M. Sc. Miguel Cotaña Mier Lp, Septiembre 2015
GABINETE DE
AUDITORIA DE
SISTEMAS
UNIVERSIDAD MAYOR DE SAN ANDRESFACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS
CARRERA DE CONTADURÍA PÚBLICA
MODULO IV
3 Es la ciencia que estudia el tratamiento automático y racional de la información. INFORMATICA
4
La tecnología informática, traducida en hardware, software, sistemas de información, redes, bases de datos, telecomunicaciones, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios.
5
La informática, es el campo que se encarga del estudio y aplicación práctica de la tecnología, modelos de proceso, métodos, técnicas y herramientas relacionadas con los ordenadores y el manejo de la información por medios electrónicos.
Es garantía de confiabilidad, oportunidad, integridad y veracidad.
6
Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto que es sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.
7
Controles mínimos: Es empírico con controles simples y sin procedimientos escritos ni formales;
Procedimientos empíricos: Existen documentos internos y métodos empíricos para detectar fallas o errores;
Procedimientos técnicos: Se basan en estándares generalmente aceptados;
Procedimientos de fiabilidad: Probabilidad de que un sistema funcionará como se espera en un periodo, dadas ciertas condiciones.
8
Seguridad física:
Cuida y protege bienes
de la organización;
Seguridad de datos:
Protege datos e
información de la organización, garantiza
su integridad y exactitud;
Seguridad
de
procedimientos:
garantiza que el personal se adhiere
totalmente a las normas y procedimientos
establecidos.
9
El auditor de sistemas informáticos debe considerar 3 pasos, antes de llevar adelante el trabajo de revisión:
1. Planificar y Ejecutar: un enfoque de auditoria que responda de manera adecuada a los riesgos
presentes en los SI
automatizados;
10
La planificación de la auditoria contempla 3 etapas:
11 ESTRATEGIA Identificar el negocio principal; Riesgos inherentes; Conocer ambiente SI de la entidad; Conocer estructura; Conocer el ambiente de control; Leer material de antecedentes (informes de análisis y anuales). Trabajar en módulos; Planificar por áreas
funcionales y asignar responsabilidades a grupos de trabajo;
Entrevistar a los
gerentes claves para entender los problemas del negocio.
12
PLANIFICACION
Realizar una planificación a corto y
largo plazo de auditoria a un área funcional;
Considerar factores de riesgo
inherente y de control y agregar valor;
Obtener información adicional de
riesgos en Hw, Sw y Recursos Humanos;
13
Entender la misión, visión, objetivos,
procesos de negocio;
Identificar políticas, estándares,
procedimientos y estructura de la organización;
Llevar a cabo una revisión del control
interno;
Establecer el alcance y los objetivos
de la auditoria;
Asignar recursos de personal a la
auditoria y considerar los compromisos logísticos.
14
PROGAMAS DE TRABAJO
En función del análisis e información
requerida se definen el conjunto de: Actividades;
Acciones y Tareas.
que serán aplicados y se elaboran los programas de trabajo.
15 2. Conocimiento de la TI: tener conocimiento necesario y suficiente en TIC´s, NTIC´s y concentrarse en aquellos aspectos que puedan ser relevantes desde la perspectiva de la auditoria y de los procesos de negocio de la organización;
3. Identificar expectativas: del área funcional auditada respecto al servicio que será prestado.
16
La informática es utilizada en todo
proceso contable;
Es un nuevo condicionante para el
auditor: ha de trabajar ante y con
elementos de TI;
Los libros o soporte de los documentos
financieros
se
encuentran
materializados
en
los
archivos
electrónicos;
17
El auditor financiero (AF) ve alterado
el objeto de su actividad. Ahora esta
en soporte magnético;
La auditoria financiera sigue siendo
auditoria
y
financiera,
con
la
diferencia de que en su objeto, el
mismo de siempre, es decir, en la
información
financiera,
se
ha
introducido la TI;
18
El AF, puede acceder directamente a los archivos electrónicos y proceder a su análisis de forma tambien electrónica;
El AF, ha de aplicar procedimientos que utilizan técnicas asistidas por computador;
El AF, utilizando medios electrónicos incrementa en velocidad, eficiencia y seguridad;
El AF, en la ejecución de su trabajo destacan la inspección, observación, averiguación, confirmación, calculo y análisis.
19
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos y utiliza los recursos en forma eficiente.
Mario G. Piattini
20
Evalúa y comprueba los controles y
procedimientos informáticos, desarrollando y aplicando técnicas de auditoria, incluyendo el uso de software.
En muchos casos ya no es posible verificar manualmente, por lo que deberá emplear software de auditoría y otras técnicas asistidas por ordenador.
Es responsable de revisar e informar a la alta Dirección, sobre el diseño y funcionamiento de los controles implantados y sobre la fiabilidad de la información suministrada.
21
Participar en las revisiones durante y
después del análisis, diseño,
realización, implantación y
explotación;
Revisar y juzgar los controles
implantados, para verificar
cumplimiento de la alta gerencia;
Revisar y emitir opinión sobre el nivel
de eficacia, utilidad, fiabilidad y
seguridad de los equipos e
22
Es el proceso de evaluar la eficiencia y eficacia del área de:
Procesamiento Automático de Datos; Utilización correcta de recursos;
Desarrollo de sistemas; Infraestructura;
Telecomunicaciones.
23
El A.S.I., tiene la capacidad de definir el marco de trabajo, acciones y tareas y los procesos, métodos y herramientas que serán necesarias para la realización de la auditoria de manera óptima y cumpliendo las normas de auditoria de sistemas y el Código de Ética Profesional.
24
En función a los relevamientos iniciales y considerando el objetivo de la revisión, los riesgos identificados y los controles existentes, el ASI, podrá definir el tipo y las pruebas a aplicar, así como las características de la evidencia necesaria que sustente el trabajo realizado.
25
Buscar una mejor relación costo-beneficio de los sistemas computarizados diseñados e implementados por el PAD;
Incrementar la satisfacción de los usuarios; Asegurar una mayor integridad, confiabilidad
y confidencialidad de la información
mediante la recomendación de seguridades y controles;
Seguridad de personal, datos, hardware, software e instalaciones;
26
Minimizar existencias de riesgos en el uso de tecnologías de información;
Orientar en decisiones de inversión y gastos innecesarios;
Aplicación correcta de modelos de control;
Capacitación y educación sobre controles en los sistemas de información.
27
Aumento considerable e injustificado del presupuesto del PAD;
Falta total o parcial de seguridades físicas y
lógicas que garanticen la integridad del
personal, equipos e información;
Descubrimiento de fraudes efectuados con el ordenador;
Falta de una planificación informática;
28
Organización que no funciona
correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y
adecuada administración del recurso
humano;
Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados;
Falta de documentación o documentación incompleta de sistemas para mantenimiento.
29
El trabajo de auditores se enmarcan:
Responsabilidad; Autoridad; Independencia; Relacion organizacional; Etica Profesional; Competencia; Planificacion; Preparacion de informe;
30
La Asociación de Auditoria y Control de Sistemas de Información (ISACA), guía la conducta de los ASI:
Soportar la implementación de, y
fomentar el cumplimiento de, las normas, los procedimientos y los controles apropiados para los SI;
Ejecutar sus deberes con objetividad,
debida diligencia y atención profesional, en conformidad con las normas y mejores prácticas;
31 Servir en el interés de los accionistas en
una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a actos que puedan desacreditar la profesión;
Mantener la privacidad y confidencialidad
de la información obtenida en el curso de sus funciones a menos que la autoridad legal requiera su revelación;
32 Mantener competencias y acordar
emprender únicamente actividades que ellos puedan razonablemente realizar con competencia profesional;
Informar a las partes apropiadas sobre los
resultados del trabajo realizado, revelando todos los hechos significativos de los que ellos tengan conocimiento;
Soportar la educación profesional de los
accionistas para aumentar su comprensión de la seguridad y el control de SI.
MODULO IV
34
La Auditoria en Informática es un proceso de evaluación y control en el uso de recursos tecnológicos para el logro de las estrategias.
Por lo tanto, debe contemplar el entendimiento del entorno del negocio como parte de las actividades primarias.
35
Es el conjunto de características dominantes del mercado en cada una de las ramas o criterios relacionados con la tecnología informática, mismas que definen el rumbo de ésta en gran parte de los negocios.
36 TECNOLOGIA INFORMATICA proveedores especialidades métodos redes proyectos personal infraestructura
La informática como herramienta del AF, fortalece el desarrollo personal en su actividad diaria.
37
El entorno de la Informática es una de las disciplinas con mayor ritmo de crecimiento:
Hardware; Software;
Telecomunicaciones;
Métodos, metodologías centrados
en el usuario;
Herramientas CASE;
38
La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de proyectos de auditoria en informática que serán ejecutados en un plazo determinado con el fin de apoyar directa o indirectamente las estrategias de negocio, considerando factores internos y externos de la organización.
MODULO IV
40
I) Formalizar la AI a través de:
a) Cursos de acción que justifiquen el desarrollo de la función de AI;
b) Presentar a la alta gerencia el documento de justificación;
c) Aprobación del proceso por la alta gerencia;
d) Difusión de la AI en las áreas funcionales;
e) Desarrollo del proceso de AI.
41
II) Proporcionar un proceso de AI permanente:
a) Que la seguridad, políticas y procedimientos de los recursos de TI sean eficientes y confiables;
b) Verificación del uso TI que requiere y justifica cada área funcional;
c) Existencia de un proceso de V&V;
d) Elaboración y desarrollo formal de un proceso de planeación;
e) Uso formal de métodos, procesos y herramientas por parte del personal.
42
I) Lograr que la alta dirección, las áreas funcionales y el personal tomen conciencia de la necesidad de contar con una función de AI;
II)Formalizar procedimientos que contemple la divulgación de la función de AI;
III)Llevar a cabo reuniones de coordinación; IV)Ejecutar de manera formal y oportuna;
V) Investigar, analizar, actualizar y formalizar la metodología de AI;
VI)Capacitar al personal de AI.
43
La alta gerencia de cualquier organización tiene que estar consciente de que la función de auditoria se debe ejercer con independencia personal jerárquica.
La función de AI debe ubicarse en un nivel organizacional que le asegure la independencia y soporte requerido
44
La Gerencia Nacional de Informática y
Telecomunicaciones de Impuestos, es la encargada de dirigir, coordinar y supervisar las actividades de análisis, diseño, desarrollo, control de calidad, implantación y mantenimiento de sistemas informáticos y procesar datos e información generados por los distintos procesos tributarios, garantizando la disponibilidad y seguridad de las bases de datos.
