Este libro proporciona a los lectores una panorámica actual y completa sobre la auditoría informática. La obra está dividida en cuatro partes, y en ella se exponen: los conceptos fundamentales y el control interno, las metodologías más importantes, el informe, la organización del departamento, el marco jurídico,la deontología del auditor informático; y las principales áreas de la auditoría informática: auditoría física, ofimática, dirección, explotación, desarrollo, mantenimiento, bases de datos, técnica de sistemas, calidad, seguridad, redes, aplicaciones, sistemas EIS/DSS y las aplicaciones de simulación, la auditoría de los entornos informáticos desde el punto de vista jurídico, consideraciones sobre la aplicación a diversos sectores (bancario, transportes, Administración Pública y PYMES), un capítulo dedicado a la relación entre el peritaje y la auditoría y un análisis sobre el contrato de auditoría imformática.
Indice de contenidos de este Libro
Autores
Prólogo a la primera edición
Prólogo a la segunda edición
Prefacio
PARTE I. INTRODUCCIÓN
CAPÍTULO 1. LA INFORMÁTICA COMO HERRAMIENTA DEL AUDITOR FINANCIERO
(Alonso Hernández García)
1.1 Definición del entorno
1.2 Auditoría. Concepto
1.3 Clases de auditoría
1.4 Procedimientos
1.5 Variación del objeto
1.6 Consultoría. Concepto
1.7 Ventajas de la Informática como herramienta de la Auditoría financiera
1.7.1 Grado de informatización
1.7.2 Mejora de las técnicas habituales
1.7.3 Evolución
1.7.4 Grado de utilización
1.8 Conclusiones
1.9 Cuestiones de repaso
CAPÍTULO 2. CONTROL INTERNO Y AUDITORÍA INFORMÁTICA
(Gloria Sánchez Valriberas)
2.1 Introducción
2.2 Las funciones de control interno y auditoría informáticos
2.2.1 Control Interno Informático
2.2.2 Auditoría Informática
2.2.3 Control interno y auditoría informáticos: campos análogos
2.3 Sistema de Control Interno Informático
2.3.1 Definición y tipos de controles internos
2.3.2 Implantación de un sistema de controles internos informáticos
2.4 Conclusiones
2.5 Lecturas recomendadas
2.6 Cuestiones de repaso
CAPÍTULO 3. METODOLOGÍAS DE CONTROL INTERNO, SEGURIDAD Y AUDITORÍA INFORMÁTICA
(José María González Zubieta)
3.1 Introducción a las metodologías
3.2 Metodologías de evaluación de sistemas
3.2.1 Conceptos fundamentales
3.2.2 Tipos de metodologías
3.2.3 Metodologías más comunes
3.3 Las metodologías de Auditoría Informática
3.4 El plan auditor informático
3.5 Control interno informático. Sus métodos y procedimientos. Las herramientas de control
3.5.1 La función de control
3.5.2 Metodologías de clasificación de la información y de obtención de los procedimientos de
control
3.5.3 Las herramientas de control
3.6 Conclusiones
3.7 Ejemplo de metodología de auditoría de una aplicación
3.8 Lecturas recomendadas
3.9 Cuestiones de repaso
CAPÍTULO 4. EL INFORME DE AUDITORÍA
(José de la Peña Sánchez)
4.1 Introducción
4.2 Las normas
4.3 La evidencia
4.4 Las irregularidades
4.5 La documentación
4.6 El informe
4.7 Conclusiones
4.8 Lecturas recomendadas
4.9 Cuestiones de repaso
CAPÍTULO 5. ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICA
(Rafael Ruano Díez)
5.1 Antecedentes
5.2 Clases y tipos de Auditoría Informática
5.3 Función de Auditoría Informática
5.3.1 Definición
5.3.2 Perfiles profesionales de la función de Auditoría Informática
5.3.3 Funciones a desarrollar por la función de Auditoría Informática
5.4 Organización de la función de Auditoría Informática
5.5 Cuestiones de repaso
CAPÍTULO 6. EL MARCO JURÍDICO DE LA AUDITORÍA INFORMÁTICA
(Emilio del Peso Navarro)
6.1 Introducción
6.2 La protección de datos de carácter personal
6.3 La protección jurídica de los programas de computador
6.4 Las bases de datos y la multimedia
6.5 Los delitos informáticos
6.6 Los contratos informáticos
6.7 El intercambio electrónico de datos
6.8 La transferencia electrónica de fondos
6.9 La contratación electrónica
6.10 El documento electrónico
6.11 Lecturas recomendadas
6.12 Cuestiones de repaso
CAPÍTULO 7. DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
(Jorge Páez Mañá)
7.1 Introducción
7.2 Principios deontológicos aplicables a los auditores informáticos
7.2.1 Principio de beneficio del auditado
7.2.2 Principio de calidad
7.2.3 Principio de capacidad
7.2.4 Principio de cautela
7.2.5 Principio de comportamiento profesional
7.2.6 Principio de concentración en el trabajo
7.2.7 Principio de confianza
7.2.8 Principio de criterio propio
7.2.9 Principio de discreción
7.2.10 Principio de economía
7.2.11 Principio de formación continuada
7.2.12 Principio de fortalecimiento y respeto de la profesión
7.2.13 Principio de independencia
7.2.14 Principio de información suficiente
7.2.15 Principio de integridad moral
7.2.16 Principio de legalidad
7.2.17 Principio de libre competencia
7.2.18 Principio de no discriminación
7.2.19 Principio de no injerencia
7.2.20 Principio de precisión
7.2.21 Principio de publicidad adecuada
7.2.22 Principio de responsabilidad
7.2.23 Principio de secreto profesional
7.2.24 Principio de servicio público
7.2.25 Principio de veracidad
7.3 Conclusiones
7.4 Lecturas recomendadas
7.5 Cuestiones de repaso
PARTE II. PRINCIPALES ÁREAS DE LA AUDITORÍA INFORMÁTICA
CAPÍTULO 8. LA AUDITORÍA FÍSICA
(Gabriel Desmonts Basilio)
8.1 Introducción
8.2 La seguridad física
8.2.1 Antes
8.2.2 Durante
8.2.3 Después
8.3 Áreas de la seguridad física
8.4 Definición de Auditoría Física
8.5 Fuentes de la Auditoría Física
8.6 Objetivos de la Auditoría Física
8.7 Técnicas y herramientas del auditor
8.8 Responsabilidades de los auditores
8.9 Fases de la Auditoría Física
8.10 Desarrollo de las fases de la Auditoría Física
8.11 Lecturas recomendadas
8.12 Cuestiones de repaso
CAPÍTULO 9. AUDITORÍA DE LA OFIMÁTICA
(Manuel Gómez Vaz)
9.1 Introducción
9.2 Controles de auditoría
9.2.1 Economía, eficacia y eficiencia
9.2.2 Seguridad
9.2.3 Normativa vigente
9.3 Conclusiones
9.4 Lecturas recomendadas
9.5 Cuestiones de repaso
CAPÍTULO 10. AUDITORÍA DE LA DIRECCIÓN
(Juan Miguel Ramos Escobosa)
10.1 Introducción
10.2 Planificar
10.2.1 Plan estratégico de Sistemas de Información
10.2.2 Otros planes relacionados
10.3 Organizar y coordinar
10.3.1 Comité de Informática
10.3.2 Posición del Departamento de Informática en la empresa
10.3.3 Descripción de funciones y responsabilidades del Departamento de Informática. Segregación
de funciones
10.3.4 Estándares de funcionamiento y procedimientos. Descripción de los puestos de trabajo
10.3.5 Gestión de recursos humanos: selección, evaluación del desempeño, formación, promoción,
finalización
10.3.6 Comunicación
10.3.7 Gestión económica
10.3.8 Seguros
10.4 Controlar
10.4.1 Control y seguimiento
10.4.2 Cumplimiento de la normativa legal
10.5 Resumen
10.6 Lecturas recomendadas
10.7 Cuestiones de repaso
CAPÍTULO 11. AUDITORÍA DE LA EXPLOTACIÓN
(Eloy Pera Ramos)
11.1 Introducción
11.2 Sistemas de Información
11.3 Carta de encargo
11.4 Planificación
11.4.1 Planificación estratégica
11.4.2 Planificación Administrativa
11.4.3 Planificación Técnica
11.5 Realización del trabajo (procedimientos)
11.5.1 Objetivo general
11.5.2 Objetivos específicos
11.6 Informes
11.6.1 Tipos de informes
11.6.2 Recomendaciones
11.6.3 Normas para elaborar los informes
11.7 La documentación de la auditoría y su organización
11.7.1 Papeles de trabajo
11.7.2 Archivos
11.8 Conclusiones
11.9 Lecturas recomendadas
11.10 Cuestiones de repaso
CAPÍTULO 12. AUDITORÍA DEL DESARROLLO
(José Antonio Rodero Rodero)
12.1 Introducción
12.2 Importancia de la auditoría del desarrollo
12.3 Planteamiento y metodología
12.4 Auditoría de la organización y gestión del área de desarrollo
12.5 Auditoría de proyectos de desarrollo de S.I.
12.5.1 Aprobación, planificación y gestión del proyecto
12.5.2 Auditoría de la fase de análisis
12.5.3 Auditoría de la fase de diseño
12.5.4 Auditoría de la fase de construcción
12.5.5 Auditoría de la fase de implantación
12.6 Conclusiones
12.7 Lecturas recomendadas
12.8 Cuestiones de repaso
CAPÍTULO 13. AUDITORÍA DEL MANTENIMIENTO
(Juan Carlos Granja Álvarez)
13.1 Introducción a la Auditoría Informática del mantenimiento del software
13.2 Listas de comprobación en Auditoría Informática del Mantenimiento
13.3 Modelización en la etapa de mantenimiento
13.4 Modelo de estimación en el mantenimiento
13.4.1 Elementos de la mantenibilidad
13.4.2 Métricas de mantenibilidad
13.4.3 Funciones de mantenibilidad
13.4.4 Método de implementación
13.5 Caso de estudio
13.6 Conclusiones
13.7 Lecturas recomendadas
13.8 Cuestiones de repaso
CAPÍTULO 14. AUDITORÍA DE BASES DE DATOS
(Mario G. Piattini Velthuis)
14.1 Introducción
14.2 Metodologías para la auditoría de bases de datos
14.2.1 Metodología tradicional
14.2.2 Metodología de evaluación de riesgos
14.3 Objetivos de control en el ciclo de vida de una base de datos
14.3.1 Estudio previo y plan de trabajo
14.3.2 Concepción de la base de datos y selección del equipo
14.3.3 Diseño y carga
14.3.4 Explotación y mantenimiento
14.3.5 Revisión post-implantación
14.3.6 Otros procesos auxiliares
14.4 Auditoría y control interno en un entorno de bases de datos
14.4.1 Sistema de Gestión de Bases de Datos (SGBD)
14.4.2 Software de auditoría
14.4.3 Sistema de monitorización y ajuste (tuning)
14.4.4 Sistema Operativo (SO)
14.4.5 Monitor de Transacciones
14.4.6 Protocolos y Sistemas Distribuidos
14.4.7 Paquete de seguridad
14.4.8 Diccionarios de datos
14.4.9 Herramientas CASE (Computer Aided System/Software Engineering). IPSE (Integrated Project Support Environments)
14.4.10 Lenguajes de Cuarta Generación (L4G) independientes
14.4.11 Facilidades de usuario
14.4.12 Herramientas de “minería de datos”
14.4.13 Aplicaciones
14.5 Técnicas para el control de bases de datos en un entorno complejo
14.5.1 Matrices de control
14.5.2 Análisis de los caminos de acceso
14.6 Conclusiones
14.7 Lecturas recomendadas
14.8 Cuestiones de repaso
CAPÍTULO 15. AUDITORÍA DE TÉCNICA DE SISTEMAS
(Julio A. Novoa Bermejo)
15.1 Ámbito de técnica de sistemas
15.2 Definición de la función
15.3 El nivel de servicio
15.4 Los procedimientos
15.4.1 Instalación y puesta en servicio
15.4.2 Mantenimiento y soporte
15.4.3 Requisitos para otros componentes
15.4.4 Resolución de incidencias
15.4.5 Seguridad y control
15.4.6 Información sobre la actividad
15.5 Los controles
15.6 Auditoría de la función
15.7 Consideraciones sobre la tecnología y su evolución
15.8 Algunas referencias
15.9 Lecturas recomendadas
15.10 Cuestiones de repaso
CAPÍTULO 16. AUDITORÍA DE LA CALIDAD
(José Luis Lucero Manresa)
16.1 Preámbulo
16.2 Definiciones previas
16.3 Introducción
16.3.1 Revisión
16.3.2 Elemento software
16.3.3 Auditoría
16.3.4 Concepto de evaluación según la EEA
16.3.5 Concepto de Auditoría según la EEA
16.4 Características de la calidad según ISO 9126
16.4.1 Características
16.4.2 Modelo ISO Extendido
16.5 Objetivos de las Auditorías de Calidad
16.6 Procesos de Calidad
16.7 El proceso de Auditoría del Software
16.8 Auditoría de Sistemas de Calidad de Software
16.9 Proceso de aseguramiento de la calidad descrito por ISO 12207
16.9.1 Implementación del proceso
16.9.2 Aseguramiento del producto
16.9.3 Aseguramiento del proceso
16.9.4 Aseguramiento de la calidad de los sistemas
16.10 Proceso de Auditoría descrito por ISO 12207
16.10.1 Implementación del proceso
16.10.2 Auditoría
16.11 Conclusiones
16.12 Lecturas recomendadas
16.13 Cuestiones de repaso
CAPÍTULO 17. AUDITORÍA DE LA SEGURIDAD
(Miguel Ángel Ramos González)
17.1 Introducción
17.2 Áreas que puede cubrir la auditoría de la seguridad
17.3 Evaluación de riesgos
17.4 Fases de la auditoría de seguridad
17.5 Auditoría de la seguridad física
17.6 Auditoría de la seguridad lógica
17.7 Auditoría de la seguridad y el desarrollo de aplicaciones
17.8 Auditoría de la seguridad en el área de producción
17.9 Auditoría de la seguridad de los datos
17.10 Auditoría de la seguridad en comunicaciones y redes
17.11 Auditoría de la continuidad de las operaciones
17.12 Fuentes de la auditoría
17.13 El perfil del auditor
17.14 Técnicas, métodos y herramientas
17.15 Consideraciones respecto al informe
17.16 Contratación de auditoría externa
17.17 Relación de Auditoría con Administración de Seguridad
17.18 Conclusiones
17.19 Lecturas recomendadas
17.20 Cuestiones de repaso
CAPÍTULO 18. AUDITORIA DE REDES
(José Ignacio Boixo Pérez-Holanda)
18.1 Terminología de redes. Modelo OSI
18.2 Vulnerabilidades en redes
18.3 Protocolos de alto nivel
18.4 Redes abiertas (TCP/IP)
18.5 Auditando la gerencia de comunicaciones
18.6 Auditando la red física
18.7 Auditando la red lógica
18.8 Lecturas recomendadas
18.9 Cuestiones de repaso
CAPÍTULO 19. AUDITORÍA DE APLICACIONES
(José María Madurga Oteiza)
19.1 Introducción
19.2 Problemática de la auditoría de una aplicación informática
19.3 Herramientas de uso más común en la auditoría de una aplicación
19.3.1 Entrevistas
19.3.2 Encuestas
19.3.3 Observación del trabajo realizado por los usuarios
19.3.4 Pruebas de conformidad
19.3.5 Pruebas substantivas o de validación
19.3.6 Uso del computador
19.4 Etapas de la auditoría de una aplicación informática
19.4.1 Recogida de información y documentación sobre la aplicación
19.4.2 Determinación de los objetivos y alcance de la auditoría
19.4.3 Planificación de la auditoría
19.4.4 Trabajo de campo, informe e implantación de mejoras
19.5 Conclusiones
19.6 Lecturas recomendadas
19.7 Cuestiones de repaso
CAPÍTULO 20. AUDITORÍA INFORMÁTICA DE EIS/DSS Y APLICACIONES DE SIMULACIÓN
(Manuel Palao García-Suelto)
20.1 Propósito y enfoque
20.2 Desarrollo de las definiciones operativas de los conceptos clave
20.2.1 Auditoría Informática
20.2.2 SID[EIS]/SAD[DSS]
20.2.3 Aplicaciones de Simulación
20.3 Singularidades de la AI de los SID[EIS], SAD[DSS] y Simulación
20.3.1 Al de los SID[EIS]
20.3.2 Al de los SAD[DSS] y Simulación
20.4 Conclusiones
20.5 Lecturas recomendadas
20.6 Cuestiones de repaso
CAPÍTULO 21. AUDITORÍA JURÍDICA DE ENTORNOS INFORMÁTICOS
(Josep Jover i Padró)
21.1 Introducción
21.2 Auditoría del entorno
21.3 Auditoría de las personas
21.4 Auditoría de la información
21.5 Auditoría de los archivos
21.5.1 Niveles de protección de los archivos
21.5.2 Mecanismos de seguridad del archivo
21.5.3 Formación de la figura del responsable del archivo
21.6 Conclusiones
21.7 Lecturas recomendadas
21.8 Cuestiones de repaso
PARTE III. AUDITORÍA INFORMÁTICA EN DIVERSOS SECTORES
CAPÍTULO 22. AUDITORÍA INFORMÁTICA EN EL SECTOR BANCARIO
(Pilar Amador Contra)
22.1 Características generales de la Auditoría Informática en las entidades financieras
22.1.1 Necesidad y beneficios de la auditoría informática en la banca
22.1.2 Tipología de las actividades a auditar
22.1.3 Objetivos de la auditoría y preparación del plan de trabajo
22.2 Auditoría Informática de una aplicación bancaria típica
22.2.1 Criterios para la planificación anual de los trabajos
22.2.2 Establecimiento del ámbito de la auditoría
22.2.3 Procedimientos de auditoría a emplear
22.2.4 Consideraciones a tener en cuenta durante la realización de la auditoría
22.3 Auditoría informática de la protección de datos personales
22.3.1 La importancia y el valor de la información en el sector bancario
22.3.2 Actividades de auditoría en relación con la protección de datos personales
22.4 Cuestiones de repaso
CAPÍTULO 23. AUDITORÍA INFORMÁTICA EN EL SECTOR AÉREO
(Aurelio Hermoso Baños)
23.1 Introducción
23.2 Sistema de reservas Amadeus
23.3 Facturación entre compañías aéreas
23.4 Código de conducta para CRS
23.5 Procesos informáticos
23.6 Auditoría Informática
23.7 Conclusiones
23.8 Lecturas recomendadas
23.9 Cuestiones de repaso
CAPÍTULO 24. AUDITORÍA INFORMÁTICA EN LA ADMINISTRACIÓN
(Víctor Izquierdo Loyola)
24.1 Introducción
24.2 Las TIC en la LRJ-PAC
24.3 La informatización de registros
24.4 Las previsiones del Real Decreto 263/1996, de 16 de febrero, por el que se regula la
utilización de las técnicas EIT por la Administración General del Estado
24.5 Identificación de los requisitos de seguridad, normalización y conservación en el texto
del Real Decreto 263/1996
24.5.1 Garantías de seguridad de soportes, medios y aplicaciones
24.5.2 Emisión de documentos: procedimientos para garantizar la validez de los medios;
integridad, conservación, identidad del autor y autenticidad de la voluntad
24.5.3 Validez de las copias: garantía de su autenticidad, integridad y conservación
24.5.4 Garantía de realización de las comunicaciones
24.5.5 Validez de comunicaciones y notificaciones a los ciudadanos; constancia de transmisión y
recepción, estampación de fechas y contenido íntegro, identificación fidedigna de remitente y
destinatario
24.5.6 Comunicaciones por medios preferentes del usuario; comunicación de la forma y código de
accesos a sus sistemas de comunicación
24.5.7 Validez de fechas de notificación para cómputo de plazos; anotación en los registros
generales o auxiliares a que hace referencia el artículo 38 de la LRJ-PAC
24.5.8 Conservación de documentos; medidas de seguridad que garanticen la identidad e integridad
de la información necesaria para reproducirlos
24.5.9 Acceso a documentos almacenados; disposiciones del artículo 37 de la Ley 30/1992, y, en
su caso, de la Ley Orgánica 5/1992. Normas de desarrollo
24.5.10 Almacenamiento de documentos; medidas de seguridad que garanticen su integridad,
autenticidad, calidad, protección y conservación
24.6 Conclusiones sobre el papel de la Auditoría Informática en la Administración Electrónica
24.7 Cuestiones de repaso
CAPÍTULO 25. AUDITORÍA INFORMÁTICA EN LAS PYMES
(Carlos M. Fernández Sánchez)
25.1 Preámbulo
25.1.1 Las PYMES y las tecnologías de la Información
25.1.2 Metodología de la Auditoría Informática
25.2 Introducción
25.2.1 ¿En qué consiste la guía de autoevaluación?
25.2.2 ¿A quién va dirigida?
25.2.3 Conocimientos necesarios
25.2.4 Entornos de aplicación
25.2.5 Metodología utilizada
25.3 Utilización de la guía
25.3.1 Fases de la autoevaluación
25.3.2 Valoración de resultados
25.4 Minicomputadores e informática distribuida. Riesgo en la eficacia del servicio informático
25.5 Conclusiones
25.6 Lecturas recomendadas
25.7 Cuestiones de repaso
PARTE IV. OTRAS CUESTIONES RELACIONADAS CON LA AUDITORÍA INFORMÁTICA
CAPÍTULO 26. PERITAR VERSUS AUDITAR
(Jesús Rivero Laguna)
26.1 Introducción
26.2 Consultores, Auditores y Peritos
26.3 Definición conceptual de Perito
27.3.1 Equivalencia con la denominación de “Experto”
27.3.2 Acerca de la adquisición de “expertise”
26.4 “Perito” versus “Especialista”
27.3.1 Quién puede ser “Perito IT”
27.3.2 Formación de “Peritos IT Profesionales”
27.3.3 Conclusión
26.5 Diferenciación entre Informes, Dictámenes y Peritaciones
27.3.1 Acerca del término “Informe”
27.3.2 Acerca del término “Dictamen”
27.3.3 Definiciones del COIT
27.3.4 Tarifas diferenciadas de Honorarios de Ingenieros en Trabajos a particulares
26.6 Peritaciones extrajudiciales y arbitrajes
26.7 El Dictamen de Peritos como Medio de prueba
27.3.1 Objeto de la “prueba pericial”
27.3.2 El “Dictamen de Peritos” en la vigente LEC
27.3.3 El “Dictamen de Peritos” en la LEC, de enero de 2000
27.3.4 Comentarios finales
26.8 Conclusiones
26.9 Lecturas recomendadas
26.10 Cuestiones de repaso
CAPÍTULO 27. EL CONTRATO DE AUDITORÍA
(Isabel Davara Fernández de Marcos)
27.1 Introducción
27.2 Una breve referencia a la naturaleza jurídica del contrato de auditoría
27.3 Partes de un contrato de auditoría. El perfil del auditor informático
27.3.1 La entidad auditada
27.3.2 El auditor informático
27.3.3 Terceras personas
27.4 Objeto del contrato de auditoría informática
27.4.1 Protección de datos de carácter personal
27.4.2 La protección jurídica del software
27.4.3 La protección jurídica de las bases de datos
27.4.4 Contratación electrónica
27.4.5 La contratación informática
27.4.6 Transferencia electrónica de fondos
27.4.7 El delito informático
27.5 Causa
27.6 El informe de auditoría
27.7 Conclusiones
27.8 Lecturas recomendadas
27.9 Cuestiones de repaso
Contraseña: www.freelibros.org
No hay comentarios.:
Publicar un comentario