auditoria de sistemas
TRANSCRIPT
Ovi Omar Caballero Larios
Auditoría de Sistemas:
Es el examen o revisión de carácter objetivo (independiente), crítico(evidencia), sistemático (normas), selectivo (muestras) de las políticas, normas, prácticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de información computarizados, con el fin de emitir una opinión profesional (imparcial) con respecto a:
Eficiencia en el uso de los recursos informáticos Validez de la información Efectividad de los controles establecidos
Auditoría de Sistemas:
El proceso de recolección y evaluación de evidencia para determinar si un sistema automatizado: Salvaguarda activos.
Daños DestrucciónUso no autorizadoRobo
Alcanza metas organizacionales.Contribución de la función Informática
Auditoría de Sistemas:
Mantiene integridad de los datosInformación precisa Completa Oportuna Precisa
Consume recursos eficientementeUtiliza los recursos adecuadamente en el
procesamiento de la información
Tipos de Auditoría
Financiera Veracidad estados financierosPreparación de informes de acuerdo a
principios contables Operacional
Evalúa la eficiencia, eficaciaEconomía de los métodos y
procedimientos que rigen un proceso de una empresa
SistemasSe preocupa de la función informática
Tipos de Auditoría
FiscalSe dedica a observar el cumplimiento de
las leyes fiscales Administrativa
Analiza:Logros de los objetivos de la
AdministraciónDesempeño de funciones administrativas
CalidadEvalúa métodos, mediciones y controles
de los bienes y servicios
Tipos de Auditoría
InternaExiste por expresa decisión de la
empresa y puede optar por su disolución en cualquier momento
ExternaEs realizada por personas afines a la
empresa para alcanzar una mayor objetividad ya que hay mayor distancia entre auditor y auditado
Objetivos Generales de una Auditoría de Sistemas Buscar una mejor relación costo-beneficio de
los sistemas automáticos o computarizados diseñados e implantados por el PAD
Incrementar la satisfacción de los usuarios de los sistemas computarizados
Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
Conocer la situación actual del área informática y las actividades y esfuerzos necesarios para lograr los objetivos propuestos.
Objetivos Generales de una Auditoría de Sistemas Seguridad de personal, datos, hardware,
software e instalaciones Apoyo de función informática a las metas y
objetivos de la organización Seguridad, utilidad, confianza, privacidad y
disponibilidad en el ambiente informático Minimizar existencias de riesgos en el uso
de Tecnología de información Decisiones de inversión y gastos
innecesarios Capacitación y educación sobre controles
en los Sistemas de Información
Justificativos para efectuar una Auditoría de Sistemas Aumento considerable e injustificado del
presupuesto del PAD (Departamento de Procesamiento de Datos)
Desconocimiento en el nivel directivo de la situación informática de la empresa
Falta total o parcial de seguridades lógicas y físicas que garanticen la integridad del personal, equipos e información.
Descubrimiento de fraudes efectuados con el computador
Justificativos para efectuar una Auditoría de Sistemas Falta de una planificación informática Organización que no funciona
correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del Recurso Humano
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados
Falta de documentación o documentación incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en producción
Controles
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, ordenes impartidas y principios admitidos
Clasificación general de los controlesControles Preventivos: Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones . Ejemplo: Letrero “No fumar” para salvaguardar las instalaciones sistemas de claves de acceso.
Controles detectivos: Son aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los más importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos. Ejemplo: Procedimientos de validación
Clasificación general de los controles
Controles Correctivos: Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en si una actividad altamente propensa a errores.
COBIT
COBIT es un conjunto de objetivos de control para el ambiente de tecnología de información en que se desenvuelven los procesos de muchas empresas. El logro de estos objetivos es gracias a un trabajo de investigación y de búsqueda de consenso entre la normatividad de distintos cuerpos colegiados, estándares técnicos, códigos de conducta, prácticas y requerimientos de la industria y requerimientos emergentes para industrias específicas (desde la industria de la banca hasta la industria manufacturera).
Misión de COBIT
Investigar, desarrollar, publicar y promover un conjunto internacional, autorizado y actual de objetivos de control de tecnología de información generalmente aceptados para el uso cotidiano de gerentes de empresa y auditores.
Estructura de COBIT
Se fundamenta en la idea de que los recursos de TI deben ser utilizados en forma adecuada.
La componen tres elementos: Recursos.Procesos Requerimientos.
Estos elementos se relacionan de diferentes maneras ya que un recurso puede ser utilizado por varios procesos. Los procesos pueden estar satisfaciendo distintos requerimientos.
Recursos de TI
La clasificación de los recursos que propone el COBIT es:
Datos Sistemas de Información TecnologíaInstalaciones Recursos humanos
Recursos de TI-Dominios
El Cobit se encuentra dividido en cuatro Dominios:
Planeación y Organización (Planning and Organization, PO)Adquisición e implementación (Acquisition and Implementation, AI)Entrega de servicios y Soporte (Delivery and Support, DS)Monitores (Monitoring, M)
ProcesosEstos cuatro Dominios son divididos en 34 procesos 1. Planeación y OrganizaciónPO1. Definir un plan estratégico de sistemasPO2. Definir la arquitectura de informaciónPO3. Definir la dirección tecnológicaPO4. Definir la organización y sus relaciones....PO11. Administrar calidad
2. Adquisición e ImplementaciónAI1. Identificar soluciones de automatizaciónAI2. Adquirir y mantener software de aplicaciónAI3. Adquirir y mantener la arquitectura tecnológica....AI6. Administrar cambios
Procesos
3. Prestación de servicios y soporteDS1. Definir niveles de servicioDS2. Administrar servicios a tercerosDS3. Administrar desempeño y capacidad....DS13. Administrar la operación
4. MonitoreoM1. Monitorear el procesoM2. Evaluar lo adecuado del control internoM3. Obtener aseguramiento independienteM4. Proporcionar auditoria independiente
Procesos-Actividad o Tarea
Para cada uno de estos Procesos el COBIT define las actividades o tareas relacionadas. Además identifica los Objetivos de Control.
Buscar en COBIT una tarea especificaDominio 3. Prestación de Servicio Proceso DS2. Administrar servicios de tercerosActividad 2.3 Contratos con tercerosObjetivo de Control: "La gerencia debe definir procedimientos específicos para asegurar que un contrato formal es definido y acordado para cada relación de servicio con un proveedor."
Requerimientos de Negocio
Cobit clasifica los requerimientos de información del negocio en las siguientes categorías:
EfectividadEficienciaConfidencialidadIntegridadDisponibilidadCumplimientoConfiabilidad de la información
Las normas que regulan el comportamiento del auditor se pueden clasificar de la siguiente manera:
Normas permanentes de carácter profesional.
Normas de carácter social.
Normas de comportamiento ético-moral
El auditor
Emitir una opinión responsable y profesional respaldada en evidencias comprobadas.
Mantener una disciplina profesional. Guardar el secreto profesional. Tener independencia mental. Contar con responsabilidad profesional. Capacitación y adiestramiento permanentes. Hacer una planeación de la auditoría y de los programas
de evaluación. Hacer la presentación del dictamen por escrito, así como
la aclaración de diferencias.
Normas permanentes de carácter profesional
Acatar las normas y obligaciones de carácter social.
Respetar a las autoridades, leyes, normas y reglamentos.
Evitar y prevenir sobornos, componendas y dádivas.
Ser leal con los auditados. Contar con una opinión profesional y defenderla. Emitir un dictamen con firma profesional. Contar con apoyo didáctico y normativo vigente.
Normas de carácter social
Ser incorruptible e insobornable. Ser imparcial en los juicios que emite como
auditor. Contar con un juicio sereno, ético y moral.
Normas de comportamiento ético-moral
Metodología de la Auditoria
Estudio Preliminar
Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridadesConsiste en la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
Examen detallado de áreas críticas
Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la auditoria, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado.
Comunicación de resultadosSe elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.
El informe debe contener lo siguiente Motivos de la Auditoria Objetivos Alcance Estructura Orgánico-Funcional del área
Informática Configuración del Hardware y Software
instalado Control Interno Resultados de la Auditoria