ing. elizabeth guerrero. en tiempos históricos, auditor era aquella persona a quíen le leían los...
TRANSCRIPT
Auditoria de SistemasIntroducción y
ConceptosIng. Elizabeth Guerrero
En tiempos históricos, auditor era aquella persona a quíen le leían los ingresos y gastos producidos por un establecimiento, práctica utilizada por civilizaciones muy antiguas.
Se estima que el nacimiento de la Auditoría fue a finales del siglo XV, cuando los revisores de cuentas se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.
Antecedentes de la Auditoria
Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación.
Definición General de Auditoria
Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.
Objetivos Generales de la Auditoría
Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de una empresa.
Objetivos Generales de la Auditoría
Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como de sus áreas y unidades administrativas.
Objetivos Generales de la Auditoría
Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.
Objetivos Generales de la Auditoría
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma.
En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa.
Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma.
Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría de Sistemas Informáticos.
Introducción a la Auditoría de Sistemas
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas.
El concepto de auditoría de sistemas es mucho más que esto.
Introducción a la Auditoría de Sistemas
La auditoria en informática es la revisión y la evaluación de:◦ los controles, sistemas, procedimientos de
informática; ◦ los equipos de cómputo, su utilización, eficiencia
y seguridad, ◦ la organización que participan en el
procesamiento de la información, A fin de que por medio del señalamiento de vias
alternativas se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones
Auditoría de Sistemas
Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática
Hacer la evaluación sobre el uso de los recursos financieros en el área del centro de información
Objetivos de la Auditoría de Sistemas
Evaluar el uso y aprovechamiento de los equipos de cómputo, así como, el uso de sus recursos técnicos y materiales para el procesamiento de información.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, lenguajes, programas, asi como, el desarrollo e instalación de nuevos sistemas.
Objetivos de la Auditoría de Sistemas
Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información.
Realizar la evaluación de las áreas, actividades y funciones de una empresa, apoyado en programas especiales para la auditoría
Objetivos de la Auditoría de Sistemas
Asegurar la integridad, confidencialidad y confiabilidad de la información.
Minimizar existencias de riesgos en el uso de Tecnología de información
Conocer la situación actual del área informática para lograr los objetivos.
Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.
Objetivos de la Auditoría de Sistemas
Algunos de los varios inconvenientes que puede presentar un Sistema Informático son:Las computadoras y los Centros de Proceso de
Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo ->Auditoría Informática de Seguridad.
¿Por qué hacer Auditoría de Sistemas?
Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. -> Auditoría Informática de Datos
¿Por qué hacer Auditoría de Sistemas?
Un Sistema Informático mal diseñado puede convertirse en una herramienta altamente peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
¿Por qué hacer Auditoría de Sistemas?
Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador
Falta de una planificación informática
Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
¿Por qué hacer Auditoría de Sistemas?
Descontento general de los usuarios por incumplimiento de plazos y malacalidad de los resultados.
Falta de documentación o documentación incompleta de sistemas querevela la dificultad de efectuar el mantenimiento de los sistemas en
producción
¿Por qué hacer Auditoría de Sistemas?
Síntomas de Necesidad de una Auditoría Informática Síntomas de descoordinación y
desorganización Síntomas de mala imagen e insatisfacción
de los usuarios Síntomas de debilidades económico-
financiero Síntomas de Inseguridad: Evaluación de
nivel de riesgos
Debe seguir una metodología preestablecida
Se realizará en una fecha precisa y fija Será personal extraño al servicio de
informática pero especializado en el área
Requisitos de la Auditoría de Sistemas
Auditoría por su lugar de
Aplicación
Auditoría Externa
Auditoría Interna
Tipos de Auditoría
Auditoría por su área de aplicación
Auditoría financiera
Auditoría administrativa
Auditoría operacional
Auditoría integral
Aditoría gubernamental
Auditoría de sistemas
Tipos de Auditoría
Auditoría especializada en áreas específicas
Auditoría al área médica
Auditoría al desarrollo de obras y construcciones
Auditoría fiscal
Auditoría laboral
Aditoría de proyectos de inversión
Auditoria de inventarios
Auditoría ambiental
Auditoría de sistemas
Tipos de Auditoría
Auditoría de sistemas computacionales
Auditoría informática
Auditoría con la computadora
Auditoría sin la computadora
Auditoría a la gestión informática
Aditoría al sistema de cómputo
Auditoria alrededor de la computadora
Auditoría de la seguridad de sistemas computacionales
Auditoría a los sistemas de redes
Auditoría integral a los centros de cómputo
Auditoría ISO-9000 a los sistemas computacionales
Auditoría outsorcing
Auditoría ergonómica de sistemas computacionales
Tipos de Auditoría
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Auditoría de Sistemas Computacionales
En este enfoque de auditoría, los programas y los archivos de datos no se auditan.
La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información.
Es el más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.
Auditoría alrededor del computador
La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como:1. Verificar la existencia de una adecuada segregación funcional.2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los
datos.3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados
a proceso estén autorizados.4. Comprobar la existencia de controles para asegurar que todos los datos enviados
sean procesados.5. Cerciorarse que los procesos se hacen con exactitud.6. Comprobar que los datos sean sometidos a validación antes de ordenar su
proceso.7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la
posterior realimentación de los datos corregidos al proceso.8. Examinar los controles de salida de la información para asegurar que se eviten los
riesgos entre sistemas y el usuario.9. Verificar la satisfacción del usuario. En materia de los informes recibidos.10. Comprobar la existencia y efectividad de un plan de contingencias, para
asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres.
Auditoría alrededor del computador
Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas.
Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.
Auditoría a través del computador
Objetivos de esta auditoría1. Asegurar que los programas procesan los datos, de acuerdo con las
necesidades del usuario o dentro de los parámetros de precisión previstos.2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los
programas.3. Verificar que los programadores modifiquen los programas solamente en
los aspectos autorizados.4. Comprobar que los programas utilizados en producción son los
debidamente autorizados por el administrador.5. Verificar la existencia de controles eficientes para evitar que los
programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente.
Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversión en información.
Auditoría a través del computador
Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida.
Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volúmenes de transacciones.
La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación.
Auditoría con el computador
Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como:
1- Recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de depreciación y acumulación de intereses, entre otros.
2- Demostración gráfica de datos seleccionados.3- Selección de muestras estadísticas.4- Preparación de análisis de cartera por antigüedad. Informe de Auditoría: Este informe deberá versar sobre la
confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros.
Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento.
Auditoría con el computador
Es la revisión independiente que realiza un profesional de la auditoría, con total libertad de criterio y sin ninguna influencia, con el proposito de evaluar el desempeño de las actividades, operaciones y funciones que se realiza en la empresa que lo contrata.
La auditoría externa es realizada por auditores ajenos a la empresa auditada; es siempre remunerada.
Auditoría Externa
Ventajas Desventajas
El auditor es totalmente independiente y libre de cualquier injerecia por parte de la empresa auditada
La evaluación del auditor externo puede estar límitada a la información que pueda recopilar
Los auditores externos utilizan técnicas y herramientas provadas en otras empresas similares
Depende de la cooperación que el auditor externo pueda obtener por parte de los auditados
Las auditorías externas tienen gran aceptación para optar a certificaciones, sus dictémenes son válidos
Muchas auditorías de este tipo se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan
Pueden ser costosas para la empresa tanto económicamente como por el tiempo y trabajo adicional que representan
Ventajas y Desventajas de la Auditoría Externa
Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la auditoría, con el proposito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se realiza en la empresa.
La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Auditoría Interna
Ventajas Desventajas
El auditor conoce integralmente las actividades, operaciones y áreas de la empresa, por lo tanto, su revisión puede ser más profunda y con mayor conocimiento
Su veracidad, alcance y confiabilidad pueden ser límitados
El informe de la auditoría es sólo de carácter interno
En ocaciones la opinión del auditor tal vez no sea absoluta
Permite detectar problemas y desviaciones a tiempo, lo cual ayudará en la evaluación y en la toma de decisiones
Se pueden presentar vicios de trabajo del auditor, ya sea en las formas de utilizar las técnicas y herramientas para aplicar la auditoría, como en la forma de evaluar y emitir su informe
Consume sólo recursos internos
Ventajas y Desventajas de la Auditoría Interna
Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa.
Las razones para hacerlo suelen ser:1. Necesidad de auditar una materia de gran especialización,
para la cual los servicios propios no están suficientemente capacitados.
2. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa.
3. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa.
4. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.
Auditoria Interna y Externa
La auditoría informática consiste en comparar uno o varios actos de gestión, desde uno o varios puntos de vista, con los que deberían ser.
Los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde luego, fiables y seguros.
Reglas de la Auditoría
Las Normas de Auditoría son los lineamientos básicos que el auditor debe seguir en el cumplimiento de la labor de auditoría.
El organismo encargado de elaborar estas normas para la ejecución de tareas de auditoría es el Comité Internacional de Prácticas de Auditoría cuya sigla en inglés es IAPC (International Auditing Practices Comittee)
Normas de la Auditoría
Son los requisitos mínimos de calidad relativos a la personalidad de auditor, al trabajo que desempeña y a la información que rinde como resultado de su trabajo.
Las normas de Auditoría se clasifican en:●Normas personales●Normas de ejecución de trabajo●Normas de la información
Normas de Auditoría
Se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carácter profesional de la auditoria impone, un trabajo de este tipo.Entrenamiento técnico y capacidad profesionalCuidado y diligencia profesionalesIndependencia
Normas personales
Planeación y supervisión Estudio y evaluación del control interno Obtención de evidencia suficiente y
competente.
Normas de ejecución de trabajo
El resultado final del trabajo del auditor es su dictamen o informe. Mediante este, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinión que se ha formado a través de su examen.Debe presentarse siguiendo las normas de
auditoríaPresenta las observaciones que se hayan
detectado durante el periodo de evaluación, destacando aquellas desviaciones de los procedimientos normales
Contienen la opinión razonada del auditor
Normas de la información
Objetivo Momento
Auditoría Controlar el desempeño Posterior a los eventos
Consultoría Optimizar el desempeño Previo a los eventos
Auditoría y Consultoría