Auditoría y Mantenimiento de Sistemas I Unidad I - Auditoría: Conceptos básicos

Transcripción

1 Auditoría y Mantenimiento de Sistemas I Unidad I - Auditoría: Conceptos básicos

2 Definición Es un examen crítico que se realiza con el objeto de evaluar la eficiencia y la eficacia de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos. La palabra auditoría proviene del verbo latín audire, que significa escuchar. Eficacia, es lograr los objetivos planteados; mientras que eficiencia es lograr los objetivos planteados con la menor cantidad de recursos posibles.

3 Historia Antiguamente muchos reyes y gente poderosa para mantener sus cuentas en orden daban la tarea de la administración de los recursos a los escribanos. En la época del renacimiento cuándo el préstamo de dinero cobró gran importancia surgió la necesidad de contar con agente externo e imparcial que diera fe de la honradez tanto de los prestamistas como de los prestatarios. Para el año 1862 aparece por primera vez la profesión de auditor y el desarrollo el desarrollo de la auditoría bajo la supervisión de la ley británica de sociedades anónimas.

4 Historia Luego de la segunda guerra mundial surgió una gran cantidad de nuevas tecnologías tanto para fines militares como pacíficos, es por ello que aparecieron empresas contratistas encargadas exclusivamente para ejercer el papel de auditores, y estas fueron contratadas para ejecutar auditorías a dichos proyectos tecnológicos. En el área financiera a finales de los años 70s el Instituto de Auditores Internos publicó unas reglas para auditorías operativas, las cuales son actualizadas y ampliamente utilizadas.

5 Historia Para el año 1987 se creó la norma ISO 9001 que es la primera norma internacional clara sobre la gestión de la calidad. En 1988 el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) publicó la norma 1028 Revisiones y auditorías de software, que proporciona a los responsables de un proyecto las indicaciones para supervisar con minuciosidad e integridad de una actividad, antes de continuar con alguna fase.

6 Características - Sistemática, los resultados surgen de un análisis minucioso, ordenado y planificado por parte del auditor. - Independiente, es difícil que alguien que este involucrado, de manera parcial o total, en lo que se está auditando se pueda evaluar a si mismo de forma objetiva. - Analizar resultados, de acuerdo a los resultados obtenidos se evalúa si las acciones preventivas dispuestas al control de riesgo, su implantación y gestión son eficaces o no. - Objetiva, el auditor no debe avalar sus resultados en apreciaciones subjetivas, suposiciones, etc.

7 Características - Es periódica, las auditorías periódicas deben impedir desajustes entre un sistema y la realidad que pueden ser causados por: cambios en los objetivos, en la organización en los procesos, en el personal, nuevas necesidades o degradación de o los sistemas. - No busca culpables, busca fallos en los sistemas, no en las personas que lo cometieron, ya que, si éstos existieron fue porque el sistema lo permitió.

8 Alcance - Se especifica qué se va auditar. - Se define con precisión el entorno y los limites en que se va a desarrollar la auditoría - Se establecen las normas y procedimientos para la realización de la auditoría.

9 Objetivos En la conceptualización tradicional los objetivos de la auditoría eran tres: - Descubrir fraudes - Descubrir errores de principio - Descubrir errores técnicos Con los avances tecnológicos, progresos de administración y de la aplicación de la teoría general de los sistemas, se ha agregado tres nuevos objetivos: - Determinar si un sistema proporciona datos pertinentes y fiables para la planificación y control - Determinar si un sistema produce resultados aprovechables e inteligibles al usuario - Efectuar sugerencias que permitan mejorar el control interno de la entidad.

10 Delito Informático El delito informático implica incurrir en actividades criminales, que en un primer momento los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos o hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje entre otros. Sin embargo, debe destacarse que la evolución y desarrollo del campo informático ha creado nuevas posibilidades del uso indebido de las computadoras lo que a su vez ha generado la necesidad de regulación a través de leyes. El delito informático implica cualquier actividad ilegal que encuadra en figuras tradicionales ya conocidas como robo, hurto, fraude, falsificación, perjuicio, estafa y sabotaje, pero siempre que involucre la informática de por medio para cometer la ilegalidad.

11 Auditoría a plataformas tecnológicas Permite emitir una opinión respecto al nivel de riegos presente en una plataforma tecnológica (infraestructura y servicios básicos de las tecnologías de la información): - Infraestructura de redes y comunicaciones - Centrales de telefonía - Servidores - Sistemas Operativos - Programas y aplicaciones

12 Auditorías por su lugar de origen: Externa Es la revisión que lleva a cabo una persona u organismo independiente de la empresa y tiene por objeto evaluar el desempeño en las actividades, operaciones y funciones que se ejecutan, además de determinar si los datos de la empresa se ajustan a los resultados financieros reales. El objetivo final es contar con un dictamen externo e imparcial sobre las actividades de toda la empresa, que permitan diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de la empresa.

13 Auditorías por su lugar de origen: Externa Ventajas Trabajo libre de cualquier intervención interna Utilizan técnicas y herramientas probadas en otras empresas (experiencia) Dictámenes tienen carácter vinculante Desventajas Desconocimiento de la empresa Dependencia de la cooperación del auditado Evaluación, alcances y resultados limitado a información recopilada Puede desarrollarse en ambientes hostiles (impuestas) Aumento de costos de tiempo y trabajo adicional para la empresa.

14 Auditorías por su lugar de origen: Interna Es la evaluación que lleva a cabo una persona o grupo que labora en la empresa y tiene por objeto evaluar de forma interna el desempeño de las actividades, operaciones y funciones que se ejecutan, además de determinar si los datos de la empresa se ajustan a los resultados financieros reales. El objetivo final es contar con un dictamen externo e imparcial sobre las actividades de toda la empresa, que permitan diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

15 Auditorías por su lugar de origen: Interna Ventajas Conoce las actividades, operaciones y áreas, revisión profunda e informes valioso. No afecta los costos por ser un recurso interno Informes de carácter interno, directo a las autoridades y ayuda a la toma de decisión Permite detectar problemas y desviaciones a tiempo Desventajas Puede limitar la veracidad, alcance y confiabilidad por intervención interna de autoridades. Pueden existir presiones internas, compromisos o intereses.

16 Cuándo se debe hacer una auditoría? - Cumplir con los procesos de negocio y mejorar su desempeño - Evaluar el estado actual del ambiente de control - Identificar problemas y corregirlos o prevenirlos. - Identificar oportunidades de mejora - Apoyar la revisión y actualización de los procesos de negocio

17 Auditoría Informática Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas informáticos, software, información, redes, instalaciones, comunicaciones, mobiliario, seguridad y todo el entorno computacional, a fin de analizar, evaluar, verificar y recomendar asuntos relativos a la planificación, control, eficacia, seguridad y adecuación del servicio informático en la empresa.

18 Síntomas de la necesidad de una Auditoría Informática 1- Síntomas de descoordinación y desorganización No hay visión clara y conjunta de los objetivos de la informática de la empresa, con los de la propia empresa. Los estándares de productividad se desvían sensiblemente de los promedios conseguidos habitualmente 2- Síntomas de mala imagen e insatisfacción de los usuarios No se atienden las peticiones de cambios de los usuarios No se reparan las averías de hardware no se resuelven incidencias en plazos razonables No se cumplen en todos los casos los plazos de entrega acordados.

19 Síntomas de la necesidad de una Auditoría Informática 3- Síntomas de debilidades económico-financiero - Incremento desmesurado de costos - Necesidad de justificación de inversiones informáticas (la empresa no está absolutamente convencida de tal necesidad y decide contrastar opiniones) - Desviaciones presupuestarias significativas - Determinación de costos y plazos de desarrollo de nuevos proyectos. 4- Síntomas de inseguridad - Seguridad lógica - Seguridad Física - Confidencialidad de los datos - Continuidad del servicio: Estrategias de continuidad entre fallos mediante planes de contingencia totales y locales - Centro de proceso de datos fuera de control.

20 Referencias