Auditoria de Sistemas Introduccin y Conceptos Ing Elizabeth
Auditoria de Sistemas Introducción y Conceptos Ing. Elizabeth Guerrero
Antecedentes de la Auditoria � En tiempos históricos, auditor era aquella persona a quíen le leían los ingresos y gastos producidos por un establecimiento, práctica utilizada por civilizaciones muy antiguas. � Se estima que el nacimiento de la Auditoría fue a finales del siglo XV, cuando los revisores de cuentas se aseguraban de que no hubiera fraudes en los reportes que se les presentaban.
Definición General de Auditoria � Es la revisión independiente que realiza un auditor profesional, aplicando técnicas, métodos y procedimientos especializados, a fin de evaluar el cumplimiento de las funciones, actividades, tareas y procedimientos de una entidad administrativa, así como dictaminar sobre el resultado de dicha evaluación.
Objetivos Generales de la Auditoría � Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados.
Objetivos Generales de la Auditoría � Hacer una revisión especializada, desde un punto de vista profesional y autónomo, del aspecto contable, financiero y operacional de las áreas de una empresa.
Objetivos Generales de la Auditoría � Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos que regulan la actuación de los empleados y funcionarios de una institución, así como de sus áreas y unidades administrativas.
Objetivos Generales de la Auditoría � Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.
Introducción a la Auditoría de Sistemas A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. � La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. � En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. � Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. � Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría de Sistemas Informáticos. �
Introducción a la Auditoría de Sistemas � El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. � El concepto de auditoría de sistemas es mucho más que esto.
Auditoría de Sistemas � La auditoria en informática es la revisión y la evaluación de: ◦ los controles, sistemas, procedimientos de informática; ◦ los equipos de cómputo, su utilización, eficiencia y seguridad, ◦ la organización que participan en el procesamiento de la información, A fin de que por medio del señalamiento de vias alternativas se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones
Objetivos de la Auditoría de Sistemas � Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de informática � Hacer la evaluación sobre el uso de los recursos financieros en el área del centro de información
Objetivos de la Auditoría de Sistemas � Evaluar el uso y aprovechamiento de los equipos de cómputo, así como, el uso de sus recursos técnicos y materiales para el procesamiento de información. � Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, lenguajes, programas, asi como, el desarrollo e instalación de nuevos sistemas.
Objetivos de la Auditoría de Sistemas � Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones y actividades de las áreas y de los sistemas de procesamiento de información. � Realizar la evaluación de las áreas, actividades y funciones de una empresa, apoyado en programas especiales para la auditoría
Objetivos de la Auditoría de Sistemas � Asegurar la integridad, confidencialidad y confiabilidad de la información. � Minimizar existencias de riesgos en el uso de Tecnología de información � Conocer la situación actual del área informática para lograr los objetivos. � Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático, así como también seguridad del personal, los datos, el hardware, el software y las instalaciones.
¿Por qué hacer Auditoría de Sistemas? � Algunos de los varios inconvenientes que puede presentar un Sistema Informático son: v. Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espionaje, sino para la delincuencia y el terrorismo ->Auditoría Informática de Seguridad.
¿Por qué hacer Auditoría de Sistemas? v. Las computadoras creadas para procesar y difundir resultados o información elaborada pueden producir resultados o información errónea si dichos datos son, a su vez, erróneos. -> Auditoría Informática de Datos
¿Por qué hacer Auditoría de Sistemas? v. Un Sistema Informático mal diseñado puede convertirse en una herramienta altamente peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los Sistemas de Información, la gestión y la organización de la empresa no puede depender de un Software y Hardware mal diseñados.
¿Por qué hacer Auditoría de Sistemas? � � � Aumento considerable e injustificado del presupuesto del PAD (Departamento de Procesamiento de Datos) Desconocimiento en el nivel directivo de la situación informática de la empresa Falta total o parcial de seguridades lógicas y fisicas que garanticen la integridad del personal, equipos e información. � Descubrimiento de fraudes efectuados con el computador � Falta de una planificación informática � Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
¿Por qué hacer Auditoría de Sistemas? Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados. � Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción �
Síntomas de Necesidad de una Auditoría Informática � Síntomas de descoordinación y desorganización � Síntomas de mala imagen e insatisfacción de los usuarios � Síntomas de debilidades económicofinanciero � Síntomas de Inseguridad: Evaluación de nivel de riesgos
Requisitos de la Auditoría de Sistemas � Debe seguir una metodología preestablecida � Se realizará en una fecha precisa y fija � Será personal extraño al servicio de informática pero especializado en el área
Tipos de Auditoría Externa Auditoría por su lugar de Aplicación Auditoría Interna
Tipos de Auditoría financiera Auditoría administrativa Auditoría operacional Auditoría por su área de aplicación Auditoría integral Aditoría gubernamental Auditoría de sistemas
Tipos de Auditoría al área médica Auditoría al desarrollo de obras y construcciones Auditoría fiscal Auditoría especializada en áreas específicas Auditoría laboral Aditoría de proyectos de inversión Auditoria de inventarios Auditoría ambiental Auditoría de sistemas
Tipos de Auditoría informática Auditoría con la computadora Auditoría sin la computadora Auditoría a la gestión informática Aditoría al sistema de cómputo Auditoría de sistemas computacionales Auditoria alrededor de la computadora Auditoría de la seguridad de sistemas computacionales Auditoría a los sistemas de redes Auditoría integral a los centros de cómputo Auditoría ISO-9000 a los sistemas computacionales Auditoría outsorcing Auditoría ergonómica de sistemas computacionales
Auditoría de Sistemas Computacionales � � � � Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos. Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio. Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc. ) y protecciones del entorno. Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
Auditoría alrededor del computador � � � En este enfoque de auditoría, los programas y los archivos de datos no se auditan. La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Es el más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.
Auditoría alrededor del computador � La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues tiene objetivos muy importantes como: 1. Verificar la existencia de una adecuada segregación funcional. 2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos. 3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados. 4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados. 5. Cerciorarse que los procesos se hacen con exactitud. 6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso. 7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos corregidos al proceso. 8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario. 9. Verificar la satisfacción del usuario. En materia de los informes recibidos. 10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la recuperación de los datos en caso de desastres.
Auditoría a través del computador � � Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como complemento del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen en los programas. Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de programación o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.
Auditoría a través del computador Objetivos de esta auditoría 1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de los parámetros de precisión previstos. 2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas. 3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados. 4. Comprobar que los programas utilizados en producción son los debidamente autorizados por el administrador. 5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines ilícitos o que se utilicen programas no autorizados para los procesos corrientes. 6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso correspondiente. � Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en este caso de software, para proteger los datos en su proceso de conversión en información. �
Auditoría con el computador � � � Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida. Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los datos, en grandes volúmenes de transacciones. La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación.
Auditoría con el computador Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como: 1 - Recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de depreciación y acumulación de intereses, entre otros. 2 - Demostración gráfica de datos seleccionados. 3 - Selección de muestras estadísticas. 4 - Preparación de análisis de cartera por antigüedad. � Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno para proteger los datos sometidos a proceso y la información contenida en los archivos maestros. � Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente para auditar aplicaciones en funcionamiento. �
Auditoría Externa � Es la revisión independiente que realiza un profesional de la auditoría, con total libertad de criterio y sin ninguna influencia, con el proposito de evaluar el desempeño de las actividades, operaciones y funciones que se realiza en la empresa que lo contrata. � La auditoría externa es realizada por auditores ajenos a la empresa auditada; es siempre remunerada.
Ventajas y Desventajas de la Auditoría Externa Ventajas Desventajas El auditor es totalmente independiente y libre de cualquier injerecia por parte de la empresa auditada La evaluación del auditor externo puede estar límitada a la información que pueda recopilar Los auditores externos utilizan técnicas y herramientas provadas en otras empresas similares Depende de la cooperación que el auditor externo pueda obtener por parte de los auditados Las auditorías externas tienen gran aceptación para optar a certificaciones, sus dictémenes son válidos Muchas auditorías de este tipo se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan Pueden ser costosas para la empresa tanto económicamente como por el tiempo y trabajo adicional que representan
Auditoría Interna � Es la revisión que realiza un profesional de la auditoría, cuya relación de trabajo es directa y subordinada a la institución donde se aplicará la auditoría, con el proposito de evaluar en forma interna el desempeño y cumplimiento de las actividades, operaciones y funciones que se realiza en la empresa. � La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.
Ventajas y Desventajas de la Auditoría Interna Ventajas Desventajas El auditor conoce integralmente las Su veracidad, alcance y actividades, operaciones y áreas de confiabilidad pueden ser límitados la empresa, por lo tanto, su revisión puede ser más profunda y con mayor conocimiento El informe de la auditoría es sólo de carácter interno En ocaciones la opinión del auditor tal vez no sea absoluta Permite detectar problemas y desviaciones a tiempo, lo cual ayudará en la evaluación y en la toma de decisiones Se pueden presentar vicios de trabajo del auditor, ya sea en las formas de utilizar las técnicas y herramientas para aplicar la auditoría, como en la forma de evaluar y emitir su informe Consume sólo recursos internos
Auditoria Interna y Externa Una Empresa o Institución que posee auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. � Las razones para hacerlo suelen ser: 1. Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados. 2. Contrastar algún Informe interno con el que resulte del externo, en aquellos supuestos de emisión interna de graves recomendaciones que chocan con la opinión generalizada de la propia empresa. 3. Servir como mecanismo protector de posibles auditorías informáticas externas decretadas por la misma empresa. 4. Aunque la auditoría interna sea independiente del Departamento de Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa. �
Reglas de la Auditoría � La auditoría informática consiste en comparar uno o varios actos de gestión, desde uno o varios puntos de vista, con los que deberían ser. � Los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditoría, siendo coherentes entre sí y, desde luego, fiables y seguros.
Normas de la Auditoría � Las Normas de Auditoría son los lineamientos básicos que el auditor debe seguir en el cumplimiento de la labor de auditoría. � El organismo encargado de elaborar estas normas para la ejecución de tareas de auditoría es el Comité Internacional de Prácticas de Auditoría cuya sigla en inglés es IAPC (International Auditing Practices Comittee)
Normas de Auditoría � Son los requisitos mínimos de calidad relativos a la personalidad de auditor, al trabajo que desempeña y a la información que rinde como resultado de su trabajo. � Las normas de Auditoría se clasifican en: ● Normas personales ● Normas de ejecución de trabajo ● Normas de la información
Normas personales � Se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carácter profesional de la auditoria impone, un trabajo de este tipo. ØEntrenamiento técnico y capacidad profesional ØCuidado y diligencia profesionales ØIndependencia
Normas de ejecución de trabajo � Planeación y supervisión � Estudio y evaluación del control interno � Obtención de evidencia suficiente y competente.
Normas de la información � El resultado final del trabajo del auditor es su dictamen o informe. Mediante este, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinión que se ha formado a través de su examen. ØDebe presentarse siguiendo las normas de auditoría ØPresenta las observaciones que se hayan detectado durante el periodo de evaluación, destacando aquellas desviaciones de los procedimientos normales ØContienen la opinión razonada del auditor
Auditoría y Consultoría Objetivo Momento Auditoría Controlar el desempeño Posterior a los eventos Consultoría Optimizar el desempeño Previo a los eventos
- Slides: 44