concepto de auditoría
TRANSCRIPT
Concepto de Auditoría
Los conceptos deben ser comprendidos más que aprendidos de memoria, ya que si no se entienden los elementos fundamentales que lo constituyen, de poco sirven las diferentes definiciones segun los diversos autores que se consulten; a diferencia de los principios o las leyes, los conceptos se van complementando independientemente del área a la que correspondan éstos y/o éstas y aún cuando también debe existir entendimiento previo para ser aplicados, dichos principios y leyes no pueden ser modificados a menos que se siga el método científico o el proceso legal, según sea el caso que corresponda.
Consulta en internet y/o en los libros señalados en la bibliogafìa al menos tres conceptos de auditoría (en general) y resúmelos en la sección de Wiki Personal (señala fuente).
Una vez que venza el plazo para las participaciones de todo el grupo, deberán elaborar por equipoWiki colaborativa en la que quede redactado su CONCEPTO DE AUDITORÍA.
Deben subir sus artìculos publicados en la Wiki también al portafolio, como se indica en las actividades.
¿Tipos de Auditoría?
Ahora hay que revisar los tipos de auditorías, ustedes mismos, no hay por qué inventar el "hilo negro", existe bastante material en la web y libros para consultar las numerosas opiniones al respecto. ¿Cuántos tipos existen ? ¿todas las fuentes coinciden? ¿con base a qué características o criterios se hacen las clasificaciones ?, ¿qué autor tiene la razón ?. Realiza tu análisis y posteriormente en equipo participauna Wiki colaborativa sobre los tipos de Auditoría; pónganse de acuerdo, si hacen mapa mental, cuadro sinóptico, etc.; señalen sus fuentes y deben elaborar al final sus conclusiones.
Deben subir sus artìculos publicados en la Wiki también al portafolio, como se indica en las actividades.
Control Interno
Un elemento fundamental en las actividades diarias de cualquier profesión para garantizar que las actividades son efectuadas de acuerdo a lo establecido es mantener controles, pudiendo ser éstos internos o externos; y es sobre dichos controles que se efectúan las revisiones derivadas de las auditorías.
De esta forma, un control puede ser el marco metodológico y/o regulatorio sobre el cual se basan las revisiones de auditoría. Así, podemos definir de manera genérica un control como políticas, procedimientos, prácticas y estructuras organizacionales para reducir riesgos.
Para el caso de los controles externos, éstos constituyen el marco regulatorio del sector al cual corresponden las actividades realizadas y son leyes y/o lineamientos dictados por autoridades gubernamentales.
Los controles determinan su efectividad por la oportunidad con que son aplicados, así, para el caso de los controles internos, (ya que los externos siempre deben ser atendidos bajo las mismas condiciones en que éstos apliquen), existen tres tipos: preventivos, detectivos y correctivos. La máxima efectividad es la de los controles preventivos.
Es importante identificar el riesgo que se trata de minimizar para establecer la naturaleza del control, de tal manera que éste se vuelve preventivo, detectivo o correctivo bajo el contexto y tiempo en el que se aplica. Por ejemplo, un antivirus instalado permanentemente que se mantiene actualizado en todos los equipos de la organización actúa como control preventivo; si éste mismo se desactiva y se corre sólo en
ocasiones para monitorear el equipo se vuelve un control detectivo y finalmente si se utiliza cada que se tienen problemas, prácticamente para vacunar el equipo, entonces se está utilizando como un control correctivo
Por lógica, no siempre es posible implementar el mejor control o el óptimo, ya sea por restricciones financieras o de algún otro tipo, en éstos casos los controles que se implementan a cambio o en tanto pueden ser implementados los idóneos son denominados controles compensatorios.
Los objetivos de este apartado son:
1. Que investiguen y conjuntamente integren el marco regulatorio de Tecnologías de Información y Comunicaciones /TIC´s) aplicables en México, así como aquellos estándares que pueden adoptarse como marco metodológico.
2. Que individualmente identifiquen controles preventivos, detectivos y correctivos en materia de TIC´s; así como compensatorios para algunos de éstos.
Norma Macedo Flores
EL DIAGNÓSTICO PREVIO
Aspectos generales a considerar para lograr el entendimiento de la organización.Si uno de los principales fines de una auditoría es eficientar el uso de los recursos para alcanzar los objetivos de la organización y minimizar riesgos para la continuidad de las operaciones de ésta, el poder tener un entendimiento de la misma es esencial para lograrlo.Entre las actividades a realizar y documentaciòn a revisar para lograr el entendimiento del negocio u organización están:nRevisión del plan estratégiconReglamentación y/o marco metodológico aplicablenEstructura organizacionalnCriterios de funcionamientonProceso AdministrativonSector de actividadnÁmbito de operaciónnDesarrollo tecnológiconSistemas de informaciónnClientesnEntornonSistemas de calidadnProductos y/o serviciosnRevisión del plan operativonRevisar informes anterioresnRecorrer instalaciones y hacer entrevistas con directivos para entender problemas y riesgos de la organización.Específicamente en materia de TIC´snFechas tope para implantación y/o actualización de sistemas.nTecnologías actuales y futuras.nLimitaciones de recursos en áreas de SI.nPrácticas y controles de los sistemas computarizadosnForma en que se almacenan equipo, software y datos.nOrganización de los servicios que se prestan.
nProfesionalización del área de TInContratos de prestación de servicios.nPlanes de contingencia…etc., etc
Plan y equipo de trabajo
En toda auditoría es necesario que con base al diagnóstico previo se determine el objetivo de la misma, los alcances y se elabore un plan de trabajo en el que se determinen los recursos necesarios para su desarrollo. Dichos recursos son de diferente naturaleza: humanos, materiales y financieros.Para el caso de las auditorías informáticas, dependiendo del área a auditar se conformará el equipo de trabajo con personal experto en ella ya que generalmente no se tiene el expertis en todas las áreas existentes.Los elementos a considerar en el plan de trabajo son, en general, los siguientes:
Actividades a realizar Cronograma Presupuesto requerido (pago de viáticos, salarios, horas extras, etc) Material a preparar Insumos (gasolina, papelería, consumibles, etc) Equipo y/o vehículos (Lap top, PC, impresora, etc)
La forma en que se integra el plan es libre, así para el caso anterior puede desglosarse por puntos como se muestran o bien indicar las actividades sobre un cronograma y para cada una de ellas desglosar los materiales, insumos y presupuesto que requieren cada una de ellas.En el caso del equipo auditor, generalmente existe un equipo base de auditores y dependiendo de la naturaleza de la auditoría puede recurrirse a la contratación de personal externo.
Áreas a auditar en materia de TIC´s
Con el auge de la tecnología y su inserción no sólo en todos los sectores de la economía, sino de la vida diaria, es sumamente importante realizar una administración eficiente de los recursos tecnológicos para asegurar que la inversión realmente esté alineada a los objetivos organizacionales y que no constituya un inversión que sólo refleje mera innovación. Así mismo el cuidar de la seguridad de la información manteniendo su confidencialidad, disponibilidad e integridad es una de las responsabilidades esenciales del CIO (Chief Information Officer) independientemente de los medios de transporte o almacenamiento.Uno de los documentos que representan el esfuerzo de los profesionales dedicados a la auditoría informática para lograr implementar el llamado “Gobierno de TI” es COBIT (Objetivos de Control para las Tecnologías de la Información), dicho documento integra un marco metodológico de mejores prácticas en TIC´s que es reconocido internacionalmente y que en México está siendo adoptado tanto en el sector público como en el privado. Por lo anterior, este instrumento es una guía para la administración de las TIC´s y por tanto es esencial para el establecimiento de controles en la función administrativa del profesional de TIC´s.Como seguramente ya conoces, por las actividades ya realizadas o lo visto previamente en otras asignaturas existen otros marcos metodológicos que las organizaciones están implementando para una mejor administración de la infraestructura tecnológica, las bases de datos y las redes de telecomunicaciones: ITIL, CMMI, PMBok, MOPROSOFT, ISO 27000, ISO 20000, etc.
El perfil del auditor
El perfil de un auditor al igual que el de cada profesional requiere de ciertas caracterìsticas, existe mucha información al respecto así es que en este punto la dinámica de trabajo consiste en que consulten individualmente al menos tres fuentes distintas, elaboren una presentaciòn en power point ilustrando cada
característica y explicando el por qué es necesaria cada una y dicho archivo lo dejan en una wiki personal (hay que subirlo al portafolio también), al final del plazo deberán elaborar una wiki colaborativa de resumen con la misma lógica, es decir, indicando el por qué consideran necesaria cada una de las características que acuerden sean las necesarias e ilustràndola.
El código de ética del auditor
"Es necesario reconocer que la ética, en su concepto más puro, no debe ser objeto de una reglamentación. La necesidad de tener un código, nace de la aplicación de las normas generales de conducta en la práctica diaria. Puesto que todos los actos humanos son regidos por la ética, también las reglas escritas deben ser de aplicación general".http://www.imcp.org.mx/spip.php?article529
Respecto a este apartado trabajaremos fundamentalmente con contenidos de la Information System Audit and Control Association (ISACA). Así que es necesario y conveniente que visites el sitio de dicha organización especialista en auditoría en materia de TIC´s http:/www.isaca.org
INSTRUMENTOS DE APOYO PARA LA AUDITORÍA
El objetivo de la presente unidad es elaborar instrumentos que permitan recolectar información relevante de cada una de las áreas a evaluar en la auditoría informática.
Para la aplicación de una auditoría existen diversos instrumentos de apoyo, estando éstos circunscritos, no a un número ni tipo determinado, sino a la complejidad del proceso a auditar y a la creatividad del auditor para el diseño del instrumento, de acuerdo a la información que requiere obtener y que le va a servir como evidencia.
Para que los instrumentos de apoyo sirvan realmente como evidencia para sustentar los hechos que se encuentren, sean éstos correctos o incorrectos, deben llevar la firma de la persona que los avala, ya sea de quien haya realizado el levantamiento o bien de quien haya requisitado los instrumentos aplicados.
Entre los instrumentos y/o técnicas que comúnmente se utilizan están:
Las guías de observación Las cédulas de información Los cuestionarios Listas de cotejo (checklist)
Análisis de la Información, el dictámen y las recomendaciones de la Auditoría.
El objetivo de la Unidad V, “Análisis de la Información” es analizar la información obtenida para detectar fortalezas y debilidades en cada una de las áreas evaluadas en la auditoría informática para poder emitir el dictámen de Auditoría.El objetivo de la Unidad VI, “El dictámen de la auditoría”, es el de conocer y en su caso elaborar un dictamen de Auditoría que permita conocer el estado de la organización en cuanto al uso de los recursos informáticos.
El objetivo de la Unidad VII, “Las recomendaciones de la Auditoría”, es conocer las principales características que deben considerarse en las recomendaciones hechas en un dictámen de Auditoría.Como las tres unidades finalmente son actividades que no pueden verse de manera independiente, las actividades a realizar estarán programadas en el mismo periodo.Uno de los activos más valiosos de una organización, es la información, ésta puede representar la diferencia para aprovechar una oportunidad de negocio, evitar la quiebra, disminuir un riesgo, etc.; sin embargo, si la información, o más bien los datos que se tienen no producen precisamente INFORMACIÓN, los datos por sí mismos no harán ninguna diferencia significativa par los efectos mencionados.El análisis de los datos llevará a generar un reporte sobre el estado actual de la organización auditada en relación al objetivo y al alcance que se haya establecido, dicho análisis deberá efectuarse considerando aspectos objetivos de manera que el ente auditado tenga la posibilidad de atender las observaciones de mejora que se deriven o bien de comprender las faltas que se le atribuyen.Para tales efectos, de acuerdo a lo que ya se ha revisado, se hace un análisis integral de los datos recolectados de manera que se deriva una especie de análisis FODA (Fortalezas, Oportunidades, Debilidades y Amenazas) en que no sólo hay que señalar las carencias sino también aquéllo que se está realizando adecuadamente.Es importante acentuar que esposible que el auditor no tenga claros algunos aspectos y pueda efectuar un análisis erróneo de cierta información, por lo que es de suma importancia que el análisis efectuado señale las evidencias sobre las cuales se está generando la información.Por lo anterior las actividades programadas para esta unidad están enfocadas a la comprension y aplicación de algunos conceptos de manera individual, así como al análisis de la información de un caso.Es importante que participes en el foro para seleccionar la forma de trabajo, la mayor parte de las actividades a realizar serán indicadas una vez que se haya definido la mecánica de trabajo.
BIBLIOGRAFÍA
Echenique, José A., 2003. Auditoría Informática. McGrawHill, México.
Information Systems Audit and Control Association, (ISACA). 2009. Manual de preparación al examen CISA (Certified Information System Auditor). EUA.
IT Governance Institute (ITGI). 2005. Control Objetives for Information and Related Technology (COBIT) 4.1.
Macedo Flores Norma. 2011. Material didáctico en diapositivas para las Unidades I y II de la materia de Auditoría Informática correspondiente a la currícula de la Licenciatura en Informática Administrativa de la Universidad Autónoma del Estado de México (UAEM).
Palma López Rocio. 2009. Material didáctico en diapositivas para la materia de Auditoría Informática correspondiente a la currícula de la Licenciatura en Informática Administrativa de la Universidad Autónoma del Estado de México (UAEM).
Piattini, Mario G., Del Peso A. E. 2000. Auditoría Informática, un enfoque práctico. AlfaOmega Ra-ma. España.