Auditoria de Sistemas II Introducción

Transcripción

1 Auditoria de Sistemas II Introducción Lic. Maynor Barboza A. Definición de auditoría proceso sistemático empleado para obtener, estudiar y evaluar de manera objetiva la documentación que sobre las actividades económicas y otros eventos propios de una organización es producida. Dicho proceso es aplicado con el propósito de determinar el grado de correspondencia que existe entre el contenido informativo de la documentación obtenida y la realidad de la empresa y para determinar si dicha documentación se ha preparado observando los principios establecidos para el caso. Control interno auditoría de "el control interno comprende el plan de organización y todos los métodos y procedimientos que en forma coordinada se adoptan en una entidad para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de su información financiera, promover la eficiencia operacional y provocar la adherencia a las políticas prescritas por la Administración" el proceso de recolección y evaluación de evidencia con el objeto de establecer si las áreas involucradas con la ejecución de la función informática de una organización están brindando información completa, exacta y oportuna, alcanzando las metas establecidas en forma eficaz, cumpliendo con las disposiciones legales vigentes, realizando un consumo de recursos eficiente y estableciendo una protección adecuada de los activos bajo su responsabilidad. Objetivos Motivaciones para el nacimiento de la auditoría de = Información completa, exacta y oportuna = Cumplimiento de metas en forma eficaz = Protección de activos = Cumplimiento de disposiciones legales = Consumo eficiente de recursos Impacto del error Dependencia de los medios automatizados Privacidad de la información Complejidad de la tecnología Crimen computacional Inversión en aspectos informáticos Impacto en el sistema de control interno 1

2 Puntos de atención del auditor en el área informática Evaluación de la administración de la función informática El tipo de planes que se elaboren en el área de la forma en que está organizado el departamento de cómputo, el estilo de dirección que se tenga, la participación de los usuarios en la definición de los requerimientos y el establecimiento de prioridades, la cantidad de recursos humanos disponibles, su capacitación, su motivación, la metodología de trabajo empleada, la calidad de la documentación de los, la forma de administrar las bases de datos Auditoría de los en producción La auditoría de los en producción se orienta a la evaluación de asuntos tales como: Los mecanismos de seguridad de acceso establecidos, Los controles de entrada de datos, De procesamiento y de producción de salidas existentes, Los procedimientos de respaldo aplicados. Perfil requerido para De la informática requiere obtener conocimientos generales sobre técnicas de análisis y diseño e implantación de, sobre bases de datos y telecomunicaciones, de técnicas y lenguajes de programación, de los operativos, del hardware y software disponibles en la empresa donde labora. Perfil requerido para De la administración requiere conocer los conceptos tradicionales de planeación, organización, dirección y control. Requiere contar con habilidades para expresarse con claridad tanto en forma oral como escrita y necesita de una mente crítica que le permita analizar y cuestionar, con sumo cuidado, las diferentes actividades que evalúa. Perfil requerido para Así, un auditor que se dedique a evaluar la función informática requerirá conocimientos profundos en administración. Por su parte, quien participe en el desarrollo de necesitará conocer muy bien de las técnicas de análisis, diseño e implantación de, Mientras que para el auditor dedicado a evaluar en producción el conocimiento que tenga de los riesgos y controles en automatizados deberá ser muy sólido. 2

3 Perfil requerido para Un ingrediente muy importante: las relaciones humanas. Para lograr la confianza de los funcionarios auditados y que las recomendaciones que se emitan sean bien recibidas, cualidades tales como el tacto, la discreción, el respeto y el buen trato, así como una comunicación directa, franca y cordial son esenciales para que el auditor logre aceptación y haga que su trabajo sea fructífero. Isaca ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares controles de auditoría en los computarizados que se estaban haciendo cada vez más críticos para las operaciones de sus organizaciones respectivas se sentaron a discutir la necesidad de tener una fuente centralizada de información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo el nombre de EDP Auditors Association (Asociación de Auditores de Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de educación para llevar a cabo proyectos de investigación de gran escala para expandir los conocimientos y el valor del campo de gobernación y control de TI. Isaca Tiene certificaciones para auditores. ACAI ISACA aplicará el examen para Auditor Certificado en Sistemas de Información (Certified Information Systems Auditor CISA), el sábado 14 de junio del 2008 en más de 220 centros en 90 países. El examen será ofrecido en 11 idiomas: mandarín simplificado, mandarín tradicional, holandés, inglés, español, francés, alemán, hebreo, italiano, japonés y coreano. El examen se compone de 200 preguntas de respuesta múltiple y dura 4 horas. Cubre las siguientes áreas de contenido: el Proceso de Auditoria de Sistemas de Información, Gobierno de TI, Ciclo de Vida de Sistemas e Infraestructura, Entrega y Soporte del Servicio de TI, Protección de los Activos de Información, Recuperación de Desastres y Continuidad del Negocio. Proceso de auditoria Proceso de Auditoría Un aspecto que caracteriza la disciplina de auditoría es la obligación del auditor de ejecutar su trabajo de una forma muy ordenada siguiendo un proceso previamente definido. Podría compararse, a manera de analogía, con la necesidad que tiene un investigador de apegarse al método científico para evitar llegar a conclusiones erróneas. 3

4 Proceso de Auditoría Revisión Preliminar Recopilación y análisis de información Identificación de riesgos inherentes *=Recopilar las leyes y disposiciones administrativas que regulan la actividad. = Levantar, mediante entrevistas y recorridos de observación, los procedimientos de operación empleados. = Establecer el tipo de organización vigente identificando las tareas y responsabilidades de los participantes. = Recopilar datos sobre las características principales de los automatizados que se utilizan. = Obtener información de la experiencia laboral, capacitación y tiempo de desempeño del puesto de cada uno de los funcionarios de las áreas auditadas. = Conseguir los datos de carácter financiero-contable disponibles. = Recopilar la correspondencia recibida y emitida en el área auditada. = Reunir los informes anteriores de auditoría referentes a dicha área. Por ejemplo, en una compañía financiera existe siempre un riesgo de fraude derivado de la propia función de la empresa. Asimismo, en un sistema automatizado está latente el riesgo de que se produzca un acceso no autorizado a la aplicación o de que falle un componente del hardware en cualquier momento. Determinación de viabilidad de continuar = Existen riesgos suficientes que ameriten proseguir y efectuar una evaluación del control interno del área o actividad? = Posee el grupo de auditoría los conocimientos y recursos necesarios para efectuar la valoración de los controles y continuar con la auditoría? = Se cuenta con la información necesaria para efectuar una evaluación adecuada? Evaluación del control interno 4

5 Elaboración de matrices riesgo-control Preparación y ejecución de pruebas de cumplimiento Para cada uno de los controles planteados en la matriz, el auditor debe llegar a plantear una prueba que le indique si el control es eficaz; debe medir si los controles establecidos son suficientes en función de los riesgos identificados y verificar que estén siendo puestos en práctica por las áreas responsables. Al completar esta etapa el auditor conocerá cuáles son los controles que operan a cabalidad, cuáles no se aplican satisfactoriamente y en que casos se carece de medidas de control adecuadas. Análisis del ambiente de control Análisis del ambiente de control Análisis de los resultados de la evaluación del control interno A estas alturas del proceso de auditoría, el auditor debe emitir una opinión acerca del grado de confianza que puede depositarse en el sistema de control interno. La evaluación efectuada puede indicarle que el sistema de control interno es satisfactorio, que los controles implantados son adecuados, son completos y están operando en forma correcta. Pero, también, podría tener una opinión totalmente opuesta y considere que hay una carencia importante de controles sensitivos, que la compañía está expuesta a grandes riesgos y que resulta conveniente que la administración se dedique a mejorar de manera sustancial el sistema de control interno. Pruebas profundas de auditoría 5

6 Planeación y ejecución de pruebas sustantivas = Qué tipo de evidencia deberá recolectarse para determinar si efectivamente se produjeronconsecuencias negativas para la empresa? = Qué técnicas deberán emplearse para obtener dicha evidencia? = Cuál es el alcance que deberán tener las pruebas por realizar? Planeación y ejecución de pruebas sustantivas = Existían códigos de usuarios activos pertenecientes a exfuncionarios que tenían la posibilidad de realizar transferencias de fondos. = No se efectuaban conciliaciones desde hacía cinco meses. = El funcionario que desempeñaba anteriormente el puesto había sido despedido tres meses atrás. = Las bitácoras de transacciones no habían sido revisadas desde hace tres meses. Análisis de los resultados obtenidos El tipo de perjuicio que se haya detectado marcará la forma con que deberá tratarse la comunicación de los resultados de la auditoría. Comunicación final de resultados Presentación de resultados a la administración Informe final el auditor llevará a cabo sesiones de trabajo con los funcionarios del área auditada para comunicar los resultados del estudio y las sugerencias para mejorar el ambiente de control, analizar las diferentes opciones que pueden plantear los funcionarios del área auditada para implantar las mejoras, considerar las limitaciones existentes para llevar a la práctica las recomendaciones y obtener un compromiso para su implantación. La estructura y formato de los informes de auditoría ependen, en buena medida, del estilo del jerarca de la dependencia; sin embargo, una discusión profunda sobre el tema escapa de los alcances y objetivos de este texto. Finalmente, debe señalarse que una vez enviado el informe final de auditoría, el auditor debe programar un plan de seguimiento con el propósito de medir el avance en la implantación de las recomendaciones y determinar si se han presentado situaciones que estén retrasando su puesta en ejecución 6

7 Muchas Gracias 7