GABINETE DE AUDITORIA DE SISTEMAS

Transcripción

1 UNIVERSIDAD MAYOR DE SAN ANDRES FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS CARRERA DE CONTADURÍA PÚBLICA GABINETE DE AUDITORIA DE SISTEMAS M. Sc. Miguel Cotaña Mier Lp, Septiembre

2 MODULO IV 4.1. Conceptos básicos 2

3 INFORMATICA Es la ciencia que estudia el tratamiento automático y racional de la información. 3

4 La tecnología informática, traducida en hardware, software, sistemas de información, redes, bases de datos, telecomunicaciones, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios. 4

5 La informática, es el campo que se encarga del estudio y aplicación práctica de la tecnología, modelos de proceso, métodos, técnicas y herramientas relacionadas con los ordenadores y el manejo de la información por medios electrónicos. Es garantía de confiabilidad, oportunidad, integridad y veracidad. 5

6 AUDITORIA Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto que es sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas. 6

7 AUDITORIA por su alcance VERTICAL Controles mínimos: Es empírico con controles simples y sin procedimientos escritos ni formales; Procedimientos empíricos: Existen documentos internos y métodos empíricos para detectar fallas o errores; Procedimientos técnicos: Se basan en estándares generalmente aceptados; Procedimientos de fiabilidad: Probabilidad de que un sistema funcionará como se espera en un periodo, dadas ciertas 7 condiciones.

8 AUDITORIA por su alcance HORIZONTAL Seguridad física: Cuida y protege bienes de la organización; Seguridad de datos: Protege datos e información de la organización, garantiza su integridad y exactitud; Seguridad de procedimientos: garantiza que el personal se adhiere totalmente a las normas y procedimientos establecidos. 8

9 Pasos de la Auditoria El auditor de sistemas informáticos debe considerar 3 pasos, antes de llevar adelante el trabajo de revisión: 1. Planificar y Ejecutar: un enfoque de auditoria que responda de manera adecuada a los riesgos presentes en los SI automatizados; 9

10 La planificación de la auditoria contempla 3 etapas: Planificación 10

11 ESTRATEGIA Identificar el negocio principal; Riesgos inherentes; Conocer ambiente SI de la entidad; Conocer estructura; Conocer el ambiente de control; Leer material de antecedentes (informes de análisis y anuales). Trabajar en módulos; Planificar por áreas funcionales y asignar responsabilidades a grupos de trabajo; Entrevistar a los gerentes claves para entender los problemas del negocio. 11

12 PLANIFICACION Realizar una planificación a corto y largo plazo de auditoria a un área funcional; Considerar factores de riesgo inherente y de control y agregar valor; Obtener información adicional de riesgos en Hw, Sw y Recursos Humanos; 12

13 Entender la misión, visión, objetivos, procesos de negocio; Identificar políticas, estándares, procedimientos y estructura de la organización; Llevar a cabo una revisión del control interno; Establecer el alcance y los objetivos de la auditoria; Asignar recursos de personal a la auditoria y considerar los compromisos logísticos. 13

14 PROGAMAS DE TRABAJO En función del análisis e información requerida se definen el conjunto de: Actividades; Acciones y Tareas. que serán aplicados y se elaboran los programas de trabajo. 14

15 2. Conocimiento de la TI: tener conocimiento necesario y suficiente en TIC s, NTIC s y concentrarse en aquellos aspectos que puedan ser relevantes desde la perspectiva de la auditoria y de los procesos de negocio de la organización; 3. Identificar expectativas: del área funcional auditada respecto al servicio que será prestado. 15

16 La informática es utilizada en todo proceso contable; Es un nuevo condicionante para el auditor: ha de trabajar ante y con elementos de TI; Los libros o soporte de los documentos financieros se encuentran materializados en los archivos electrónicos; 16

17 El auditor financiero (AF) ve alterado el objeto de su actividad. Ahora esta en soporte magnético; La auditoria financiera sigue siendo auditoria y financiera, con la diferencia de que en su objeto, el mismo de siempre, es decir, en la información financiera, se ha introducido la TI; 17

18 El AF, puede acceder directamente a los archivos electrónicos y proceder a su análisis de forma tambien electrónica; El AF, ha de aplicar procedimientos que utilizan técnicas asistidas por computador; El AF, utilizando medios electrónicos incrementa en velocidad, eficiencia y seguridad; El AF, en la ejecución de su trabajo destacan la inspección, observación, averiguación, confirmación, calculo y análisis. 18

19 AUDITORIA INFORMATICA Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos y utiliza los recursos en forma eficiente. Mario G. Piattini 19

20 FUNCIONES DEL AUDITOR INFORMATICO Evalúa y comprueba los controles y procedimientos informáticos, desarrollando y aplicando técnicas de auditoria, incluyendo el uso de software. En muchos casos ya no es posible verificar manualmente, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador. Es responsable de revisar e informar a la alta Dirección, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad 20 de la información suministrada.

21 Participar en las revisiones durante y después del análisis, diseño, realización, implantación y explotación; Revisar y juzgar los controles implantados, para verificar cumplimiento de la alta gerencia; Revisar y emitir opinión sobre el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información. 21

22 AUDITORIA DE SISTEMAS Es el proceso de evaluar la eficiencia y eficacia del área de: Procesamiento Automático de Datos; Utilización correcta de recursos; Desarrollo de sistemas; Infraestructura; Telecomunicaciones. 22

23 El A.S.I., tiene la capacidad de definir el marco de trabajo, acciones y tareas y los procesos, métodos y herramientas que serán necesarias para la realización de la auditoria de manera óptima y cumpliendo las normas de auditoria de sistemas y el Código de Ética Profesional. 23

24 En función a los relevamientos iniciales y considerando el objetivo de la revisión, los riesgos identificados y los controles existentes, el ASI, podrá definir el tipo y las pruebas a aplicar, así como las características de la evidencia necesaria que sustente el trabajo realizado. 24

25 OBJETIVOS DE LA A.S.I. Buscar una mejor relación costo-beneficio de los sistemas computarizados diseñados e implementados por el PAD; Incrementar la satisfacción de los usuarios; Asegurar una mayor integridad, confiabilidad y confidencialidad de la información mediante la recomendación de seguridades y controles; Seguridad de personal, datos, hardware, software e instalaciones; 25

26 Minimizar existencias de riesgos en el uso de tecnologías de información; Orientar en decisiones de inversión y gastos innecesarios; Aplicación correcta de modelos de control; Capacitación y educación sobre controles en los sistemas de información. 26

27 JUSTIFICATIVOS PARA EFECTUAR A.S.I. Aumento considerable e injustificado del presupuesto del PAD; Falta total o parcial de seguridades físicas y lógicas que garanticen la integridad del personal, equipos e información; Descubrimiento de fraudes efectuados con el ordenador; Falta de una planificación informática; 27

28 Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del recurso humano; Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados; Falta de documentación o documentación incompleta de sistemas para mantenimiento. 28

29 El trabajo de auditores se enmarcan: Responsabilidad; Autoridad; Independencia; Relacion organizacional; Etica Profesional; Competencia; Planificacion; Preparacion de informe; Actividades para el seguimiento. 29

30 CODIGO DE ETICA La Asociación de Auditoria y Control de Sistemas de Información (ISACA), guía la conducta de los ASI: Soportar la implementación de, y fomentar el cumplimiento de, las normas, los procedimientos y los controles apropiados para los SI; Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en conformidad con las normas y mejores prácticas; 30

31 Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a actos que puedan desacreditar la profesión; Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus funciones a menos que la autoridad legal requiera su revelación; 31

32 Mantener competencias y acordar emprender únicamente actividades que ellos puedan razonablemente realizar con competencia profesional; Informar a las partes apropiadas sobre los resultados del trabajo realizado, revelando todos los hechos significativos de los que ellos tengan conocimiento; Soportar la educación profesional de los accionistas para aumentar su comprensión de la seguridad y el control 32 de SI.

33 MODULO IV 4.2 La Auditoria en Informática y su Entorno 33

34 La Auditoria en Informática es un proceso de evaluación y control en el uso de recursos tecnológicos para el logro de las estrategias. Por lo tanto, debe contemplar el entendimiento del entorno del negocio como parte de las actividades primarias. 34

35 Es el conjunto de características dominantes del mercado en cada una de las ramas o criterios relacionados con la tecnología informática, mismas que definen el rumbo de ésta en gran parte de los negocios. 35

36 especialidades proveedores métodos TECNOLOGIA INFORMATICA personal infraestructura proyectos redes La informática como herramienta del AF, fortalece el desarrollo personal en su actividad diaria. 36

37 El entorno de la Informática es una de las disciplinas con mayor ritmo de crecimiento: Hardware; Software; Telecomunicaciones; Métodos, metodologías centrados en el usuario; Herramientas CASE; Herramientas CAAT s. 37

38 OBJETIVOS DE LA A.I. La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de proyectos de auditoria en informática que serán ejecutados en un plazo determinado con el fin de apoyar directa o indirectamente las estrategias de negocio, considerando factores internos y externos de la organización. 38

39 MODULO IV Organización 39

40 ESTRATEGIAS PARA IMPLANTAR A.I. I) Formalizar la AI a través de: a) Cursos de acción que justifiquen el desarrollo de la función de AI; b) Presentar a la alta gerencia el documento de justificación; c) Aprobación del proceso por la alta gerencia; d) Difusión de la AI en las áreas funcionales; e) Desarrollo del proceso de AI. 40

41 II) Proporcionar un proceso de AI permanente: a) Que la seguridad, políticas y procedimientos de los recursos de TI sean eficientes y confiables; b) Verificación del uso TI que requiere y justifica cada área funcional; c) Existencia de un proceso de V&V; d) Elaboración y desarrollo formal de un proceso de planeación; e) Uso formal de métodos, procesos y 41 herramientas por parte del personal.

42 CURSOS DE ACCION I) Lograr que la alta dirección, las áreas funcionales y el personal tomen conciencia de la necesidad de contar con una función de AI; II) Formalizar procedimientos que contemple la divulgación de la función de AI; III)Llevar a cabo reuniones de coordinación; IV)Ejecutar de manera formal y oportuna; V) Investigar, analizar, actualizar y formalizar la metodología de AI; VI)Capacitar al personal de AI. 42

43 ESTRUCTURA ORGANIZACIONAL La alta gerencia de cualquier organización tiene que estar consciente de que la función de auditoria se debe ejercer con independencia personal jerárquica. La función de AI debe ubicarse en un nivel organizacional que le asegure la independencia y soporte requerido 43

44 La Gerencia Nacional de Informática y Telecomunicaciones de Impuestos, es la encargada de dirigir, coordinar y supervisar las actividades de análisis, diseño, desarrollo, control de calidad, implantación y mantenimiento de sistemas informáticos y procesar datos e información generados por los distintos procesos tributarios, garantizando la disponibilidad y seguridad de las bases de datos. 44

45

46 46

47 47

48 48