sábado, 4 de junio de 2011

PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA AUDITORÍA DE SISTEMAS COMPUTACIONALES

En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo primario del auditor es evaluar la suficiencia de los controles internos, el objetivo del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían compartir el deseo de ver que se logran los objetivos de cada uno.


PARTICIPACION DEL AUDITOR 

Aún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debe velar porque se establezcan todos los controles de aplicación. Su principal función es asegurar que los sistemas, recientemente implantados incluyan características de control sólidas y confiables. En términos generales es ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos importantes.

El auditor participa en el proceso de desarrollo de sistemas revisando la documentación generada como producto final de ciertas actividades de desarrollo de sistemas. 

En estas actividades su interés se concentrará primordialmente en el desarrollo e implantación de controles de aplicación adecuados. El auditor necesita reconocer que su participación durante el desarrollo de los sistemas puede amenazar su independencia y deberá tomar medidas para evitar esta pérdida. Estas medidas incluyen:

* Permanecer organizacionalmente independiente del grupo de sistema. Esto significa que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema  y no le quita la dirección del proyecto al gerente del grupo del proyecto.

* Redactar los informes independientemente del grupo del proyecto. Las opiniones del auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en los informes de status del proyecto puesto que el emisor de los informes (usualmente el gerente del grupo del proyecto) tiene autoridad editorial para modificar las declaraciones del auditor. 

* Investigar independientemente del grupo del proyecto. El grupo del proyecto puede estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene libre acceso a la información y al personal de la organización. 

PROGRAMA DE TRABAJO 

1. Establecer el planeamiento preliminar del trabajo de auditoría: En este primer paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar. 

2. Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del ciclo de vida del sistema, una vez que ha sido identificado. Los auditores de sistema necesitan participar en el proceso de desarrollo de los sistemas para garantizar que los nuevos sistemas de información diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización donde se involucra el auditor son: El auditor debe tener un grado de participación mediante un acuerdo y revisión de las fases. 

3. Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posición y los items que requieren solución y lo envía o remite al siguiente nivel superior gerencial. 

4. Revisión: Los productos tangibles son presentados para información solamente; pueden hacerse comentarios pero ellos no son decisivos. 

5. Revisión de Productos Finales: Acordar y revisar las actividades y el producto final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe revisar que las firmas de aprobación para todos los productos tangibles están plasmadas en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles de trabajo con el propósito de evidenciar y documentar los resultados de la investigación del proyecto y que sirvan como material de referencia para esfuerzos futuros. 

6. Identificar las fuentes de información para las revisiones y/o pruebas de auditoría: Este paso incluye la identificación de las fuentes de información que se requieren en los procesos de prueba y revisión. Las fuentes de información proveen los medios para la revisión y documentación de las actividades de auditoría y verificación  de controles. 



Publicado por en No hay comentarios:

TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS COMPUTACIONALES

En la auditoria de sistemas computacionales se utilizan una serie de herramientas tradicionales de auditoría, así como técnicas de valoración que permite hacer una evaluación más eficiente de los sistemas computacionales. Estas técnicas, métodos, procedimientos o herramientas son: 

EXAMEN: Consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente en una empresa, es utilizado para evaluar los registros, planes, presupuestos, programas, controles y todo lo demás aspectos que afectan la administración y control de una empresa o de las áreas que la integran.

INSPECCION: La inspección en sistemas computacionales es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evaluar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones; también tiene como propósito monitorear el desarrollo cotidiano de las funciones, actividades y operaciones normales de las empresa, para evaluar y si es necesario, corregir su desarrollo beneficio.

CONFIRMACION: Es uno de los aspectos fundamentales para la credibilidad de una auditoria es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión; ya que el resultado final de una auditoria es la emisión de un dictamen en el que el auditor vierte sus opiniones, la característica fundamental de una auditoria, cualquiera que sea su tipo, es la autenticidad con la que el auditor emite sus opiniones, sean a favor o en contra. 

COMPARACION: Esta debe ser aplicada de acuerdo a las necesidades y características especificas del área de sistemas o del propio sistemas que va a ser auditado. Con la comparación de información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas.

REVISION DOCUMENTAL: Es la forma más importante de evaluar a las empresas; además no solo sirve para aplicaciones en una auditoria tradicional, sino también como un importante apoyo en los diferentes tipo de auditoría de sistemas computacionales; claro esta adoptándola a las características especificas de evaluación de los sistemas computacionales. 

ACTA TESTIMONIAL: La importancia de este radica en que con su uso se pueden evidenciar pruebas fehacientes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto relacionado con la desaparición de algún bien de la empresa, para fincar responsabilidades por deficiencia en las actividades de la empresa; aunque puede ser levantada en cualquier otra incidencia de las actividades cotidiana de una empresa. 

MATRIZ DE EVALUACION: Es uno de los documentos de recopilación más versátiles y de mayor utilidad para el auditor de sistemas computacionales, debido a que a través de esta es posible recopilar una gran cantidad de información relacionada con las actividades realizadas en esta área de informática, esta herramienta consiste en una matriz de seis columnas de las cuales la primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente). 

MATRIZ DOFA: es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior.
Publicado por en No hay comentarios:

INFORMES DE AUDITORIA

Objetivos

Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe se compone de los siguientes pasos. 

  1. Aplicar instrumentos de recopilación 
  2. Registrar el formato de situaciones encontrada. 
  3. Comentar las situaciones encontrada con los auditados. 
  4. Analizar, depurar y corregir las desviaciones encontradas. 
  5. Presentar informe y dictamen final a los directivos de la empresa. 
  6. Comentar las situaciones encontrada con los auditados. 

Elaboración del informe final y el dictamen del auditor: En ese informe el auditor solo debe incluir lo más relevante de la evaluación, incluyendo su opinión. En este informe es que denota la importancia de su actividad al señalar en qué situación estaba la empresa o departamento antes de la evaluación por los auditores. El informe es algo práctico y corto, cabe aclarar que la razón de plasmar este informe en tan poco espacio es que los directivos de una empresa, por lo general, tienen poco conocimiento del el lenguaje que se maneja en los sistema computacionales. 

Características fundamentales: Se pueden identificar dos características fundamentales en los informes de auditoría en los sistemas computacionales los cuales siempre se refieren al contenido del informe y la forma de presentarlo. Dichas características son la siguiente: 

Características de fondo: Se refiere al cuidado que debe tener el auditor de sistema al revisar que el contenido total del dictamen de auditoría sea acorde con lo que realmente tiene que señalar acerca de la revisión afectada, refiriéndose exclusivamente al contenido del informe. Para esto tiene que tener en cuenta diversos aspectos los como que el documento sea veraz, confiable, oportuno, objetivo, claro, completo y que el lector de dicho dictamen o resumen sea pueda entender con facilidad dicho informe. 

Características de forma: Estas características se refieren a la manera en que el auditor debe presentar el informe en cuanto al estilo de redacción, el contenido en partes, apartados, apéndices, tipo y tamaño de las hojas y el tipo de letra; también en lo relativo en la forma de utilizar la redacción, ortografía, sintaxis, gramática y demás componentes del lenguaje y todo lo relacionado con la presentación del documento. 

Características de la presentación del informe: Otras de las características más importantes de un informe de auditoría de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe; para lograr mejores resultados en la elaboración del citado informe, el auditor debe tomar en cuenta las características que proponemos a continuación: Claridad, efectividad, Confiabilidad, positividad, Propiedad, sintaxis, Concisión, Sencillez, Asertividad, Exactitud, Familiaridad y Veracidad.

Publicado por en No hay comentarios:

PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS COMPUTACIONES

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.

Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.


Tipos de papeles de trabajo. 

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos: 

  • Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. 
  • Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.
  • Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro. 
Publicado por en 1 comentario:

METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES

Se pueden desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizar la auditoria de información: 


Inventario físico
Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado. 

Masificación de la información (Infomap). Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc.

Análisis de las necesidades de información 
Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos.
Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información. 

Procesos de control y verificación
En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información. En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo


Publicado por en No hay comentarios:

NORMAS INTERNACIONALES DE AUDITORIA

     A continuación se enuncian algunas de las normas que el auditor de sistemas de información debe conocer. El ajustarse a estas normas no es obligatorio, pero el auditor de sistemas de información debe estar preparado para justificar cualquier incumplimiento a éstas. 

    Normas Internacionales de Auditoría emitidas por IFAC (International Federation of Accountants) en la NIA (Norma Internacional de Auditoría o International Standards on Auditing, ISA) 15 y 16, donde se establece la necesidad de utilizar otras técnicas además de las manuales. 

       Norma ISA 401, sobre Sistemas de Información por Computadora. SAS No. 94 (The Effect of Information Technology on the Auditor's Consideration of Internal Control in a Financial Statement audit) dice que en una organización que usa Tecnologías de Información, se puede ver afectada en uno de los siguientes cinco componentes del control interno: el ambiente de control, evaluación de riesgos, actividades de control, información, comunicación y monitoreo además de la forma en que se inicializan, registran, procesan y reporta las transacciones. 

      La norma SAP 1009 (Statement of Auditing Practice) denominada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoría Asistidas por Computador, plantea la importancia del uso de CAAT en auditorías en un entorno de sistemas de información por computadora. 

      SAP 1009 los define como programas de computadora y datos que el auditor usa como parte de los procedimientos de auditoría para procesar datos de significancia en un sistema de información. 

SAP 1009 describe los procedimientos de auditoría en que pueden ser usados los CAAT:
  1.  Pruebas de detalles de transacciones y balances (recálculos de intereses, extracción de ventas por encima de cierto valor, etc.) 
  2.  Procedimientos analíticos, por ejemplo identificación de inconsistencias o fluctuaciones significativas. 
  3. Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones. 
  4. Programas de muestreo para extraer datos. 
  5. Pruebas de control en aplicaciones. 
  6. Recálculos.
Publicado por en No hay comentarios:

CONTROLES INTERNOS

     Las políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir riesgos también son conocidas como controles internos. 

    Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzarán los objetivos de negocio de una organización y que los eventos de riesgo no deseados serán evitados o detectados y corregidos, ya sea por cumplimiento o por una iniciativa de la dirección. El control es el medio por el cual se alcanzan los objetivos de control.


OBJETIVOS DEL CONTROL INTERNO 

Los objetivos de control interno son declaraciones del resultado deseado o del propósito a ser alcanzado con la implementación de procedimientos de control en una actividad particular. En otras palabras, control es el medio por el cual se alcanzan los objetivos de control. Estos generalmente incluyen los siguientes: 

Controles internos contables: Principalmente dirigidos a las operaciones contables tales como la salvaguarda de activos y la confiabilidad de los registros financieros. 

Controles operativos: Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la operación esté alcanzando los objetivos de negocio. 

Controles Administrativos: Se ocupan de la eficiencia operativa de un área funcional y la adherencia a las políticas de la dirección incluyendo controles operativos. 

Estos tipos de control incluyen aquellos controles relacionados con el entorno tecnológico. Los objetivos de control incluyen: 

  • Salvaguarda de los activos de tecnología de información 
  • Cumplimiento con las políticas corporativas o requerimientos legales 
  • Autorización/introducción de información 
  • Exactitud e integridad del procesamiento de transacciones 
  • Salida de información 
  • Confiabilidad de los procesos 
  • Respaldo y recuperación 
  • Eficiencia y economía de las operaciones 

OBJETIVOS DE CONTROL DE LOS SISTEMAS DE INFORMACION 

Los objetivos de control interno se aplican a todas las áreas, ya sean manuales o automatizadas. Por lo tanto, los objetivos de control interno deben ser encarados en una forma específica para los procesos con SI. 

Los objetivos de control de SI incluyen: 

Salvaguarda de Activos: La información en los sistemas automatizados está protegida contra accesos inadecuados y se la mantiene actualizada. 

Asegurar la integridad de los ambientes de sistemas operativos en general: 
incluyendo la administración y operaciones de la red. 

Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos, incluyendo información contable/financiera y gerencial a través de: 

  • Autorización para el ingreso de datos 
  • Exactitud e integridad del procesamiento de transacciones 
  • Confiabilidad de las actividades de procesamiento 
  • Exactitud, integridad y seguridad de la información de salida 
  • Integridad de la base de datos
Publicado por en No hay comentarios:

ANALISIS DE RIESGOS


El análisis de riesgos es parte de la planeación de auditoría y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlos.

Entender la relación entre riesgo y control es importante para los profesionales de auditoría de SI y de control, al evaluar los procesos de negocio relacionados con TI utilizados por una organización.

Además de un entendimiento de los riesgos y los controles de negocio, los auditores de SI deben entender que existe riesgo dentro del proceso de auditoría como tal.

     Existen muchas definiciones de riesgo, lo que quiere decir que riesgo significa cosas distintas para diferentes personas. En general, un riesgo es cualquier evento que puede afectar de manera negativa el logro de los objetivos de un negocio. Tal vez una de las definiciones de riesgo más comunes en el negocio de seguridad de información es la provista por las Directrices para la Administración de Seguridad de TI publicada por la ISO: 

     “El potencial de que una amenaza potencial explote las vulnerabilidades de un activo o grupo de activos ocasionando perdida o daño de los activos. El impacto o relativa severidad del riesgo es proporcional al valor para el negocio de la pérdida o daño y a la frecuencia estimada de la amenaza” 

    Esta definición es usada por la industria de TI ya que coloca al riesgo en un contexto organizacional usando los conceptos de activos y pérdida de valor – términos que los directivos del negocio comprenden fácilmente.
Publicado por en No hay comentarios:

PROCESO DE AUDITORIA

     En este punto se describen la regulación de las mejores prácticas de Auditoría en Informática como administrar los riesgos en tecnología Informática, la auditoría en base a los organismos nacionales e internacionales.

Institute of System Audit and Association, ISACA
     La Information Systems Audit and Control Association –Asociación de Auditoría y Control de Sistemas de Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association –Asociación de Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI. 

     Actualmente, los miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan por su diversidad ya que están presentes en más de 100 países y cubren una variedad de puestos profesionales relacionados con TI, como son los Auditores de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores, Directores Ejecutivos de Información y Auditores Internos, por mencionar sólo algunos.

Certified Information Security Auditor, CISA
   La Asociación de Auditoría y Control de Sistemas de Información (ISACA) provee una Certificación en Auditor en Sistemas de Información (CISA), por medio de un examen anual que realiza el Instituto a los candidatos, el cual cubre el conocimiento de actividades requeridas para la función de Auditoría en TI, para lo cual presenta un Manual de Información Técnica para la preparación de los candidatos. 

     La certificación de CISA (Certified Information Systems Auditor) es otorgada por la (ISACA), desde 1978 y es considerada en la actualidad como un reconocimiento de que se cuenta con los conocimientos teóricos y prácticos necesarios para desempeñarse como Auditor de Sistemas siguiendo los estándares y directrices definidos para una mejor preparación.


Certified Information Security Manager, CISM 

   También ISACA provee la Certificación para la Administración de la Seguridad de la Información del cual intenta garantizar que existan administradores de seguridad de TI que tengan los conocimientos necesarios para reducir el riesgo y proteger a la organización. 

     La certificación CISM está diseñada para dar la certeza de que los individuos certificados tengan los conocimientos para ofrecer una eficaz administración y consultoría de seguridad. 

   Está orientada a profesionales que administran la seguridad de la información en una organización y tienen el conocimiento y la experiencia para montar, implementar y dirigir una estructura de seguridad para administrar el riesgo con eficacia y tienen la responsabilidad de entender la relación entre las necesidades comerciales y la seguridad de TI. 

     Para obtener esta certificación, los profesionales deben aprobar el examen, adherirse a un código ético y presentar pruebas verificadas de que tienen una experiencia laboral de cinco años en seguridad de la información.


Instituto Mexicano de Auditores Internos, IMAI

     El Instituto Mexicano de Auditores Internos, A.C. (IMAI) fue constituido en 1984, está dedicado a la capacitación e investigación en de Auditoría Interna y Control.

     A través del IMAI los profesionales de la auditoría interna permanecen actualizados para cumplir con las responsabilidades que tienen a su cargo en diferentes sectores de la industria, el comercio y los servicios, tanto en el sector público como privado y social.


Institute of Internal Auditors, IIA 

     El Institute of Internal Auditors (IIA) –organización profesional con sede en Estados Unidos, con más de 70.000 miembros en todo el mundo y 60 años de existencia– anualmente organiza su Conferencia Internacional, la que habitualmente congrega a más de un millar de auditores de todos los continentes. 

     EI IIA es reconocido mundialmente como una autoridad, pues es el principal educador y el líder en la certificación, la investigación y la guía tecnológica en la profesión de la audítoría interna.


Certified Internal Auditor, CIA 

     El IIA cuenta con su propia Certificación de Auditores Internos CIA, la cual se da tanto a proveedores de estos servicios. 

    Contar con profesionales certificados en auditoría interna, para la organización significa contar con un valioso recurso para la dirección y el consejo de administración, que ayuda a garantizar el avance en la dirección correcta para el logro de sus metas y objetivos. La certificación como auditor interno la otorga el Institute of Internal Auditors que es una asociación internacional de profesionales especialistas en auditoría interna, administración de riesgos, gobierno corporativo. control interno, auditoría a tecnología de información, educación y seguridad.

Publicado por en No hay comentarios:

Herramientas y Técnicas para la Auditoría Informática

Cuestionarios
      Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.



Entrevistas
     El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:

1. Mediante la petición de documentación concreta sobre alguna   materia de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios



Checklist
     El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists



Trazas y/o Huellas

Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
Publicado por en No hay comentarios:

Actividades de la Auditoría Informática


Auditoría por temas generales o por áreas específicas:
La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.

Técnicas de Trabajo:
·        Análisis de la información recabada del auditado
·        Análisis de la información propia
·        Cruzamiento de las informaciones anteriores
·        Entrevistas
·        Simulación
·        Muestreos 

Herramientas:
·        Cuestionario general inicial
·        Cuestionario Checklist
·        Estándares
·        Monitores
·        Simuladores (Generadores de datos) ·    
Paquetes de auditoría (Generadores de Programas)
 ·        Matrices de riesgo
Publicado por en No hay comentarios:

Tipos de Auditoria Informática

Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. 

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

  • Prerrequisitos del usuario y del entorno
  • Análisis funcional
  •  Diseño
  •  Análisis orgánico (pre programación y programación)
  •   Pruebas
  •   Explotación


Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada)

Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN)

Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.
Publicado por en No hay comentarios:

Papel Del Auditor Informático

     El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).

     El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes. 
Publicado por en No hay comentarios:

Objetivos Generales de una Auditoría de Sistemas

ü Buscar una mejor relación costo-beneficio de los sistemas automáticos o computarizados diseñados e implantados por el PAD

ü Incrementar la satisfacción de los usuarios de los sistemas computarizados

ü Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.

ü Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.

ü Seguridad de personal, datos, hardware, software e instalaciones

ü Apoyo de función informática a las metas y objetivos de la organización

ü Seguridad, utilidad, confianza, privacidad y disponibilidad en el ambiente informático

ü Minimizar existencias de riesgos en el uso de Tecnología de información

ü Decisiones de inversión y gastos innecesarios

ü Capacitación y educación sobre controles en los Sistemas de Información
Publicado por en No hay comentarios:

Auditoría Interna y Auditoría Externa



   La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento.

   Por otro lado, la auditoría externa es realizada por personas afines a la  empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.

   La auditoría informática interna cuenta con algunas ventajas adicionales muy importantes respecto de la auditoría externa, las cuales no son tan perceptibles como en las auditorías convencionales. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal. Los auditados conocen estos planes y se habitúan a las Auditorías, especialmente cuando las consecuencias de las Recomendaciones habidas benefician su trabajo.

   En una empresa, los responsables de Informática escuchan, orientan e informan sobre las posibilidades técnicas y los costes de tal Sistema. Con voz, pero a menudo sin voto, Informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su Informática y ésta necesita que su propia gestión esté sometida a los mismos Procedimientos y estándares que el resto de aquella. La conjunción de ambas necesidades cristaliza en la figura del auditor interno informático.

   En cuanto a empresas se refiere, solamente las más grandes pueden poseer una Auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la Auditoría Interna de la empresa cuando ésta existe. Finalmente, la propia Informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubicase dentro de la estructura Informática ya no sería independiente. Hoy, ya existen varias organizaciones Informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas. 
Publicado por en No hay comentarios:

Tipos de Auditoría

Existen algunos tipos de auditoría entre las que la Auditoría de Sistemas integra un mundo paralelo pero diferente y  peculiar resaltando su enfoque a la función informática.

Es necesario recalcar como análisis de este cuadro que Auditoría de Sistemas no es lo mismo que Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los siguientes:



Financiera           
Veracidad de estados financieros y preparación de informes de acuerdo a principios contables



                           
Operacional           
Evalúa la eficiencia, Eficacia, Economía de los métodos y procedimientos que rigen un proceso de una empresa



Sistemas               
Se preocupa de la función informática



Fiscal                    
Se dedica a observar el cumplimiento de las leyes fiscales



Administrativa         
Analiza: 
  • Logros de los objetivos de la Administración
  • Desempeño de funciones administrativas



                             
Calidad    
Evalúa: 
  •  Métodos
  •  Medicione
  •  Controles de los bienes y servicios




Social            
Revisa la contribución a la sociedad así como la participación en actividades socialmente orientadas
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)