresas

La topologa actual de aplicaciones empresariales es mixta y est compuesta tanto por programas internos como externos. Muchos de estos programas no son ms que pequeos scripts. Y estos son precisamente los que ms riesgo conllevan porque son sencillos y fciles de descifrar.

Las compaas deben tener a mano un listado de todas las aplicaciones Web y scripts que residen en la red. Asegrese de que dispone de las ltimas versiones de las aplicaciones y componentes que hay detrs de los wikis y blogs, por ejemplo. En el caso de aplicaciones customizadas, mantenga un fichero de los scripts que stas puedan incorporar.

Esto significa la monitorizacin peridica de servicios de seguridad como CERT y las pginas Web o comunidades que ofrecen estos servicios. Asegurar la integridad de las aplicaciones que son un punto de entrada a la red corporativa es una inversin sin precio.

Datos no auditables Una buena auditora de los datos almacenados en su organizacin es un deber comn en las industrias reguladas, pero es una tarea pendiente para muchas de las nuevas empresas.

Las industrias reguladas, como son Banca, Seguros y Sanidad, estn acostumbradas al proceso de auditoras peridicas y disponen de un banco de conocimientos sobre la ubicacin de los datos. Sin embargo, las industrias emergentes no son tan detallistas.

Esta discrepancia en el ciclo de datos requiere una estrategia doble que asegure tanto el cumplimiento de las normas como la seguridad de la informacin.

La seguridad afecta tanto a la proteccin de la informacin como a la aplicacin de parches para asegurar que las aplicaciones funcionan como deben. Una buena manera de evitar problemas de cumplimiento de normas es la implementacin estricta de polticas que monitorizan cada modificacin de los servidores y los dispositivos de red. Escasos recursos de almacenamiento

Las facturas de los sistemas de almacenamiento que ha adquirido para su empresa frente a la utilizacin actual, sugieren que su organizacin dispone de mucha capacidad. Sin embargo, un sistema de ficheros ineficiente puede poner en riesgo la capacidad de un recurso esencial.

Los administradores deben evaluar los requerimientos de capacidad y rendimiento de las aplicaciones junto con los recursos disponibles de almacenamiento. Las organizaciones pueden maximizar la utilizacin de capacidad y mantener un nivel de rendimiento aceptable.