I FUNDAMENTOS DE AUDITORIA Y AUDITORIA INFORMTICA Prof
- Slides: 44
I. FUNDAMENTOS DE AUDITORIA Y AUDITORIA INFORMÁTICA Prof. Ramón Castro L.
Concepto de auditoría • La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. • Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
Concepto de auditoría ü Se entiende por Auditoria “una sistemática evaluación de las diversas operaciones y controles de una organización, para determinar si se siguen políticas y procedimientos aceptables, si se siguen las normas establecidas, si se utilizan los recursos eficientemente y si se han alcanzado los objetivos de la organización. (B. Sawyer)”.
Concepto de auditoría ü Otra definición es: ü La actividad de detectar errores y fallas y se encarga de evaluar la eficiencia y eficacia de una sección, organización, o sistema de actividades humanas.
Existen diferentes tipos de auditorias ü Los distintos tipos de auditorías que se pueden realizar y se clasifican en: § Informaticas § Financieras § Verificativas § Operativas o de Gestión § Técnicas.
Concepto de auditoria en informática ü Son las técnicas y procesos que ejecutan la revisión practica que se realiza sobre los recursos informáticos con que cuenta la organización o entidad, con el fin de emitir un informe y/o dictamen profesional sobre la situación en que se desarrollan y se utilizan, esos recursos. ü Los recursos informáticos pueden ser: datos e información, aplicaciones (software), Infraestructura (hardware, telecomunicaciones, etc. ) y recursos humanos.
Tipos de auditoría ü La auditoría informática evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas mecanizadas de auditoría, incluyendo el uso de software. ü La auditoría operativa o de gestión es una revisión que comprende las actividades, sistemas y controles dentro de la empresa para conseguir economía, eficiencia, eficacia u otros objetivos.
Tipos de auditoría ü Auditorias financieras las que se hacen con el fin de asegurar el adecuado registro de las transacciones, el cumplimiento de los principios de Contabilidad generalmente aceptados y los planes y regulaciones contables y financieros, que obligan a la organización. ü Las auditorias verificativas o de cumplimiento tratan de asegurar a la dirección de la organización, que sus políticas, programas y normas se cumplen razonablemente en todo el ámbito de la misma.
Tipos de auditoría ü La auditoría técnica o de métodos es una revisión de los métodos y técnicas utilizadas en la realización de las operaciones de la empresa.
Entornos de la función auditora ü La realización de las auditorias corresponde a los auditores, pudiéndose dividir la función auditora en dos grandes grupos: ü La auditoría externa y la auditoría interna. La función de auditoría informática puede existir en cualquiera de los citados entornos.
Interna ü La auditoría interna constituye una función de evaluación independiente. Sin embargo, existe en el seno de una entidad y bajo la autorización de la dirección con el ánimo de examinar y evaluar las actividades de la entidad. ü La función principal del auditor interno es ayudar a la dirección en la realización de sus funciones, asegurando:
Interna • La salvaguardia del inmovilizado material e inmaterial de la entidad. • La exactitud y fiabilidad de los registros contables. • El fomento de la eficiencia operativa • La adhesión a las políticas de la entidad y el cumplimiento de sus obligaciones legales.
El auditor interno ü El auditor interno está casi siempre ocupado con la adecuación de los controles sobre las actividades mecanizadas, así como con la eficiencia y eficacia de los procedimientos empleados desde el punto de vista de los costos.
Externa ü La auditoría externa constituye una función de evaluación independiente y externa a la entidad que se examina. En la mayoría de las empresas, se contrata anualmente la realización de una auditoría de los estados financieros por parte de un contador público independiente, bien voluntariamente o bien por obligación legal.
Objetivo de la auditoria externa • El objetivo principal de una auditoria externa es la expresión de una opinión respecto de la calidad de los estados financieros de la entidad, por lo que el auditor externo se ocupa principalmente de la fiabilidad de la información financiera.
Auditoria informática ü El auditor informático pone a disposición de la función auditora, sea externa o interna, sus conocimientos técnicos de informática. ü Evalúa y comprueba los controles y procedimientos informáticos más complejos, desarrollando y aplicando técnicas sofisticadas en algunos casos, incluyendo el uso de software.
Auditoria informática ü Auditoria en Informática es la revisión y evaluación de los controles, sistemas y procedimientos de la informática, los equipos de cómputo (utilización, eficiencia y seguridad), de la organización que participa en el procesamiento de la información para garantizar que esta sea confiable para la toma de decisiones.
Actividades del auditor informático ü En una primera clasificación las actividades típicas del auditor informático se clasifican en cinco grandes clases: • Auditoría de la gestión de los S. I. /T. I. • Auditoría de los sistemas en desarrollo • Auditoría de los Centros de Proceso de Datos • Auditoria de las Aplicaciones • Apoyo a los auditores no informáticos.
Auditoria informática ü Auditoria de programas. Es la evaluación de la eficiencia técnica (software), el uso de diversos recursos (memoria), tiempo de operación de los programas, seguridad, confiabilidad, evaluación de riesgos con el objetivo de optimizar el software.
Diferencias entre la auditoría administrativa, auditoría contable y auditoria en informática ü En en siguiente cuadro comparativo se señalan las principales diferencias entre las diferentes auditorías.
Importancia de la auditoría en informática ü Durante años se ha detectado en las organizaciones el desaprovechamiento y despilfarro de los recursos y el uso inadecuado de los mismos, especialmente en el área de informática, se ha mostrado el interés por llegar a la meta sin importar el costo y los problemas de productividad. ü El propósito de la revisión de la auditoria en informática es el de verificar que los recursos, es decir, información, aplicaciones, infraestructura, recursos humanos y presupuestos, sean adecuadamente coordinados y vigilados por la gerencia o la dirección de las organizaciones.
Antecedentes de la auditoría en informática
Antecedentes de la auditoría en informática
Áreas a auditar en informática
Áreas a auditar en informática
Beneficios y limitaciones de la auditoría en informática
Objetivos de las Auditorías Objetivos de las Auditorias • Determinar la conformidad o no de los elementos del SC con los requisitos observados. • Determinar la eficacia del SC implantado para alcanzar los objetivos. • Proporcionar al auditado la oportunidad de mejorar su SC. • Hacer que se cumplan los requisitos reglamentarios. • Permitir la inscripción del SC del organismo auditado en un registro. Razones para realizar una Auditoria n n Hacer la evaluación inicial de un suministrador antes de establecer relaciones contractuales. Verificar en el organismo, que su SC cumple los requisitos establecidos y que realmente esta implantado. Verificar que, en una relación contractual, el SC del suministrador es eficiente. Hacer la evaluación, en el marco del propio organismo, de su SC con relación a una norma de SC. 27
Cualidades de los Auditores Personas abiertas, maduras, con sentido común, tenacidad, realistas y con capacidad de análisis. Cualidades Personales Aptitud para ver las situaciones complejas desde un punto de vista general y con espíritu cooperativo y comunicativo. Estudios secundarios, conocimientos de las normas aplicables, técnicas de evaluación de pruebas, apreciaciones y de informes. 4 años de experiencia practica (aseguramiento de la calidad). Mantenimiento de la aptitud Formación y experiencia Estar al día en el conocimiento de las normas relativas a los SC y en los métodos y procedimientos de las auditorias. Participar en cursos de formación y/o perfeccionamiento; estar sometido al examen de sus actuaciones por el comité. 28
Funciones responsabilidades y tareas de los auditores Responsabilidades n n Del Auditor Jefe. Del equipo auditores. Del auditado. Funciones n o n n Supervisión. Analizar, revisar y auditar. El auditado es elemento pasivo y no realiza ninguna función. Elección del Auditor jefe: Conviene confiar a un auditor la responsabilidad del equipo auditor y de la propia auditoría. Debe haber realizado al menos 3 auditorias completas y tener aptitud de comunicación y gestión del equipo. 29
Funciones responsabilidades y tareas de los auditores n Responsabilidades n AUDITOR JEFE Funciones n n Responsable final de todas las fases de la auditoría; debe preparar el plan y presentar el informe de la auditoría. Participar en la selección de los miembros del equipo auditor y presentarlos ante el auditado. Definir los requisitos de cada trabajo de la auditoría. Revisar la documentación del SC. Dar instrucciones al equipo auditor. Informar y comunicar al auditado sobre los resultados de la auditoría, las no conformidades críticas y los obstáculo importantes durante el curso de la auditoría. 30
Funciones, responsabilidades y tareas de los auditores n Responsabilidades n n Elaborar un informe sobre los resultados de la auditoria y consignar las observaciones. Cooperar con el auditor jefe. Preparar y realizar con eficacia las responsabilidades asignadas. AUDITORES n Funciones n Actuar con objetividad y limitarse al ámbito de la auditoria. Respetar la deontología profesional. Recoger y analizar datos para obtener conclusiones relativas al SC auditado. 31
Funciones responsabilidades y tareas de los auditores AUDITADO n n Responsabilidades n n Informar al personal afectado sobre el objeto y finalidad de la auditoría; designar a los mandos de su personal para que acompañen al equipo auditor. Poner a disposición del equipo auditor los medios necesarios para asegurar el desarrollo optimo de la auditoría. Cooperar con los auditores para alcanzar los objetivos de la auditoría. Determinar e iniciar las acciones correctoras atendiendo al informe de la auditoría. 32
¿Cómo auditar? Revisión preliminar del SC auditado -Si el SC no es el adecuado conviene no continuar con la auditoría. -Base para preparar la auditoría y juzgar el SC auditado. Documentos de trabajo - Listas de verificación para cada elemento del SC. - Formularios para recoger observaciones y formularios para consignar evidencias. PREPARACIÓN DE LA AUDITORIA Tareas del equipo auditor -Conviene asignar a cada auditor la auditoría de elementos Específicos del SC. Esta asignación será hecha por el auditor jefe. Plan de la auditoría - Conocido con antelación. - Flexible para permitir cambios durante la auditoría. -Debe incluir: objetivos, identidades del equipo auditor, fecha y lugar de la auditoría, áreas a auditar. . . 33
¿Cómo auditar? Recogida de evidencias - A través de entrevistas, examen - Presentación del equipo auditor de documentos y observación de y de un resumen de métodos y procedimientos a utilizar. las áreas afectadas. - Confirmar el horario de reuniones - Anotar los indicios de no intermedias y final, y la disponibilidad conformidad para su posterior de medios e instalacioinvestigación. nes que se precisen. EJECUCIÓN. DE LA AUDITORIA Observaciones de Reunión final la auditoría con el auditado - Documentar todas las observa- Presentar: las observaciones de ciones y determinar las que deben la auditoría a la dirección del considerarse no conformidades. auditado y asegurarse de su - Las no conformidades deben comprensión; las conclusiones referenciar los requisitos que se del equipo auditor relativas al SC. Incumplen. -Levantar acta de esta reunión. Reunión inicial 34
¿Cómo auditar? Informe de la Auditoría n n Es responsabilidad del auditor jefe. El informe tiene por objeto exponer los hechos, no analizar las causas, ni recomendar acciones correctoras. En caso de duda sobre alguna situación auditada, no considerarla. Debe contener: objetivo y alcance de la auditoría, observaciones de no conformidad, capacidad del SC para alcanzar los objetivos definidos, lista de distribución del informe. . . 35
El auditor debe tener Comportamiento del auditor n n n Procurar buen aspecto; el lenguaje debe ser simple, preciso y adaptado al interlocutor. Generalmente el auditor debe escuchar y mantener un tono de cooperación. Para estudiar una situación, usar las tradicionales: ¿qué? ¿cómo? ¿dónde? . . . n Recomendaciones practicas n n Retener solo los hechos. No tener en cuenta rumores o suposiciones. Tener en todo momento el control de la auditoría. Preguntar y escuchar, no discutir. Adaptarse a la situación y al auditado. Examinar en detalle la documentación. 36
La auditoria informática n n n n El auditor informático pasa a ser auditor y consultor del ente empresarial, en el que va a ser analista, auditor y asesor en: Seguridad Control interno operativo Eficiencia y eficacia Tecnología informática Continuidad de operaciones Gestión de riesgos 37
Elementos del Plan de Auditoria Informática n n n n Establecer Objetivos y alcances Obtener información de apoyo sobre las actividades que se auditan Comunicación con los involucrados Determinación de actividades a auditar Cuando serán auditadas Tiempo estimado de la auditoria A quien se le comunicarán los resultados 38
n n n n Elementos del Plan de Auditoria Informática Inspección física (Plano físico, ubicación y características del hardware, ubicación y características del software y personal que labora en este) Identificar el área o áreas Identificar actividades Identificar controles actuales Elaborar el programa de Auditoria Informática (Micro. Soft Project) Evaluación administrativa del área de procesos electrónicos Evaluación de los sistemas y procedimientos Evaluación de los equipos de cómputo Evaluación del proceso de datos (software, hardware, redes, BDs, y comunicaciones) Evaluación de la Seguridad y confiabilidad de la información Evaluación de los aspectos legales de los sistemas de información Recomendaciones Conclusiones Anexos 39
n n Ubicación jerárquica de la función de informática. La alta dirección de cualquier organización tiene que estar consciente de que la función de auditoría se debe ejercer con el criterio básico de independencia personal jerárquica, es decir, que el desempeño de las actividades profesionales en el proceso de evaluación y control no debe verse afectado por aspectos emocionales ni de autoridad emanados de los responsables e involucrados en el momento de la auditoría. La ubicación jerárquica trata de ubicar la función de auditoría en informática en un nivel organizacional que le asegure la independencia y soporte requerido de la alta dirección, a fin de contar con una entidad confiable y eficiente. 40
Tipos de estructuras donde se ubica la auditoría en informática. n n n n La auditoría en informática se debe considerar en un alto nivel organizacional, de igual manera que cualquier otra rama de la auditoría tradicional. La ubicación deseable es subordinada jerárquicamente a una dirección o subdirección, ya sea una dirección administrativa o de informática. El objetivo primordial para la alta dirección del negocio es asegurar que el desempeño de las actividades de auditoría en informática se ejecuten oportuna y eficientemente, de manera que se logre que los auditores cuenten con: Independencia funcional. Libertad de acción. Facultad para la toma de decisiones Negociación con los niveles gerenciales Involucramiento en proyectos de alto impacto en el negocio 41
Funciones de la auditoría en informática. n n Evaluación y verificación de los controles y procedimientos relacionados con la función de informática dentro de la organización. La validación de los controles y procedimientos utilizados para el aseguramiento permanente del uso eficiente de los sistemas de información computarizados y de los recursos de informática dentro de la organización. a) Evaluación, verificación e implantación oportuna de los controles y procedimientos que se requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática. b) Aseguramiento permanente de la existencia y cumplimiento de los controles y procedimientos que regulan las actividades y utilización de los recursos de informática de acuerdo con las políticas de la organización. 42
Funciones de la auditoría en informática. n n n c) Desarrollar la auditoría en informática conforme normas y políticas estandarizadas a nivel nacional e internacional. d) Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la alta dirección del negocio. e) Elaborar un plan de auditoria en informática en los plazos determinados por el responsable de la función. f) Obtener la aprobación formal de los proyectos del plan y difundidos entre los involucrados para su compromiso. g) Administrar o ejecutar de manera eficiente los proyectos contemplados en el plan de la auditoría en informática. 43
Metodología para la realización de la auditoría de la función de informática. n n n n Estudio inicial. -Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Organización: Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. 3) Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama. 4) Revisión de Flujos de información. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización. 44
Philippe dreyfus 1962
Informtica
Informtica
Auditoria aiep
Fundamentos de auditoria
Supuestos teoricos del conductismo
Codigo de etica psicopedagogo
Fundamentos del comportamiento
Mapa conceptual de los frentes geopoliticos de venezuela
Fundamentos de la administracion de recursos humanos
Fuentes del curriculo
Fundamentos ecologicos
Fundamentos de la inteligencia emocional
Tipos de variables en pseint
Fundamentos de pruebas de software
Fundamentos basicos y tecnicos del voleibol
Fundamentos de economia
Fundamentos biblicos de la doctrina social de la iglesia
Fundamentos de las pruebas de software
índice del baloncesto
Fundamentos del futbol
Etica y cristianismo
Fundamentos de handebol
Fundamentos da linguagem visual
Fundamentos de redes de computadores
Voleibol fundamentos e regras
Dr paulo thomaz
Los fundamentos de handball
Fundamentos de los sistemas operativos
Fundamentos de la contabilidad gubernamental
Fundamentos de javascript
Fundamentos de arquitectura de computadoras
Fundamentos del ping pong
Fundamentos basicos en salud
Gilberto cotrim mirna fernandes fundamentos de filosofia
Fundamentos de engenharia de software
Fundamentos del software libre
Fundamentos sistemas operativos
Fundamentos del diseño estructura
Los de
Fundamentos de la poo
Fundamentos legales de la geopolitica venezolana
Fundamentos de composicion
Conductismo constructivismo
Fundamentos conceituais do teatro
