¡Descarga Introducción a la Auditoría Informática: Conceptos y Tipos y más Apuntes en PDF de Auditoría solo en Docsity!
CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE AUDITORIAS. PLANEACION DE LA AUDITORIA EN INFORMATICA. AUDITORIA DE LA FUNCION DE INFORMATICA. EVALUACION DE LOS SISTEMAS.
MATERIAL PARA USOS DIDÁCTICOS.
Lic. Francisco Escobar
1 CONCEPTO DE AUDITORIA EN INFORMATICA Y DIVERSOS TIPOS DE
AUDITORIAS.
1.1 Concepto de Auditoria y Concepto de Informática
AUDITORIA es el examen crítico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado, que puede ser una persona, organización, sistema, proceso, proyecto o producto.
Aunque hay muchos tipos de auditoría, la expresión se utiliza generalmente para designar a la «auditoría externa de estados financieros», que es una auditoría realizada por un profesional experto en contabilidad, de los libros y registros contables de una entidad, para opinar sobre la razonabilidad de la información contenida en ellos y sobre el cumplimiento de las normas contables.
Auditoría es un término que puede hacer referencia a tres cosas diferentes pero conectadas entre sí: puede referirse al trabajo que realiza un auditor, a la tarea de estudiar la economía de una empresa, o a la oficina donde se realizan estas tareas (donde trabaja el auditor). La actividad de auditar consiste en realizar un examen de los procesos y de la actividad económica de una organización para confirmar si se ajustan a lo fijado por las leyes o los buenos criterios.
INFORMATICA también llamada computación en| América,^1 es una ciencia que estudia métodos, técnicas, procesos, con el fin de almacenar, procesar y transmitir información y datos en formato digital. La informática se ha desarrollado rápidamente a partir de la segunda mitad del siglo XX, con la aparición de tecnologías tales como el circuito integrado, el Internet, y el teléfono móvil. Se define como la rama de la tecnología que estudia el tratamiento automático de la información.
1.2 Diversos tipos de Auditoria y su relación con la informática
Es importante conocer que la auditoría de sistemas tiene algunos de sus fundamentos en otras auditorías y que toma diferentes herramientas de ellas para conformarse. A continuación se presenta una clasificación de diferentes tipos de auditorías, las cuales se encuentran clasificadas por diferentes factores.
Por el origen de quien hace su aplicación: Externa Interna
Por el área en donde se hacen Auditoría Financiera Auditoría Administrativa Auditoría Operacional Auditoría Gubernamental Auditoría Integral Auditoría de Sistemas
Por área de especialidad Auditoría Fiscal Auditoría Laboral Auditoría Ambiental Auditoría Médica Auditoría a Inventario Auditoría a Caja Chica Auditoría en Sistemas
Especializadas en Sistemas Computacionales Auditoría Informática Auditoría con la Computadora Auditoría sin la Computadora Auditoría a la Gestión Informática Auditoría alrededor de la computadora Auditoría en seguridad de sistemas Auditoría a sistemas de redes
1.2.1 Auditoria Interna y Externa.
Auditoría Interna
Es un elemento importante del control, independiente y objetiva está destinada para
incrementar valor y mejorar todas las operaciones de una organización, todo ello se
realiza a través de un análisis profesional, sistemático, objetivo y disciplinado en las operaciones financieras y administrativas después de que han sido ejecutadas.
Su finalidad es ayudar a cumplir las metas, mejorando la eficiencia de los procesos de gestión y sus riesgos, mediante las evaluaciones llegando al control y gobierno de las
mismas.
En ese entendido diremos que el objetivo de la auditoría interna, es comprobar el
cumplimiento de los planes y programas y evaluar los controles internos.
Los usuarios que necesitan de esta información de manera oportuna son la gerencia y sus
colaboradores
Los campos que cubre este tipo de auditoría, son todas las áreas de la organización de
forma selectiva, que estén de acuerdo a prioridades.
La auditoría interna para cumplir con su objetivo, responde a procedimientos específicos como: previa identificación de áreas y planeación de trabajo, se aplican los programas de
auditoría interna a áreas específicas, ejecución de pruebas sobre transacciones e informes de realización.
Esta auditoría es realizada por un el departamento de auditoría interna con un personal vinculado a la empresa de tiempo completo, que deberá depender jerárquicamente de la
gerencia a nivel Staff.
Auditoría Externa
Es el examen realizado para expresar un criterio profesional sobre el funcionamiento y eficiencia que tiene una organización en el desarrollo de una determinada gestión, este
trabajo lo elabora personal independiente, ya sea que trabaje en forma lucrativa o no, las entidades dedicadas a estas evaluaciones son independientes sin importar su tamaño o
forma legal.
En ese entendido diremos que el objetivo de la auditoría externa, es emitir una opinión
sobre la razonabilidad de la información financiera, dando confianza a los usuarios de dicha información
Los usuarios que hacen uso de la información que contiene el dictamen de auditoría
externa son, los propietarios y cualquier otro que tenga interés en el desarrollo de actividades de la empresa como: Bancos, inversionistas, etc.
Los campos que cubre una auditoría externa son los estudios y evaluación de los controles existentes. Variación de aspectos importantes del sistema de información
contable, evaluación de controles en el procesamiento electrónico de datos.
La auditoría externa para cumplir con su objetivo debe de seguir los siguientes
procedimientos específicos como: planeación, evaluación de controles y aplicación de pruebas sustantivas y de cumplimiento. Mediante programas de trabajo y papeles de
trabajo como: Soportes y aplicación de muestreo.
1.2.3 Auditoria Administrativa y Operacional
Auditoria Operativa Es el análisis a los procesos operativos de cualquier departamento, área, etc., con la
finalidad de verificar que estos sean adecuados, eficaces, como también cumplan con las políticas y procedimientos establecidos para alcanzar sus objetivos,
proporcionando comentarios y recomendaciones que tiendan a mejorar el buen funcionamiento de la entidad. Este tipo de auditoría se puede aplicar a cualquier ente
económico.
Auditoria Administrativa
Es elexamen completo o parcial de una organización, desde la planeación, organización, ejecución y control administrativo, con el propósito de especificar el nivel
de desempeño y señalar debilidades que quieren atención por parte de las personas que toman decisiones.
1.2.4 Auditoria con Informática
La auditoría informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de
la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma sistemática el uso de los
recursos y los flujos de información dentro de una organización y determinar qué información es crítica para el cumplimiento de su misión y objetivos, identificando
necesidades, duplicidades, costes, valor y barreras, que obstaculizan flujos de información eficientes.
1.7 Definición de Auditoria en Informática
La Auditoría en informática se refiere a la revisión práctica que se realiza sobre los
recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situación en que se desarrollan y se utilizan esos recursos.
Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos.
Conjunto de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un sistema informático, con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informática y general existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
La Auditoría Informática es de reciente desarrollo y su aparición se debe a la creciente
automatización de la información en todos los niveles de las organizaciones.
1.8 Concepto de Auditoria en Informática
La Auditoría Informática ha sido erróneamente denominada Auditoría de Sistemas, por el hecho que vulgarmente se considera la palabra "sistemas" como sinónimo de "computador". Pero a lo largo de lo desarrollado hasta el momento, ha quedado claro que toda Auditoría es de sistemas, pues su objeto son los sistemas de información.
José Antonio Echenique conceptualiza así la Auditoría en Informática:
Auditoría en Informática es la revisión y evaluación de los controles, sistemas, procedimientos de informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para la adecuada toma de decisiones
Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión
1.10 Auditoria de Programas
La Auditoría de Software es un término general que se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.
Conducir la auditoría es una de las partes más críticas de un Programa de Administración de Software, porque la auditoría ayuda a la organización a tomar decisiones que optimicen sus activos de software.
Un estudio de Print UK Limited, firma de Administración de auditoría, descubrió que una organización típica con más de 500 PCs muchas veces tiene un 20% más de computadoras de lo que cree. El Gartner Group también descubrió que más de un 90% de las organizaciones han incrementado su base de activos de TI sin haber hecho ningún proceso para su seguimiento.
Una de las razones por las que las organizaciones no maximizan su inversión en activos de software es que no hay información exacta disponible. La recopilación de toda la información necesaria es un proceso intenso, especialmente cuando se hace por primera vez. Otro problema es que la perspectiva de una auditoría puede ser vista con algunas reservas por algunos directivos de la organización, preocupados porque pueda interrumpir el flujo de trabajo, y por algunos usuarios finales que pueden ser forzados a abandonar sus programas o procedimientos favoritos.
Una de las formas de evitar las objeciones y dejar de lado estos problemas es planificar cuidadosamente la Auditoría de Software y comunicar su valor por adelantado.
Los siguientes factores favorecerán la colaboración entre la gerencia y el personal a través del proceso de planificación, el cual es una llave para el éxito de cualquier auditoría de software.
Establecer y acordar una serie clara de objetivos y comunicarla a todos los empleados asociados con la auditoría. Focalizarse en los resultados que se requieran de la auditoría y discutir las áreas donde se crea pueda haber problemas. Identificar las áreas simples pero muchas veces olvidadas que necesitan ser consideradas, tales como: o Acceso a sitios y creación de mapas de esas locaciones o Conocer con anticipación los log-on scripts de seguridad o claves. o Horario de la auditoría (durante el día, noche o fin de semana). Diseñar el plan y el cronograma de la auditoría, así como también las herramientas de auditoría que serán usadas. Asignar recursos para cada elemento específico de la auditoría.
2 PLANEACION DE LA AUDITORIA EN INFORMATICA
2.1 Fases de la Auditoria
La práctica de la Auditoria se divide en tres fases:
- Planeación y programación
- Ejecución de la Auditoría
- Informe y Plan de Acción
Planeación y programación
En esta fase se establecen las relaciones entre auditores y la entidad, es el conocimiento global de la empresa por parte del auditor en donde se determina el alcance y objetivos. Se hace un bosquejo de la situación de la entidad, acerca de su organización, sistema contable, controles internos, estrategias, metodologías y demás elementos que le permitan al auditor elaborar el programa de auditoria que se llevará a efecto.
Ejecución de la Auditoría
El objetivo de esta etapa es obtener y analizar toda la información del proceso que se audita, con la finalidad de obtener evidencia suficiente, competente y relevante, es decir, contar con todos los elementos que le aseguren al auditor el establecimiento de conclusiones fundadas en el informe acerca de las situaciones analizadas en terreno, que entre otras incluyan: el nivel efectivo de exposición al riesgo; las causas que lo originan; los efectos o impactos que se podrían ocasionar al materializarse un riesgo y, en base a estos análisis, generar y fundamentar las recomendaciones que debería acoger la Administración.
Informe y Plan de Acción
Es el resultado de la información, estudios, investigación y análisis efectuados por los auditores durante la realización de una auditoría, que de forma normalizada expresa por escrito su opinión sobre el área o actividad auditada en relación con los objetivos fijados, señalan las debilidades de control interno, si las ha habido, y formula recomendaciones pertinentes para eliminar las causas de tales deficiencias y establecer las medidas correctoras adecuadas.
2.1.4 Examen y evaluación de la información.
Es el examen crítico y sistemático que hace un Contador Público para evaluar el sistema de procesamiento electrónico de datos y sus resultados, el cual, le ofrece al auditor las oportunidades de llevar a cabo un trabajo más selectivo y de mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.mayor penetración sobre las actividades, procedimientos que involucran un gran número de transacciones.
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
Para ayudar en la revisión de los sistemas de procesamiento de datos y los controles internos, en ocasiones de suma utilidad los cuestionarios para obtener información respecto al sistema. Una vez obtenida la información, el auditor debe proceder a obtener evidencias de la existencia y efectividad de los procedimientos para él
Una parte significativa del sistema de control interno está comprendida en el programa de la computadora. Existen baches en la ruta de auditoría, haciendo difícil e poco práctico obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones sencillas, como en sistemas integrados complejos
2.1.5 Pruebas de Consentimiento.
El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se suponía que existían, existen realmente y funcionan bien. Las técnicas utilizadas, además de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles.
2.1.6 Pruebas de Controles del Usuario.
El auditor puede decidir que no hace falta confiar en los controles internos porque existen controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos controles del usuario puede resultar más costoso que revisar los controles internos. Para un auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien internos o bien del usuario, para evitar la redundancia.
2.1.7 Pruebas Sustantivas
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir perdidas materiales durante el proceso de la información.
se pueden identificar 8 diferentes pruebas sustantivas:
1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad.
2 prueba para asegurar la calidad de los datos.
3 pruebas para identificar la inconsistencia de datos.
4 prueba para comparar con los datos o contadores físicos.
5 confirmación de datos con fuentes externas
6 pruebas para confirmar la adecuada comunicación.
7 prueba para determinar falta de seguridad
8 pruebas para determinar problemas de legalidad.
Plan de proyectos
Es el plan básico para desarrollar determinado sistema y para asegurarse que el proyecto es consistente con las metas y objetivos de la organización y con aquellos señalados en el plan maestro.
Plan de seguridad: seguros, contingencias y recuperación encaso de siniestro.
Se debe contar con una adecuada planeación sobre los seguros que se deben tener en caso de desastre, así mismo se debe tener un plan de recuperación para la instalación s encuentre en funcionamiento en el menor tiempo posible.
3.2 Evaluación de la estructura orgánica.
Organigrama con jerarquías Funciones Objetivos y políticas Análisis, descripción y evaluación de puestos Manual de procedimientos Manual de normas Objetivos de la dirección Políticas y normas de la dirección
3.2.1 Estructura Orgánica
Los auditores deben contar con:
Independencia funcional. Libertad de acción. Facultad para la toma de decisiones. Negociación con los niveles gerenciales. Involucramiento en proyectos de alto impacto en el negocio.
3.2.2 Funciones
Evaluación, verificación e implantación oportuna de los controles y procedimientos que se
requieren para el aseguramiento del buen uso y aprovechamiento de la función de informática.
Evaluar las áreas de riesgo de la función de informática y justificar su evaluación con la
alta dirección del negocio.
Elaborar un plan de auditoría en informática en los plazos determinados por el responsable de la función.
3.2.3 Objetivos
Asegurar que la función de auditoría cubra y proteja los mayores riesgos y exposiciones existentes en el medio informático en el negocio. Asegurar que los recursos de informática (hardware, software, telecomunicaciones, servicios, personal, etc.) sean orientados al logro de los objetivos y las estrategias de las organizaciones.
Asegurar la formulación, elaboración y difusión formal de las políticas, controles y procedimientos inherentes a la auditoría en informática que garanticen el uso y aprovechamiento óptimo y eficiente de cada uno de los recursos de informática en el negocio. Asegurar el cumplimiento formal de las políticas, controles y procedimientos definidos en cada proyecto de auditoría en informática mediante un seguimiento oportuno.
Agrupar funciones similares y relacionarlas entre sí. Agrupar funciones que sean compatibles. Localizar la actividad cerca de la función a la que sirva. Localizar la actividad cerca o dentro de la función mejor preparada para realizarla.
No asignar la misma función a dos personas o entidades diferentes. Separar las funciones de control y aquellas que serán objeto del mismo. Ningún puesto debe tener dos o más líneas de dependencia jerárquica .El tramo de control no debe ser exagerado, ni muy numerosos los niveles jerárquicos.
3.3 Evaluación de los Recursos Humanos
Patrones de evaluación y control en recursos humanos
La auditoria de recursos humanos puede definirse como el análisis de las políticas y
prácticas de personal de una empresa y la evaluación de su funcionamiento actual, seguida de sugerencias para mejorar. El propósito principal de la auditoria de recursos
humanos es mostrar como está funcionado el programa, localizando prácticas y condiciones que son perjudiciales par la empresa o que no están justificando su costo, o
prácticas y condiciones que deben incrementarse.
La auditoria es un sistema de revisión y control para informar a la administración sobre la
eficiencia y la eficacia del programa que lleva a cabo.
El sistema de administración de recursos humanos necesita patrones capaces de permitir
una continua evaluación y control sistemático de su funcionamiento.
La función de auditoría no es solo señalar las fallas y los problemas, sino también presentar sugerencias y soluciones. En este sentido, el papel de la auditoria de recursos humanos es fundamentalmente educativo.
3.4 Entrevistas con el Personal de Informática
Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser debidamente fundamentadas. Las opiniones determinan:
- Grado de cumplimiento de la estructura organizacional administrativa.
- Grado de cumplimiento de las políticas y
- los procesos administrativos
- Satisfacción e insatisfacción
- Capacitación
- Observaciones generales
3.5 Situación Presupuestal y Financiera
Consiste en medir los resultados de la gestión presupuestaria y financiera y la posibilidad de aplicar las medidas correctivas que permitan alcanzar las metas establecidas.
3.6 Presupuestos
Costos del departamento, desglosado por áreas y controles. Presupuesto del departamento, desglosado por áreas. Características de los equipos, numero de ellos y contratos.
3.7 Recursos Financieros
Se evalúa la situación actual de los recursos financieros que la empresa u organización tiene disponible en el momento.
3.8 Recursos Materiales
La administración de recursos materiales consiste en:
Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidad y calidad requerida, los bienes y servicios para cada unidad orgánica de la empresa de que se trate, con el propósito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones.
4 EVALUACION DE LOS SISTEMAS
4.1 Evaluación de Sistemas.
La elaboración de sistemas debe ser evaluada con mucho detalle, para lo cual se debe revisar si existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Otro de los factores a evaluar es si existe un plan estratégico para la elaboración de los sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y de objetivos.
Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen: requerimientos del usuario, estudio de factibilidad, diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación, modificaciones, instalación, mejoras. Y se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el de factibilidad.
La primera etapa a evaluar del sistema es el estudio de factibilidad, el cual debe analizar si el sistema es factible de realizarse, cuál es su relación costo/beneficio y si es recomendable elaborarlo.
Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como los que estén en la fase de análisis para evaluar si se considera la disponibilidad y características del equipo, los sistemas operativos y lenguajes disponibles, la necesidad de los usuarios, las formas de utilización de los sistemas, el costo y los beneficios que reportará el sistema, el efecto que producirá en quienes lo usarán y el efecto que éstos tendrán sobre el sistema y la congruencia de los diferentes sistemas.
En el caso de sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados y compararse con la realidad con lo especificado en el estudio de factibilidad
Por ejemplo en un sistema que el estudio de factibilidad señaló determinado costo y una serie de beneficios de acuerdo con las necesidades del usuario, debemos comparar cual fue su costo real y evaluar si se satisficieron las necesidades indicadas como beneficios del sistema.
Para investigar el costo de un sistema se debe considerar, con una exactitud razonable, el costo de los programas, el uso de los equipos (compilaciones, programas, pruebas, paralelos), tiempo, personal y operación, cosa que en la práctica son costos directos, indirectos y de operación.
Los beneficios que justifiquen el desarrollo de un sistema pueden ser el ahorro en los costos de operación, la reducción del tiempo de proceso de un sistema. Mayor exactitud, mejor servicio, una mejoría en los procedimientos de control, mayor confiabilidad y seguridad.
