AUDITORIA COMPUTACIONAL. Conceptos y Definiciones

Transcripción

1 AUDITORIA COMPUTACIONAL Conceptos y Definiciones Prof. Víctor Valenzuela Ruz 2.1 Definición La Auditoría es un proceso mediante el cual el auditor obtiene evidencias que le permiten formarse una opinión acerca de la responsabilidad de la información elaborada. La Auditoría de Sistemas es la revisión y la evaluación de: los controles, sistemas, procedimientos de informática los equipos de cómputo, su utilización, eficiencia y seguridad la organización que participan en el procesamiento de la información. Víctor Valenzuela R. Auditoría Computacional 2 1

2 2.1 Definición (cont( cont.) Debe evaluar los sistemas de información, en general, desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Es de vital importancia para el buen desempeño de los sistemas de información, que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además, debe evaluar todo (informática, organización, hardware y software). Víctor Valenzuela R. Auditoría Computacional Objetivos Los principales objetivos de la auditoría de sistemas son: Control de la función informática Análisis de eficiencia de los sistemas informáticos Verificación del cumplimiento de normativas Revisión de la eficaz gestión de recursos Dos puntos de vistas: Enfoque Administrativo Enfoque Técnico Víctor Valenzuela R. Auditoría Computacional 4 2

3 a) Enfoque Administrativo Garantizar la compatibilidad de los sistemas con la alta administración Implantar controles adecuados. Administrar efectivamente el ciclo de desarrollo. Garantizar que cada uno uno tenga solo la información que necesita. Asegurar la existencia de pistas (para apoyar el diagnóstico) Lograr un equilibrio de la relación beneficio/costo. Víctor Valenzuela R. Auditoría Computacional 5 b) Enfoque Técnico Comprobar la fiabilidad de la herramienta informática y la utilización que se hace de la misma. Aspectos que se tiene en cuenta: Documentación Fallas de software Diversidad El Factor humano El Factor económico Víctor Valenzuela R. Auditoría Computacional 6 3

4 2.3 El Auditor Auditor: del latín Auditorium: el que tiene la virtud de oír. Quien oye y revisa con el objetivo de evaluar la eficacia y la eficiencia con que se está operando, para que por medio del señalamiento de acciones alternativas (como aplicar controles), se tomen decisiones que permitan corregir los errores en caso de existir, o bien la forma de actuar. Víctor Valenzuela R. Auditoría Computacional El Auditor (cont( cont.) El auditor ejercita un juicio crítico profesional. El auditor tiene que ejercer su trabajo en medio de diferentes comportamientos administrativos: Reactivo: actúa sobre lo que pasó. Activo: va al día con lo que sucede. Proactivo: hace que las cosas pasen. Víctor Valenzuela R. Auditoría Computacional 8 4

5 2.4 Perfil del Auditor de Sistemas Formación técnica, universitaria o equiv. Experiencia en estudios de auditoría. Conocimientos profundos de computación, sólida experiencia en análisis, diseño y programación de sistemas computacionales, y conocimientos de sistemas operativos. Análisis y codificación de programas de auditorías. Constancia, flexibilidad y características personales de perfeccionamiento. Víctor Valenzuela R. Auditoría Computacional Justificación de la Auditoría Aumento de delitos por computador. Mayor inversión en CPD Nuevos servicios de información Aumento de activos controlados por el computador. Incremento en los riesgos de pérdidas. Incremento del volumen de operación. Cambios violentos en las normativas. Información Gerencial Víctor Valenzuela R. Auditoría Computacional 10 5

6 2.6 Proceso de Auditoría EVALUAR CONTROL INTERNO Conocer sus características y determinar su calidad PLANIFICAR Definir la forma de revisar OBTENER EVIDENCIA Aplicar los procedimientos de auditoría que sean necesarios Víctor Valenzuela R. Auditoría Computacional Tipos de Auditoría Existen dos tipos de auditorías: Auditoría Interna Auditoría Externa La auditoría Interna es la realizada con recursos materiales y humanos que pertenecen a la empresa auditada. Existe por expresa decisión de la empresa. Víctor Valenzuela R. Auditoría Computacional 12 6

7 La auditoría externa es realizada por personas afines a la empresa auditada. Se presupone una mayor objetividad que en la de la auditoría interna debido al distanciamiento entre auditores y auditados. La auditoría interna tiene la ventaja de que puede actuar periódicamente realizando revisiones globales, como parte de su plan anual y de su actividad normal Víctor Valenzuela R. Auditoría Computacional Controles Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización. Víctor Valenzuela R. Auditoría Computacional 14 7

8 Definición: Controles son todos aquellos mecanismos existentes dentro del sistema y de la organización, que tienen como objetivo asegurar la veracidad e integridad de la información que maneja el sistema. Existen tres tipos de controles: Controles Generales Controles de Aplicación Controles Especiales Víctor Valenzuela R. Auditoría Computacional Controles Generales Definición: Son los que se realizan para asegurar que la organización y sistemas operen en forma normal. Ejemplos: Separación de funciones Acceso y Seguridad Procedimientos escritos Controles sobre software de sistemas Control sobre la continuidad del procesamiento Control sobre el desarrollo y modificación de sistemas Víctor Valenzuela R. Auditoría Computacional 16 8

9 2.8.2 Controles de Aplicación Definición: Son los que se realizan para asegurar la exactitud, integridad y validez de la información procesada. Ejemplos: Control sobre los datos de entrada Control sobre los datos constantes o fijos Control sobre el procesamiento Control sobre los datos rechazados Control sobre los datos de salida Víctor Valenzuela R. Auditoría Computacional Controles Especiales Definición: Son los que se realizan para asegurar la integridad, seguridad y aspectos operacionales. Ejemplos: Control sobre la entrada de datos en línea Procedimientos de recuperación y reenganche en sistemas en línea Control sobre la modificación de programas Control sobre el procesamiento distribuido Control sobre sistemas integrados Control sobre bases de datos Víctor Valenzuela R. Auditoría Computacional 18 9

10 2.9 Asignación Recursos Los recursos requeridos para el desarrollo de la función de Auditoría Computacional se dividen en: Recursos Humanos Recursos Tecnológicos Los recursos humanos se reflejan en el auditor computacional y los tecnológicos en el hardware, software y técnicas de auditoría que este profesional necesita para cumplir su función. Víctor Valenzuela R. Auditoría Computacional Problemas Principales No siempre es fácil de implementar la función de auditoría computacional. Existen dos grandes problemas que dificultan su implementación: a) Relacionados con el personal b) Relacionados con la empresa Víctor Valenzuela R. Auditoría Computacional 20 10

11 Relacionados con el Personal Los reportes del auditor son negativos. El auditor es la policía. Los requerimientos de control no son realistas. El auditor carece de experiencia. El auditor es demasiado simplista, todo es fácil para él. Cuesta entablar una comunicación adecuada. Los controles propuestos son costosos. Víctor Valenzuela R. Auditoría Computacional Relacionados con la Empresa Documentación inadecuada de los sistemas y programas. Falta de procedimientos. Ausencia de conceptos de seguridad yo control de información. Asignación de recursos, presupuesto restringido. Problemas técnicos en el CPD. Planificación inadecuada. Apoyo poco comprometido de los niveles gerenciales. Técnicas y herramientas inadecuadas para efectuar auditoría. Problemas internos entre auditoría tradicional y auditoría computacional. Víctor Valenzuela R. Auditoría Computacional 22 11