(28-05-16) Estándares internacionales de auditoría de sistemas - Normas ISO

¿Qué son las normas ISO?

La ISO (International Standarization Organization) es la entidad internacional encargada de favorecer normas de fabricación, comercio y comunicación en todo el mundo. Con sede en Ginebra, es una federación de organismos nacionales entre los que se incluyen AENOR en España, DIN en Alemania, AFNOR en Francia.

ISO/IEC 27001

Es un estándar para la seguridad de la información (Information technology - Security techniques - Information security management systems - Requirements) aprobado y publicado como estándar internacional en octubre de 2005 por International Organization for Standardization y por la comisión International Electrotechnical Commission.

Especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con las mejores prácticas descritas en ISO/IEC 27002, anteriormente conocida como ISO/IEC 17799, con orígenes en la norma BS 7799-2:2002, desarrollada por la entidad de normalización británica, la British Standards Institution(BSI).

Certificación

La certificación de un SGSI es un proceso mediante el cual una entidad de certificación externa, independiente y acreditada audita el sistema, determinando su conformidad con ISO/IEC 27001, su grado de implantación real y su eficacia y, en caso positivo, emite el correspondiente certificado.

Antes de la publicación del estándar ISO 27001, las organizaciones interesadas eran certificadas según el estándar británico BS 7799-2.

Desde finales de 2005, las organizaciones ya pueden obtener la certificación ISO/IEC 27001 en su primera certificación con éxito o mediante su recertificación trienal, puesto que la certificación BS 7799-2 ha quedado reemplazada.

El Anexo C de la norma muestra las correspondencias del Sistema de Gestión de la Seguridad de la Información (SGSI) con el Sistema de Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto de poder llegar a certificar una organización en varias normas y con base en un sistema de gestión común.

Serie 27000S

La seguridad de la información tiene asignada la serie 27000 dentro de los estándares ISO/IEC:

·         ISO 27000: Publicada en mayo de 2009. Contiene la descripción general y vocabulario a ser empleado en toda la serie 27000. Se puede utilizar para tener un entendimiento más claro de la serie y la relación entre los diferentes documentos que la conforman.

·         UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos”. Fecha de la de la versión española 29 noviembre de 2007. Es la norma principal de requisitos de un Sistema de Gestión de Seguridad de la Información. Los SGSIs deberán ser certificados por auditores externos a las organizaciones. En su Anexo A, contempla una lista con los objetivos de control y controles que desarrolla la ISO 27002 (anteriormente denominada ISO 17799).

·         ISO/IEC 27002: (anteriormente denominada ISO 17799). Guía de buenas prácticas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información con 11 dominios, 39 objetivos de control y 133 controles.

·         ISO/IEC 27003: En fase de desarrollo; probable publicación en 2009. Contendrá una guía de implementación de SGSI e información acerca del uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su origen en el anexo B de la norma BS 7799-2 y en la serie de documentos publicados por BSI a lo largo de los años con recomendaciones y guías de implantación.

·         ISO 27004: Publicada en diciembre de 2009. Especifica las métricas y las técnicas de medida aplicables para determinar la eficiencia y eficacia de la implantación de un SGSI y de los controles relacionados.

·         ISO 27005: Publicada en junio de 2008. Consiste en una guía para la gestión del riesgo de la seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de la ISO 13335.

·         ISO 27006: Publicada en febrero de 2007. Especifica los requisitos para acreditación de entidades de auditoría y certificación de sistemas de gestión de seguridad de la información.

(21-05-2016) Estándares Internacionales de Auditoría de Sistemas - COSO

Estándares Internacionales de Auditoría de Sistemas

La tecnología ha sido percibida en la actualidad en forma global como disparador de cambios permanentes del ambiente de negocios.  Sin embargo, existe una idea primordial que aparece inmóvil contra esta fuerza tecnológica que implica que las organizaciones que sobreviven, son aquellas que entregan más valor verdadero a sus clientes.

La función de auditoría continúa proporcionando servicios de aseguramiento tanto a clientes internos como externos.  Dado que la tecnología impacta la forma de hacer negocios,  debe haber formas efectivas y sencillas para llevar a cabo la evaluación de los controles que deben existir para garantizar dicho servicio.

Bajo la premisa anterior, existe un gran interés en el medio por identificar los estándares internacionales que son utilizados comúnmente por empresas tanto públicas como privadas. Las dos preguntas más comunes que habría que resolver, ¿Cómo podrían asegurar las organizaciones, que construyen proyectos de tecnología de información, cubriendo adecuadamente las necesidades del cliente, en forma eficiente y oportuna y dentro del presupuesto contemplado? Y ¿Cuáles son los estándares que ofrece la industria?

En ambos sectores, se hacen uso de una serie de estándares que guían el desarrollo de proyectos de TI, entre ellos se pueden mencionar:

      Directrices Gerenciales de COBIT, desarrollado por la Information Systems Audit and Control Association (ISACA).

      The Management of the Control of data Information Technology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA).

      Administración de la inversión de tecnología de Inversión: un marco para la evaluación y mejora del proceso de madurez, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO).

      Los estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO).

      SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el CICA.

      El Modelo de Evolución de Capacidades de software (CMM), desarrollado por el Instituto de Ingeniería de Software (SEI).

      Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnología de Información.

      Guía para el cuerpo de conocimientos de administración de proyectos, desarrollado por el comité de estándares del instituto de administración de proyectos.

      Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE– CMM), desarrollado por la agencia de seguridad nacional (NSA) con el apoyo de la Universidad de Carnegie Mellon.

      Administración de seguridad de información: Aprendiendo de organizaciones líderes, desarrollado por la Oficina de Contabilidad General de los Estados Unidos (GAO).

COSO

Generalidades

El “Informe COSO” es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes.

El modelo coso es producto de un informe sobre control interno realizado por una comisión llamada: Sponsoring Organizations of the Treadway Comisión denominado así,  porque  se  trata  de  un  trabajo  que  encomendó  el  Instituto  Americano  de Contadores Públicos, la Asociación Americana de Contabilidad, el Instituto de Auditores Internos que agrupa alrededor de cincuenta mil miembros y opera en aproximadamente cincuenta países, el Instituto de Administración y Contabilidad, y el Instituto de Ejecutivos Financieros.  Este modelo ha sido elaborado para uso de los consejos de administración de las empresas privadas en España y en los países de habla hispana.  Su origen ha sido motivado por los ineficientes controles internos que se han creado y que han repercutido de forma negativa en muchas empresas produciendo pérdidas e incluso la quiebra.  Muchos han sido los fraudes que se han generados por falta de control, ya sean controles previos, posteriores o perceptivos.

Cabe señalar que a partir del año 1992 cuando fue publicado el modelo coso en los Estados  Unidos,  son  muchos  los países  que  se han  interesado  en  este  modelo  y muchas  las  empresas  que  han  tratado  de  estructurar  su  control  interno  bajo  este modelo.  El marco referencial que se plantea consta de cinco componentes interrelacionados: ambiente de control, valoración  de  riesgos,  actividades  de  control,  información  y  comunicación  y monitoreo los cuales a su vez están derivados e integrados al proceso de gestión razón por la cual está sumamente relacionado con la auditoria de gestión”.  Por otra parte,  la  acepción  aportada  por  el  modelo  coso  rompe  con  las  aportaciones tradicionales al asumir que el control interno es una práctica social desarrollada en todos los ámbitos organizativos, esto es, un proceso o una multiplicidad de procesos omnipresente e inherente en la planificación, dirección y supervisión de una entidad.

¿En qué consiste?

En sí es un marco de referencia aplicable a cualquier organización.

COSO considera que el control interno debe ser un proceso integrado con el negocio que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento.

Transmitir el concepto de que el esfuerzo involucra a toda la organización: desde la Alta Dirección hasta el último empleado.

En otras palabras, es el proceso que se encarga de realizar el consejo de administración, la dirección y el colectivo restante de una entidad, con el propósito de otorgar un nivel razonable de confianza en la consecución de los siguientes objetivos:

      Asegurar la exactitud y confiabilidad de los datos de la contabilidad y de las operaciones             financieras.

      Proteger los recursos contra el despilfarro, el fraude o el uso ineficiente, así como evaluar el desempeño de todas las divisiones administrativas y funcionales de la entidad (eficacia y eficiencia de las operaciones).

      Asegurar  el  cumplimiento  de  las  políticas  normativas  económicas  de  la entidad.

Es por ello que se puede afirmar que el control interno es el conjunto de mecanismos, sistemas, procedimientos y normas que aseguran una eficiente gestión de la entidad, la consecución de sus objetivos y el mantenimiento de su patrimonio, en un ambiente de participación e integración de todos aquellos que lo emplean y con los que se relacionan: clientes y proveedores.

Definición de Control Interno

Es un proceso que involucra a todos los integrantes de la organización sin excepción, diseñado para dar un grado razonable de apoyo en cuanto a la obtención de los objetivos en las siguientes categorías:

Eficacia y eficiencia de las operaciones (O)

Fiabilidad de la información financiera (F)

Cumplimiento de las leyes y normas que son aplicables(C)

(14-05-2016) Seguridad Informática segunda parte

Seguridad Informática II

Criptografía

Criptografía (del griego κρύπτos '(criptos), «oculto», y γραφη (grafé), «grafo» ó «escritura», literalmente «escritura oculta»). Tradicionalmente se ha definido como el ámbito de la criptología el que se ocupa de las técnicas de cifrado o codificado destinadas a alterar las representaciones lingüísticas de ciertos mensajes con el fin de hacerlos ininteligibles a receptores no autorizados. Estas técnicas se utilizan tanto en el Arte como en la Ciencia. Por tanto, el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía existente era la llamada criptografía clásica.

La aparición de la Informática y el uso masivo de las comunicaciones digitales, han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas, y por tanto, la seguridad de esta información debe garantizarse. Este desafío ha generalizado los objetivos de la criptografía para ser la parte de la criptología que se encarga del estudio de los algoritmos, protocolos (se les llama protocolos criptográficos), y sistemas que se utilizan para proteger la información y dotar de seguridad a las comunicaciones y a las entidades que se comunican.

Escítala

Una escítala (griego: skytálē) es un sistema de criptografía utilizado por los éforos espartanos para el envío de mensajes secretos. Está formada por dos varas de grosor variable (pero ambas de grosor similar) y una tira de cuero o papiro, a las que ambas se puede denominar escítala.

El sistema consistía en dos varas del mismo grosor que se entregaban a los participantes de la comunicación. Para enviar un mensaje se enrollaba una cinta de forma espiral a uno de los bastones y se escribía el mensaje longitudinalmente, de forma que en cada vuelta de cinta apareciese una letra de cada vez. Una vez escrito el mensaje, se desenrollaba la cinta y se enviaba al receptor, que sólo tenía que enrollarla a la vara gemela para leer el mensaje original.

Cifrado César

En criptografía, el cifrado César, también conocido como cifrado por desplazamiento, código de César o desplazamiento de César, es una de las técnicas de cifrado más simples y más usadas. Es un tipo de cifrado por sustitución en el que una letra en el texto original es reemplazada por otra letra que se encuentra un número fijo de posiciones más adelante en el alfabeto. Por ejemplo, con un desplazamiento de 3, la A sería sustituida por la D (situada 3 lugares a la derecha de la A ), la B sería reemplazada por la E, etc. Este método debe su nombre a Julio César, que lo usaba para comunicarse con sus generales.

El cifrado César muchas veces puede formar parte de sistemas más complejos de codificación, como el cifrado Vigenère, e incluso tiene aplicación en el sistema ROT13. Como todos los cifrados de sustitución alfabética simple, el cifrado César se descifra con facilidad y en la práctica no ofrece mucha seguridad en la comunicación. 

Firma Digital

No debe confundirse con Firma electrónica.

No debe confundirse con Firma digitalizada.

Una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad).

La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la integridad de ciertos datos, por ejemplo documentos electrónicos o software, ya que proporciona una herramienta para detectar la falsificación y la manipulación del contenido.

(07-05-2016) Seguridad Informática primera parte

Seguridad Informática

La Seguridad Informática (S.I.) es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas, orientados a proveer condiciones seguras y confiables, para el procesamiento de datos en sistemas informáticos.

La decisión de aplicarlos es responsabilidad de cada usuario… Las consecuencias de no hacerlo también.

Principios de Seguridad Informática:

Para lograr sus objetivos, la seguridad informática se fundamenta en tres principios, que debe cumplir todo sistema informático:

·   Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben proteger al sistema de invasiones, intrusiones y accesos, por parte de personas o programas no autorizados.

Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que usuarios, ordenadores y datos residen en localidades diferentes, pero están física y lógicamente interconectados.

·      Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos.

Este principio es particularmente importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios, ordenadores y procesos comparten la misma información.

·        Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático.

Basándose en este principio, las herramientas de Seguridad Informática deben reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran.

Este principio es particularmente importante en sistemas informáticos cuyo compromiso con el usuario, es prestar servicio permanente.

Factores de Riesgo:

ü  Ambientales: factores externos, lluvias, inundaciones, terremotos, tormentas, rayos, suciedad, humedad, calor, entre otros.

ü  Tecnológicos: fallas de hardware y/o software, fallas en el aire acondicionado, falla en el servicio eléctrico, ataque por virus informáticos, etc.

ü  Humanos: hurto, adulteración, fraude, modificación, revelación, pérdida, sabotaje, vandalismo, crackers, hackers, falsificación, robo de contraseñas, intrusión, alteración, etc.

Factores tecnológicos de riesgo

Virus Informático: Un virus informático es un programa (código) que se replica, añadiendo una copia de sí mismo a otro(s) programa(s).

Los virus informáticos son particularmente dañinos porque pasan desapercibidos hasta que los usuarios sufren las consecuencias, que pueden ir desde anuncios inocuos hasta la pérdida total del sistema.

Características:

ü  Auto-reproducción: Es la capacidad que tiene el programa de replicarse (hacer copias de sí mismo), sin intervención o consentimiento del usuario.

ü  Infección: Es la capacidad que tiene el código de alojarse en otros programas, diferentes al portador original.

Propósitos:

ü  Afectar el software: Sus instrucciones agregan nuevos archivos al sistema o manipulan el contenido de los archivos existentes, eliminándolo parcial o totalmente.

ü  Afectar el hardware: Sus instrucciones manipulan los componentes físicos.  Su principal objetivo son los dispositivos de almacenamiento secundario y pueden sobrecalentar las unidades, disminuir la vida útil del medio, destruir la estructura lógica para recuperación de archivos (FAT) y otras consecuencias.

Factores Humanos De Riesgo

·         Hackers: Los hackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado.

En general, los hackers persiguen dos objetivos:

ü  Probar que tienen las competencias para invadir un sistema protegido.

ü  Probar que la seguridad de un sistema tiene fallas.

·         Crackers: Los crackers son personas con avanzados conocimientos técnicos en el área informática y que enfocan sus habilidades hacia la invasión de sistemas a los que no tienen acceso autorizado.

En general, los crackers persiguen dos objetivos:

ü  Destruir parcial o totalmente el sistema.

ü  Obtener un beneficio personal (tangible o intangible) como consecuencia de sus actividades.

Mecanismos de Seguridad Informática

Un mecanismo de seguridad informática es una técnica o herramienta que se utiliza para fortalecer la confidencialidad, la integridad y/o la disponibilidad de un sistema informático.

Existen muchos y variados mecanismos de seguridad informática. Su selección depende del tipo de sistema, de su función y de los factores de riesgo que lo amenazan.

Clasificación según su función:

·         Preventivos: Actúan antes de que un hecho ocurra y su función es detener agentes no deseados.

·         Detectivos: Actúan antes de que un hecho ocurra y su función es revelar la presencia de agentes no deseados en algún componente del sistema. Se caracterizan por enviar un aviso y registrar la incidencia.

·         Correctivos: Actúan luego de ocurrido el hecho y su función es corregir las consecuencias.

(23-04-2016) Software de auditoría

……….Software de auditoria……….

El software de auditoría ayuda a centralizar la información de auditoría para que las empresas puedan tomar decisiones coordinadas con una idea generalizada de las estadísticas financieras de la empresa. El software de auditoría también se suele diseñar para acelerar los procesos de auditoría para que las empresas no tengan que dedicarle tanto tiempo.

Paquetes de auditoría

Los paquetes de auditoría,  conocidos en el  pasado como sistemas GAS (de General Audit System) y actualmente como herramientas CAATs, son productos de software diseñados para generar programas que ayuden a los auditores a investigar  el  contenido de las bases de datos de la entidad bajo estudio.  En general, no requieren al auditor de calificación en tecnologías para ser usados. En  la  actualidad,  los  productos  de  software  de  esta  categoría  se  orientan principalmente a proveer  al  auditor  de herramientas  de fácil  comprensión y operación con funcionalidades similares a las provistas por el lenguaje SQL; su principal  virtud es facilitar  el  acceso a los archivos y bases de datos de la empresa auditada.

Bajo este rótulo, vienen también rutinas y programas diseñados para:

• Obtener muestreos a partir de las bases de datos reales del sistema, realizar extrapolaciones y luego procesarlas con el debido rigor estadístico.

• Rastrear  datos  en  los  logs  del  sistema  operativo  y  obtener  información referida a quiénes entraron al  sistema,  qué hicieron,  cuándo,  dónde,  qué controles se violaron.

Algunos productos de software de esta categoría son:

-TeamMate de PriceWaterhouse-Cooper - www.pccglobal.com

-ACL - www.acl.com

Su folleto comercial  dice  lo siguiente:  ACL  es  el  paquete de software líder  mundial  de las herramientas de asistencia para Auditoria. ACL permite el acceso directo a los archivos de datos de las aplicaciones informáticas, con la libertad de trabajar sobre esa  información  sin  necesidad  de  escribir  códigos  o  realizar  programación.  ACL  utiliza  una  interfaz  visual  con  filtros  de selección,  vistas  y  reportes  tipo  planilla  de  cálculo.  Posee poderosos comandos ejecutables mediante sencillos cuadros de diálogo para estratificación,  clasificación,  antigüedad,  muestreo,  control  de duplicados y faltantes,  ordenamiento y cruzamiento entre archivos, entre otros.

-Idea de la firma CaseWare – www.caseware.com – herramienta para  análisis  de  datos  muy  similar  a  ACL.  También  ofrece CaseWare Working Papers y  CaseWare Time,  productos para gestionar y documentar proyectos de auditoría.

-Pro Audit Advisor - www.methodware.com  

-Galileo - www.darcangelosoftwareservices.com

-Pentana - www.pentana.com

Auditoría con el apoyo de paquetería de aplicación específica para auditorías tradicionales

En este caso, el auditor, de cualquier especialidad, utiliza la computadora para evaluar cualquier área de la empresa, incluso el área de sistemas computacionales; para ello se apoya en paquetería de aplicación específica para el tipo de auditoría que desea realizar; ya sea que esta paquetería exista, o mediante el diseño de aplicaciones especiales, de acuerdo con sus necesidades de evaluación.

La característica de esta auditoría es que se utilizan las herramientas tradicionales de la auditoría para auditar las diferentes áreas de la empresa, y se utiliza la computadora únicamente como apoyo para obtener la información que se requiere de esas áreas, para hacer el procesamiento de datos, e incluso para llevar a cabo simulaciones de las actividades normales de las áreas evaluadas, si así se requiere. Esto le permite al auditor hacer una evaluación más profunda, ahorrar tiempo y obtener resultados más confiables.

Si el auditor utilizara únicamente las herramientas tradicionales de auditoría, difícilmente alcanzaría tal profundidad. Sin embargo, el principal problema en estas evaluaciones es la carencia de programas específicos de evaluación para una auditoría, lo cual obliga al auditor a realizar programas de revisión concreta de acuerdo con las características de las áreas que esté evaluando y con las necesidades de la propia revisión. No obstante, para los auditores que no están muy familiarizados con el uso de los sistemas es muy difícil elaborar estos programas, lo cual les obliga a recurrir al área de sistemas computacionales para que les elaboren dichos programas.

Debido a la diversidad de aplicaciones de este tipo de auditorías, no hemos presentado ejemplos, ya que éstos estarían en función de las necesidades específicas de evaluación del auditor; solamente citamos la gran ayuda que proporciona la computadora para realizar estas auditorías.

Auditoría con el apoyo de paquetería de aplicación administrativa

Es la evaluación que se realiza utilizando los paquetes de software específicos, cuya aplicación es de carácter administrativo, financiero, contable o estadístico, los cuales han sido diseñados para que puedan ser utilizados en cualquier sistema computacional; es decir, en macrocomputadoras, minicomputadoras, microcomputadoras, laptops o sistemas de redes.

Con estos paquetes se facilitan las actividades de un auditor, debido a que, al aprovechar las facilidades que obtiene con el uso de dichos sistemas y programas, puede realizar una evaluación tradicional de los registros, operaciones, funciones y actividades de una empresa o una de sus áreas específicas, utilizando las técnicas, métodos y procedimientos típicos de la auditoría, pero apoyándose en los sistemas y programas para la captura y el procesamiento de datos; con la combinación de ambos obtiene los resultados que le facilitan hacer la interpretación, evaluación y dictamen de los aspectos resultantes de la evaluación administrativa de las actividades y operaciones de la empresa o de sus áreas.

En el mercado hay múltiples ejemplos de lo anterior, así que sólo presentaremos el nombre de algunos de estos programas:

• Diagnôstik. Programa para el análisis y diagnóstico financieros que permite la evaluación del origen y aplicación de recursos, índices financieros, flujo de efectivo y rentabilidad de la empresa.

• Admiplus. Programa de administración empresarial que se utiliza para llevar a cabo la administración de la empresa, así como para auditar dicha administración.

• COI. Programa de contabilidad que se puede utilizar para realizar la contabilidad de la empresa y para la auditoría de la misma.

• NOI. Programa administrativo de nóminas que se utiliza para realizar la nómina del personal, el registro de sus ingresos, egresos y registros de impuestos en la computadora. También se puede utilizar para realizar la auditoría del área de personal.

 Auditoría con el apoyo de hojas electrónicas de trabajo

Es la evaluación que se hace aplicando los métodos, técnicas y procedimientos de la auditoría tradicional, pero apoyándose para procesar sus resultados en los cálculos, estadísticas y gráficas que se obtienen con la aplicación de programas de hoja de cálculo.

Con estas hojas de cálculo, el auditor captura, procesa y emite los resultados derivados de los levantamientos de información que realiza con la aplicación de las herramientas tradicionales de auditoría, sólo que, en su tabulación y procesamiento se apoya en hojas de cálculo, con el fin de obtener resultados más confiables, acertados y oportunos, lo cual le permite hacer una mejor evaluación y elaborar un dictamen más eficiente.

Tradicionalmente, las hojas de cálculo se han utilizado en las aplicaciones contables, administrativas y estadísticas, facilitando la captura y el procesamiento de los datos obtenidos con las herramientas tradicionales; por esta razón se han popularizado entre los auditores para realizar el procesamiento de información en las auditorías de cualquier área o tópico de una empresa.

En el mercado hay múltiples ejemplos de estas hojas de cálculo, así que sólo presentaremos algunos nombres de estos programas:

• Hojas electrónicas de datos. Son los programas de aplicación específica de programas integrados para realizar cálculos estadísticos, matemáticos y financieros en la computadora; entre estos programas, los más populares son Excel de Microsoft, Lotus de Lotus Develoment y Quatro, entre otros.