Definición y Objetivos de los diferentes Tipos de auditorias

Resumen Clase 1

Definición y Objetivos de los diferentes Tipos de auditorias

La auditoria de Sistemas la podríamos definir como una serie de procedimientos administrativos, técnicos y operativos que determinarán si los sistemas de información cumplen con los objetivos organizacionales de forma eficiente y efectiva además de  salvaguardan la información y mantienen la integridad de los sistemas. El proceso de auditoría deberá culminar con un reporte en donde se hagan los señalamientos sobre las acciones que se deben tomar,  permitiendo la corrección de los errores detectados o la mejora de las actividades. Además es importante mencionar que el auditor deberá enfocarse no sólo a evaluar el final de los procesos, es decir ya cuando las cosas han sido realizadas, es importante que se realicen revisiones durante todo el proceso. Existen diferentes visiones sobre el concepto de auditoría de sistemas. Dependiendo del enfoque y la profundidad podemos analizar la opinión de diferentes autores con respecto a la definición del concepto Actividad dirigida a verificar información Verificación de controles en el procesamiento de información y en el desarrollo de sistemas para evaluar efectividad Evaluación de procesos automatizados de datos y de los recursos utilizados para determinar el grado de eficiencia y efectividad La auditoria de sistemas debe estar formada por elementos que le ayuden a recolectar y evaluar evidencia para determinar la efectividad y eficiencia de los sistemas. Evaluar la confiabilidad de los controles Revisión de políticas, estándares y procedimientos utilizados por los sistemas de información Todos estos deben estar enfocados a emitir un informe en donde se dé a conocer la evidencia y los cursos de acción a seguir para realizar la corrección de errores. Los elementos en los que se deben enfocar la evaluación son los siguientes: Uso no autorizado Daño o destrucción Robo Integridad de la Información Efectividad y Eficiencia Auditorias relacionadas con sistemas de información A continuación se definirán los puntos más importantes de las diferentes tipos de auditorías que se encuentran relacionadas con los sistemas de información Auditoria de Sistemas / Auditoria Informática / Auditoría en Informática: Es el proceso de revisión que sobre los sistemas computacionales, software e información así también de todos los componentes a su alrededor como los de telecomunicaciones. Además incluye la revisión de la gestión informática y de todos los recursos relacionados con la administración del área de sistemas o centro de cómputo. Su objetivo es evaluar el uso adecuado de los sistemas revisando la entrada, procesamiento y salida de datos, incluye también evaluar el cumplimiento de las actividades, operaciones y funciones del personal relacionado con los servicios que dan los sistemas computacionales. De esta auditoría se desglosan otras auditorias que tienen que ver con sistemas y en general con toda el área de informática Auditoria con la Computadora: Es la evaluación y revisión que se hace apoyándose en una computadora para realizar el proceso de evaluación de actividades. Se puede tratar inclusive de la auditoria a un área no relacionada con  el uso de sistemas. Auditoria sin la Computadora: Esta auditoría se centra en la utilización de técnicas y procedimientos para evaluar las actividades administrativas, operacionales y económicas. Se incluye evaluación de puestos, estructura organizacional, aplicación de planes, programas y presupuestos, planes de seguridad y de recuperación de desastres, planes de cambio. En pocas palabras es todo lo relacionado con los sistemas de cómputo excluyendo a los propios sistemas computacionales. Auditoria a la Gestión Informática: Consiste en la revisión de las actividades, operaciones y funciones que tienen que ver con las funciones administrativas del centro de cómputo tales como planeación, organización, dirección, recursos humanos y control. Además incluye la revisión y evaluación de las operaciones del sistema, así como la protección proporcionada a los sistemas, software e información. También incluye la revisión del ciclo de vida de los sistemas de cómputo y sus instalaciones. Su objetivo es emitir un juicio sobre la gestión administrativa de los sistemas computacionales y sobre el área de informática. Auditoria al Sistema de Cómputo: Se evalúa la operación del sistema computacional, se incluye el software, hardware, equipo especial relacionado como instalaciones y dispositivos de comunicación. Se evalúa el diseño, desarrollo e implementación del software de operación o de aplicación. Se trata de una evaluación técnica y especializada. Auditoria Alrededor de la Computadora: Se evalúa la realización de todo lo que se encuentre alrededor de un equipo de cómputo, de sus sistemas, de sus actividades y de su funcionamiento. Se trata de revisar todas los aspectos que ayudan a que el funcionamiento del área de informática sea la más adecuada. Por ejemplo actividades que tienen que ver con planeación, presupuestos, métodos de acceso y de procesamiento, de almacenamiento, así como los aspectos operacionales y financieros. Auditoria de la Seguridad de Sistemas Computacionales: Se evalúa todos los aspectos que tienen que ver con la seguridad del sistema de cómputo, sus áreas y el personal del área de sistemas. Además se hace la revisión de las actividades que ayuden a salvaguardar la seguridad de los equipos computacionales, bases de datos, redes, instalaciones y los usuarios finales.  Auditoria de los Sistemas de Redes: Se realiza una evaluación de la tecnología de comunicaciones en donde se incluye los tipos de redes, arquitectura, topología, protocolos de comunicación, conexiones, accesos, y privilegios. También se realiza una revisión del los componentes involucrados en la compartición de datos, instalaciones, software y hardware en un sistema de comunicaciones. Técnicas asistidas por computadoras Computer assisted audit techniques (CAAT) Consiste en utilizar el equipo computacional para evaluar el control interno mediante los resultados que produce. Estamos hablando de programas de utilería, software especializado o reporteadores. También se trata de programas que se ejecutan en una microcomputadora y funcionan con datos traídos de las bases de datos organizacionales, ejemplos de este tipo de software son: APPLAUDE-Audit, PANAUDIT plus, IDEA entre otros. Las técnicas de auditoría asistidas por computadora más utilizadas son: Análisis de código de programas: se utiliza software para hacer un análisis de código fuente y código objeto de esta forma se revisa que el sistema incluya los procesos solicitados por el usuario. Datos de prueba: se introducen datos correctos y datos con errores de tal forma que se verifica si los controles detectan dichos errores. Análisis de Bitácoras: se hace la revisión de las diferentes bitácoras como son: bitácoras de fallas de equipo, bitácoras de procesos ejecutados, bitácoras de accesos no autorizados, bitácoras de uso de equipo, entre otras. Aquí se puede ver como los recursos han sido utilizados y detectar parámetros de uso o desviaciones en cuanto a los procedimientos y políticas de la empresa. Simulación paralela: Consiste en utilizar otro programa desarrollado especialmente para realizar los mismos procesos que un sistema determinado. Los dos programas se corren en forma paralela y se identifican diferencias. Código integrado: Se trata de incluir en el propio sistema una rutina para detectar anomalías o desviaciones sobre los estándares del sistema.  Lo más importante es que la revisión de auditoría se realice con las mejores prácticas de recolección y evaluación de elementos, por lo que el auditor deberá conocer la existencia de las técnicas y procedimientos más actualizados para así definir que es lo que mejor se aplica a cada caso.

Normas Generales de auditoria

El auditor deberá basar su auditoria en diferentes técnicas, procedimientos y herramientas que lo apoyaran en su evaluación. Las actividades del auditor están directamente relacionadas con la verificación de las actividades, operaciones y funciones en la empresa de acuerdo a ciertas normas, leyes o regulaciones vigentes. De alguna forma el auditor deberá verificar que el camino para que lo que fue planeado o programado esté preparado para lograrse. Si no se cumple con un plan o no se hace las actividades de acuerdo a normas, lo más probable es que no se llegue a la meta propuesta, es por eso que la auditoria permite que lo que se espera suceda. La palabra norma tiene el siguiente significado: Regla que se debe seguir o a que se deben ajustar a las conductas, tareas, actividades, etc. En base a esta definición la profesión de un auditor especialmente en el área contable y financiera se rige por normas y criterios generalmente aceptados. Estos criterios son emitidos por asociaciones que agrupan la experiencia de sus miembros para que así se llegue a un estándar en la revisión de las actividades en un área determinada. A continuación se exponen algunas normas que se aplican al área contable y financiera y que de alguna forma sirven como marco de referencia en el conocimiento de esta disciplina de auditoría. Normas Generales de auditoría emitidas para el área de finanzas En todos los asuntos el auditor debe conservar una actitud mental independiente El trabajo de auditoria, para que se eficiente y eficaz, deberá ser planeado y cabalmente supervisado para llevarse a cabo. La evidencia que soporta el informe del auditor ha de ser suficiente, competente y oportuna para soportar los resultados que presenta el auditor, esto se logra mediante las técnicas, métodos y procedimientos de auditoria. En el informe de auditoria deberá presentarse en estricto apego a las normas de auditoria y contabilidad generalmente aceptadas Los informes de auditorias financieras deberán contener la opinión razonada del auditor Normas Generales de auditoria A continuación se mencionan algunas de las áreas en donde existen normas que los auditores deberán tomar en cuenta para la realización de sus actividades. Relacionadas con Capacitación del auditor con el fin de regular las habilidades y los conocimientos así como los conocimientos técnicos. Relacionados con el comportamiento del auditor ya que debe contar con una gran capacidad de trabajo y ser considerado con un prestigio moral alto con una gran sentido de responsabilidad Relacionadas con el trabajo que desarrolla el auditor, en donde se tienen normas, criterios y lineamientos tanto para la planeación, supervisión, aplicación del control interno, de herramientas, técnicas y procedimientos y para la obtención de evidencias. Relacionadas con la emisión de resultados es decir con las normas de presentación así como el contenido del dictamen y la opinión de auditor. Normas de auditoría de Sistemas de Información Como ya se había mencionado antes la auditoria de sistemas tiene que ver con la revisión de los sistemas de información utilizados en las empresas para el procesamiento de datos de forma automatizada, además de todas las actividades que se encuentran relacionadas con estos sistemas. Es necesario que se consideren el seguimiento de normas que han sido promulgadas por la Asociación de Auditoría y Control de Sistemas de Información con el fin de estandarizar y satisfacer los estándares requeridos en el desempeño profesional de los miembros de la Asociación de Auditoría y Control de Sistemas de Información y por los Auditores Certificados en Sistemas de Información (CISA) Los puntos más importantes tratados en estas normas generales para los sistemas de auditoría de la información tienen que ver con los siguientes aspectos Responsabilidad, autoridad y rendimiento de cuentas Independencia profesional Relación con la organización Código de Ética Profesional Atención profesional Habilidades y conocimientos Educación profesional continua Planificación de la auditoria Supervisión Evidencia Contenido y formato de los informes Seguimiento

Normas éticas y profesionales

El trabajo que desempeña un auditor es de una gran responsabilidad ante la empresa auditada y ante la sociedad misma. El desempeño del auditor debe ser totalmente de confianza ya que se le permite conocer la información que se maneja en la empresa, aún y cuando esta sea confidencial. Además el auditor emite un dictamen basado en su evaluación y dicho documento contiene su opinión la cual es de suma importancia. El auditor deberá ganarse la confianza gracias a su experiencia y conocimientos además a su pericia en el desarrollo de sus trabajos. Pero sin duda alguna lo mas importante para ganar esa confianza es su valor ético como profesional de la materia y como persona moral lo cual de da validez a su dictamen. Las palabra ética tienen un origen griego, ético : eethikos: costumbre, carácter éthicos trata de la moral y las obligaciones de los hombres La palabra moral tiene su origen en el latín moralis: reglas que deben seguirse para hacer el bien y evitar el mal Los principios éticos forman el comportamiento moral y la actitud de la conducta de las personas y de los profesionistas. Se reconoce que el comportamiento ético es básico para el ejercicio de las actividades de un profesional en el área de auditoria. Los principios y valores morales aseguran un comportamiento ético en las personas y en los profesionistas. A continuación se listan  los principios y valores éticos que un auditor debe tener: Honestidad Integridad Cumplimiento Lealtad Imparcialidad Respeto a los demás Responsable Atento Búsqueda de la excelencia Responsabilidad Confiable Veraz El comportamiento del auditor deberá también caracterizarse por diferentes criterios y responsabilidades que la misma empresa en donde se desempeña deberá regular. La experiencia y actitudes así como los conocimientos del auditor harán más fácil el cumplimiento de estos criterios y responsabilidades. A continuación se mencionan algunos de ellos. Regulaciones de códigos, leyes y reglamentos del país en donde se desempeñe Regulaciones de asociaciones y colegios de profesionales de auditoria Regulaciones entre la empresa auditada y la empresa auditora Normas, lineamientos y políticas de la empresa auditada Normas de auditoría del IMCPAC (Instituto mexicano de contadores públicos de México) Normas de auditoría del CONLA A.C. (Colegio de Licenciados en Administración) Ética profesional y moral del auditor Ética de profesión de auditoria Existen criterios que tienen que ver con el aspecto profesional y personal del auditor y que en caso de incumplimiento no tendrá un castigo legal, sin embargo el auditor que no los cumpla será señalado por sus colegas y por la empresa acarreando con esto el desprestigio profesional. Independencia mental y profesional Contar con la habilidad, aptitud y experiencia Manejo adecuado en las relaciones personales con el auditado Seguimiento de una metodología y procedimientos de evaluación No modificar, ocultar ni destruir evidencias Manejo de discreción con la información Ser imparcial y razonable Emitir dictámenes independientes, razonables y profesionales También es importante listar los criterios relacionados con el aspecto laboral Elaborar evaluaciones, dictámenes e informes de acuerdo a normas y lineamientos Acatar las normas de conducta y de disciplina correspondientes Capacitar al personal subalterno Criterios relacionados con el aspecto de juicio Verificar la autenticidad de las evidencias encontradas Seguir los lineamientos de auditoria emitidos por asociaciones o por la empresa que se audite Aplicar de manera uniforme los métodos, técnicas y herramientas para evaluación Evaluar libre de presiones e influencias El auditor deberá seguir normas de carácter profesional para conservar el prestigio y credibilidad de la función de auditoria Mantener una disciplina profesional: Esta actitud profesional debe extenderse a su vida personal Guardar el secreto profesional: Los resultados de la evaluación y la información de la empresa Opinión respaldada con evidencia comprobada. Tener independencia mental: Libre de influencias y sustentada por conocimientos y habilidades Responsabilidad profesional, permanente capacitación Planea la auditoria y los programas de evaluación Presentación por escrito del dictamen

ACTIVIDAD  1

 descripción de actividad

Nombre de la actividad: Ventajas del Uso de Técnicas de auditoria asistidas por computadora

 Documento en Word con un resumen de las técnicas didácticas asistidas por computadora

 Visitar los sitios sugeridos.

http://www.isaca.cl/sisas9.html

http://www.infopeople.com/ida/seguridad/index.html

Descripción de la actividad

Las auditorias pueden ser asistidas por programas computacionales. Es decir en algunos puntos de la auditoria es necesario hacer uso de este tipo de técnicas para facilitar el trabajo del auditor y para poder realizar actividades de manera más efectiva y eficiente.  Para cumplir con esta actividad deberá elaborar un documento en Word en donde hable sobre estas técnicas de auditoria asistidas por computadoras. El documento deberá contener como mínimo los siguientes puntos: Definición  del concepto de CAAT´s Define mínimo 3 técnicas de auditoria asistidas por computadora. Menciona las ventajas de su uso en términos generales. Incluye una conclusión personal sobre dichas técnicas y tus fuentes bibliográficas

ACTIVIDAD 2 EXPOSICION DE TRABAJO

Descripción de la actividad

Los riesgos a los cuales se encuentra expuesta la información son enormes, es por eso que las empresas deben estar al tanto de la protección que deben tener para sus recursos computacionales tanto de hardware como de software. 

Muchas empresas han pasado por malos momentos al ocurrir alguna catástrofe o incidente que ha afectado sus recursos computacionales y debido a no tener una previsión adecuada esto a repercutido hasta en la existencia de la empresa.

Para cumplir con esta actividad deberás realizar una búsqueda en Internet o en alguna otra revista sobre el caso de una empresa que haya sufrido daño o robo de su información o de su equipo informático. 

NOTA: 

COMENTAR EN EL BLOG EL NOMBRE DE LA EMPRESA INVESTIGADA, PARA QUE NO SE REPITA LA MISMA EMPRESA CON OTRO ESTUDIANTE.

Entregar un documento en Word para su posterior exposición en clase, que incluya los siguientes puntos:

1. Introducción
2. Nombre de la empresa
3. Acontecimiento no previsto (Razón de la pérdida: terremoto, robo, etc)
4. Fecha y lugar del incidente
5. Medidas de protección con las que contaba la empresa
6. Medidas de protección que debería haber tenido
7. Consecuencias del evento
8. Otros datos interesantes encontrados
9. Deberás incluir en tu documento la liga a la página de Internet en donde encontraste el artículo o el texto del artículo.
10. Conclusiones
11. Fuentes Bibliográficas