Resumen del Programa de Teoría de la Asignatura Auditoría Informática
Tema 1. Introducción a la Auditoría Informática
Este tema presenta una introducción a la auditoría informática, analizando la función de auditoría clásica como órgano de control dentro de cualquier organización empresarial. Además, estudia el efecto provocado por las nuevas tecnologías en esta función. Por otro lado, hacemos hincapié en los factores que justifican la necesidad de una función de auditoría informática, para definir, posteriormente, el concepto de auditoría informática, analizando la perspectiva de auditoría informática interna y externa. En esta perspectiva, presentamos al alumno, las ventajas e inconvenientes que presentan ambos enfoques, así como la necesidad de realizar revisiones externas sobre auditorías internas. Por último, especificamos los objetivos de la auditoría, el alcance de la auditoría como mecanismo de especificar la responsabilidad de un auditor, y las tendencias en la línea de diversificar la función auditoría en diferentes perfiles de especialidad y la existencia de la figura responsable del control interno.
Tema 2. Control Interno y Auditoría Informática
Este tema presenta el concepto de control interno como mecanismo de análisis y evaluación de sistemas informáticos. Analizamos la función del control interno, su tipología, y la necesidad de factorizar los sistemas como un ejercicio de reducir la complejidad de los sistemas de información durante los procesos de definición e implantación de un sistema de control interno informático. Esta factorización permite distinguir los sistemas de gestión y los sistemas de aplicación, justificando la clasificación de controles en controles generales de gestión (i.e. involucran básicamente controles sobre las actividades de desarrollo y mantenimiento de los sistemas de información) y controles generales de aplicación (i.e. controles sobre las actividades que involucran en procesamiento fiable de la información). A continuación, delimitamos la función de control interno y auditoría informática, así como las similitudes y diferencias que presentan ambas disciplinas. En esta línea, finalizaremos presentando un aspecto fundamental como es la relación entre control interno y auditoría. Por último, nos centramos en mostrar, de forma breve, el proceso de implantación de un sistema de control interno, así como los diferentes tipos de auditoría existentes.
Tema 3. Herramientas y Metodologías de Control y Auditoría
Este tema presenta, en primer lugar, las técnicas y herramientas disponibles para la función de control y auditoría. Dentro de estas herramientas, nos centramos en los cuestionarios, analizando cuestiones de diseño, tales como el grupo de respuesta, naturaleza de la información y selección de la escala de respuesta. Además, presentaremos el cuestionario elaborado por los alumnos de 5º curso de Auditoría Informática de la Universidad Pontifica de Salamanca para evaluar la adecuación de un sistema de información al problema del efecto Y2000. También, destacaremos la definición de pistas de auditoría por parte del auditor como mecanismo de recolección de evidencias en la evaluación del nivel de control existente en un sistema de información. Posteriormente, presentamos las metodologías de evaluación de sistemas, indicando los conceptos básicos de estas metodologías. Dentro de las metodologías nos centramos en presentar el esquema general de una metodología de análisis de riesgos, y como caso particular la metodología MAGERIT, desarrollada por el Ministerio de Administraciones Públicas. Nuestro interés dentro de MAGERIT, se centrará en la Guía de Procedimientos, concretamente el análisis y gestión de riesgos del submodelo de procesos. A continuación, presentamos las metodologías de auditoría, indicando que, en la mayoría de los casos, estas metodologías son fruto de la experiencia del auditor. Remarcamos la importancia de una clasificación de información en la definición de los procedimientos de control. Por último, presentamos el estándar de la ISACA, y el modelo de trabajo por dominio COBIT, marco de referencia a nivel mundial en la disciplina de la auditoría y control de los sistemas de información.
Tema 4. Auditoría del Desarrollo y Control de Calidad
Este tema se centra en la auditoría del desarrollo de proyectos informáticos. Dentro de esta auditoría, proponemos un conjunto de objetivos y procedimientos de control para cada una de las etapas del ciclo de vida en el desarrollo del proyecto. Además, especificamos, muy brevemente, el significado de la calidad y las características, proponiendo un planteamiento, general, de auditoría que garantice la calidad en el desarrollo. Por último, presentamos la perspectiva que ofrece el marco COBIT para la auditoría de desarrollo y calidad, indicando los dominios que abarcan este ámbito.
Tema 5. Auditoría de los Datos
Este tema presenta la auditoría de los datos, como activo fundamental de cualquier sistema de información. Esta auditoría se divide en controles para la entrada de datos y controles para la salida de datos. Con respecto a la gestión de los datos, presentamos un ejemplo particular, centrado en el empleo de los sistemas de gestión de bases de datos para la manipulación de la información. Por último, mentalizamos al alumno de la importancia que tiene, hoy en día, la protección de los datos de carácter personal y la necesidad de abordar una auditoría de protección sobre estos datos personales.
Tema 6. Auditoría de la Seguridad
Este tema constituye otra parte fundamental del programa de teoría, dado que aborda el control de la seguridad en los sistemas informáticos. Este tema presenta las áreas de control que debe involucrar una auditoría de seguridad, analizando aspectos de seguridad lógica, seguridad física, seguridad en comunicaciones y redes y, por último, la continuidad de operaciones. Para cada área, proponemos un conjunto de objetivos y procedimientos de control que garanticen la minimización de los riesgos que afectan a la seguridad informática. Además, proporcionamos una relación de actividades de hackeo recientes que afectan muy negativamente a los sistemas informáticos, así como los procedimientos que intentan minimizar las vulnerabilidades presentes
Tema 7. Auditoría Informática en el Sector Aéreo
Este tema pretende ofrece una visión general de un caso real de auditoría. Concretamente, presentamos el planteamiento general de la auditoría en el sistema de reservas internacional AMADEUS. Introducimos los principales procesos, centrándonos en el ticketing, así como los objetivos que pretenden minimizar los riesgos informáticos de seguridad
Antonio Becerra Terón
Profesor de Auditoría Informática