• No se han encontrado resultados

TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA COMUNICACIÓN.

N/A
N/A
Info
Descargar
Protected

Academic year: 2020

Share "TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA COMUNICACIÓN. "

Copied!
27
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 27 página )

Texto completo

(1)

UNIVERSIDAD TECNOLÓGICA DE SAN JUAN DEL RÍO.

TECNOLOGÍAS DE LA INFORMACIÓN Y DE LA COMUNICACIÓN.

TIC02SM-15.

ISO 9001:2015

MONTERRUBIO LARIOS RAFAEL MORARLES GUZMÁN MISAEL.

RESÉNDIZ MARTÍNEZ MARÍA JOSÉ

TORIBIO VÁSQUEZ ESMERALDA

(2)

ÍNDICE

INTRODUCCIÓN ... 4

AUDITORIA DE LA FUNCIÓN INFORMÁTICA ... 6

Fundamentos de Auditoria Informática ... 6

Conceptos ... 6

Definición de Auditoria ... 6

Definición de Auditoria en Informática ... 6

Objetivos de la Auditoría Informática ... 7

Sus beneficios son: ... 7

La auditoría informática sirve para mejorar ciertas características en la empresa como:... 8

Tipos de Auditoría informática ... 8

Principales pruebas y herramientas para efectuar una auditoría informática ...9

Las principales herramientas de las que dispone un auditor informático son: ...9

Áreas a auditar en Informática ... 10

Alcance e importancia de la Auditoria Informática ... 10

Metodologías para Auditoría Informática ... 11

Octave ... 11

Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información ...12

ETAPAS Y LINEAMIENTOS DEL PROCESO DE AUDITORÍA INFORMÁTICA ... 14

(3)

Planeación ... 15

Ejecución ... 18

Informe de resultados ... 18

ETAPAS PRINCIPALES DE LA AUDITORIA ... 20

Exploración ... 20

Planeamiento ...21

Supervisión ... 22

Ejecución ... 23

Informe ... 24

El informe de Auditoría debe cumplir con los principios siguientes: . 24 Seguimiento ... 25

CONCLUSIÓN ... 26

BIBLIOGRAFÍA ... 27

(4)

INTRODUCCIÓN

En la actualidad realizar una Auditoría Informática dentro de la empresa u organización es de vital importancia, ya que, trae consigo mejoras para dicha empresa.

La Auditoría Informática se puede entender como aquel proceso que se lleva a cabo por profesionales donde se revisa y evalúa el funcionamiento de los recursos informáticos de la empresa con el fin de proporcionar un informe acerca de la situación en que se desarrollan y utilizan dichos recursos.

La realización de esta Auditoría trae consigo puntos clave para mejorar el desempeño, la fiabilidad, eficacia, rentabilidad, seguridad y privacidad de los recursos informáticos de la organización.

Llevar a cabo una Auditoría Informática requiere de un proceso. Dentro de este proceso podemos abarcar tres etapas importantes: Planeación, ejecución y dictamen, dichas etapas son realizadas consecutivamente, ya que una depende de la otra, no se puede empezar con la etapa de ejecución, si no se tiene la planeación primero.

Dentro del desarrollo de esta investigación daremos a conocer temas como: Definición de Auditoría, Objetivos, Tipos de Auditoría, entre otros (los cuales podrás visualizar en el Índice de nuestra investigación).

La Auditoría Informática juega un papel destacado dentro de cada empresa, ya que está define que tan bien se encuentran los recursos Informáticos, es de gran ayuda un tipo de Auditoría como está ya que ayuda a ver si los recursos son usados de una manera correcta o incorrectamente, legal o ilegalmente.

(5)
(6)

AUDITORIA DE LA FUNCIÓN INFORMÁTICA

Fundamentos de Auditoria Informática Conceptos

Definición de Auditoria

Representa el examen de los estados financieros de una entidad, con el objeto de que el contador público independiente emita una opinión profesional respecto a si dichos estados representan la situación financiera, los resultados de la operaciones, las variaciones en el capital contable y los cambios en la situación financiera de una empresa, de acuerdo con los principios de contabilidad generalmente aceptados. ( IMCP).

Definición de Auditoria en Informática

 La Auditoría en informática se refiere a la revisión práctica que se realiza sobre los recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situación en que se desarrollan y se utilizan esos recursos. (José de Jesús Aguirre Bautista)

 La Auditoría informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un sistema de información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

(7)

 La Auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.

Objetivos de la Auditoría Informática

 El control de la función informática

 El análisis de la eficiencia de los Sistemas Informáticos

 La verificación del cumplimiento de la Normativa en este ámbito

 La revisión de la eficaz gestión de los recursos informáticos.

Sus beneficios son:

 Mejora la imagen pública.

 Confianza en los usuarios sobre la seguridad y control de los servicios de TI.

 Optimiza las relaciones internas y del clima de trabajo.

 Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).

 Genera un balance de los riesgos en TI.

 Realiza un control de la inversión en un entorno de TI, a menudo impredecible.

(8)

La auditoría informática sirve para mejorar ciertas características en la empresa como:

Desempeño

Fiabilidad

Eficacia

Rentabilidad

Seguridad

Privacidad

Tipos de Auditoría informática

Dentro de la auditoría informática destacan los siguientes tipos (entre otros):

Auditoría de la gestión: la contratación de bienes y servicios, documentación de los programas, etc.

Auditoría legal del Reglamento de Protección de Datos:

Cumplimiento legal de las medidas de seguridad exigidas por el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos.

Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.

Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos.

Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación y no repudio.

Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.

Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de información.

(9)

Auditoría de las comunicaciones: Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación.

Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.

La técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática e Ingeniería Técnica en Informática y licenciados en derecho especializados en el mundo de la auditoría.

Principales pruebas y herramientas para efectuar una auditoría informática

En la realización de una auditoría informática el auditor puede realizar las siguientes pruebas:

 Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información.

 Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Las principales herramientas de las que dispone un auditor informático son:

 Observación

 Realización de cuestionarios

 Entrevistas a auditados y no auditados

 Muestreo estadístico

 Flujogramas

 Listas de chequeo

 Mapas conceptuales

(10)

Áreas a auditar en Informática

Las áreas a auditar en donde se puede realizar la auditoría en informática, puede ser:

 A toda la Entidad.

 A un departamento.

 A un área

 A una función

 A una subfunción.

Y se pueden aplicar los siguientes tipos de auditoría:

 Auditoría al ciclo de vida del desarrollo de un sistema

 Auditoría a un sistema en operación

 Auditoría a controles generales ( gestión)

 Auditoría a la administración de la función de informática.

 Auditoría a microcomputadoras aisladas

 Auditoría a redes.

Clasificación de acuerdo a José de Jesús Aguirre Bautista.

Alcance e importancia de la Auditoria Informática

Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo por lo que respecta a la tecnología de informática, es decir, software, hardware, sistemas de información, investigación tecnológica, redes locales, bases de datos, ingeniería de software, telecomunicaciones, etc.

esta representa una herramienta estratégica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado,

(11)

en el ámbito de los sistemas de información y tecnología un alto porcentaje de las empresas tiene problemas en el manejo y control, tanto de los datos como de los elementos que almacena, procesa y distribuye.

El propósito de la revisión de la auditoría en informática, es el verificar que los recursos, es decir, información, energía, dinero, equipo, personal, programas de cómputo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.

Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente en informática, se ha mostrado interés por llegar por llegar a la meta sin importar el costo y los problemas de productividad.

Metodologías para Auditoría Informática

Laauditoría informáticaes una parte fundamental de la Seguridad Computacional que permite medir y controlar riesgos informáticos que pueden ser aprovechados por personas o sistemas ajenos a nuestra organización o que no deben tener acceso a nuestros datos.

En este sentido, identificar los riesgos de manera oportuna ayudará a implementar de manera preventiva, las medidas de seguridad. Para facilitar esta actividad, existen diferentes metodologías que ayudan en el proceso de revisión de riesgos informáticos. Dos de las más utilizadas son Octave y Magerit.

Octave

La metodologíaOctavees una evaluación que se basa en riesgos y planeación técnica de seguridad computacional. Es un proceso interno de la organización, significa que las personas de la empresa tienen la responsabilidad de establecer la estrategia de seguridad una vez que se

(12)

realice dicha evaluación, y es precisamente lo interesante de esta metodología que la evaluación se basa en el conocimiento del personal de la empresa para capturar el estado actual de la seguridad. De esta manera es más fácil determinar los riesgos críticos.

A diferencia de las evaluaciones típicas enfocadas en la tecnología, OCTAVE está dirigida a riesgos organizacionales y está enfocada en temas estratégicos relacionados con la práctica, es flexible y puede aplicarse a la medida para la mayoría de las organizaciones.

En esta revisión es necesario que las empresas manejen el proceso de la evaluación y tomen las decisiones para proteger la información. El equipo de análisis, integrado por personas de los departamentos de TI, de negocios, etc, lleva a cabo la evaluación, debido a que todas las perspectivas son cruciales para controlar los riesgos de seguridad computacional.

Magerit - Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

La metodología Magerit fue desarrollada en España debido al rápido crecimiento de las tecnologías de información con la finalidad de hacerle frente a los diversos riesgos relacionados con la seguridad informática.

La CSAE (Consejo Superior de Administración Electrónica) promueve la utilización de esta metodología como respuesta a la creciente dependencia de las empresas para lograr sus objetivos de servicio.

“Las fases que contempla el modelo MAGERIT son:

1. Planificación del Proyecto.- establece el marco general de referencia para el proyecto.

2. Análisis de Riesgos.- permite determinar cómo es, cuánto vale y cómo están protegidos los activos.

(13)

3. Gestión de Riesgos.- permite la selección e implantación de salvaguardas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados”.

Al aplicar esta metodología se conocerá el nivel de riesgo actual de los activos, y por lo tanto se podrá mejorar las aplicaciones de salvaguardas y se podrá conocer el riesgo reducido o residual.

La razón de ser de MAGERIT está directamente relacionada con la generalización del uso de los medios electrónicos, informáticos y telemáticos, que supone unos beneficios evidentes para los ciudadanos, pero que también da lugar a ciertos riesgos que deben minimizarse con medidas de seguridad que garanticen la autenticación, confidencialidad, integridad y disponibilidad de los sistemas de información y generan confianza cuando se utilicen tales medios.

Inclusive, se ha desarrollado software como Pilar basado en la metodología de Magerit.

(14)

ETAPAS Y LINEAMIENTOS DEL

PROCESO DE AUDITORÍA INFORMÁTICA

ETAPAS PASOS A REALIZAR

Planeación

de la

Auditoria de Sistemas

1. Identificar el origen de la auditoría.

2. Realizar una visita preliminar al área que será evaluada.

3. Establecer los objetivos de la auditoría.

4. Determinar los puntos que serán evaluados en la auditoría.

5. Elaborar planes, programas y presupuestos para realizar la auditoría.

6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.

7. Asignar los recursos y sistemas computacionales para la auditoría.

Ejecución

de la

Auditoria de Sistemas

1. Realizar las acciones programadas para la auditoría.

2. Aplicar los instrumentos y herramientas para la auditoría.

3. Identificar y elaborar los documentos de

oportunidades de mejoramiento encontradas.

4. Elaborar el dictamen preliminar y presentarlo a discusión.

5. Integrar el legajo de papeles de trabajo de la auditoría

Dictamen de la

1. Analizar la información y elaborar un informe de situaciones detectadas.

2. Elaborar el Dictamen final.

(15)

Auditoria de Sistemas

3. Presentar el informe de auditoría.

Planeación

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoría, donde se debe identificar de forma clara las razones por las que se va a realizar la auditoría, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoría: este es el primer paso para iniciar la planeación de la auditoría, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿Por qué?, ¿Quién? o ¿Para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: este es el segundo paso en la planeación de la auditoría y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoría y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que

(16)

problemáticas que se presentan en el área auditada. Se deben tener en cuenta aspectos tales como:

La visita inicial para el arranque de la auditoría cuya finalidad es saber

¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de qué tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoría?. Con esta información el auditor podrá diseñar las medidas necesarias para una adecuada planeación de la auditoría y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluación.

Establecer los Objetivos de la Auditoría: los objetivos de la planeación de la auditoría son:

 El objetivo general: que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en él se plantean todos los aspectos que se pretende evaluar.

 Los objetivos específicos: que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.

Determinar los puntos que serán evaluados: una vez determinados los objetivos de la auditoría se debe relacionar los aspectos que serán evaluados, y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el

(17)

cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.

Elaborar planes, programas y presupuestos para realizar la auditoría:

para realizar la planeación formal de la auditoría informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoría, donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; el flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoría; los auditores responsables y participantes de las actividades; otras especificaciones del programa de auditoría.

Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría: en éste se determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para

(18)

la auditoría. Para ello se deben considerar los siguientes puntos:

establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; elaborar una guía de la auditoría; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoría de sistemas; diseñar los sistemas, programas y métodos de pruebas para la auditoría.

Asignar los recursos y sistemas computacionales para la auditoría:

finalmente se debe asignar los recursos que serán utilizados para realizar la auditoría. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoría.

Ejecución

La siguiente etapa después de la planeación de la auditoría es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.

Informe de resultados

La tercera etapa luego de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoría, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: junto con la detección de las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones

(19)

necesarias y posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: el auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales.

Elaborar el Dictamen Formal: el último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa, donde se informa de los resultados de la auditoría. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo.

El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoría, el informe de situaciones relevantes y los anexos y cuadros estadísticos.

Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima perfección, tratando de evitar errores.

También deben contener de manera clara y concreta, las desviaciones detectadas en la evaluación.

(20)

ETAPAS PRINCIPALES DE LA AUDITORIA

Exploración

La exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el propósito de conocer en detalle las características de la entidad a auditar para tener los elementos necesarios que permitan un adecuado planeamiento del trabajo a realizar y dirigirlo hacia las cuestiones que resulten de mayor interés de acuerdo con los objetivos previstos.

Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar.

También posibilita valorar el grado de fiabilidad del control interno (contable y administrativo) así como que en la etapa de planeamiento se elabore un plan de trabajo más eficiente y racional para cada auditor, lo que asegura que la Auditoría habrá de realizarse con la debida calidad, economía, eficiencia y eficacia; propiciando, en buena medida, el éxito de su ejecución.

En la entidad se deben efectuar entrevistas con los principales dirigentes con el propósito de explicarles el objetivo de la Auditoría, y conocer o actualizar en detalle los datos en cuanto a estructura, cantidad de dependencia, desenvolvimiento de la actividad que desarrolla, flujo de

(21)

la producción o de los servicios que presta y, otros antecedentes imprescindibles para un adecuado planeamiento del trabajo a ejecutar.

Planeamiento

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer.

Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia, eficacia y prontitud debidas.

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la información obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploración, el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones necesarias para alcanzar los objetivos de la Auditoría.

Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar la necesidad de personal de acuerdo con los elementos de que dispone.

Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría, el que se debe recoger en un documento que contenga como mínimo:

 Definición de los temas y las tareas a ejecutar.

 Nombre del o los especialistas que intervendrán en cada una de ellas.

(22)

 Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración hasta la conclusión del trabajo.

Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando como mínimo:

 Nombre del especialista.

 Definición de los temas y cada una de las tareas a ejecutar.

 Fecha de inicio y terminación de cada tarea.

Cualquier ampliación del término previsto debe estar autorizada por el supervisor u otro nivel superior; dejando constancia en el expediente de Auditoría.

Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc.

Supervisión

El propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Una supervisión y un control adecuados de la Auditoría son necesarios en todos los casos y en todas las etapas del trabajo, desde la exploración hasta la emisión del informe y su análisis con los factores de la entidad auditada.

Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas.

Una supervisión adecuada debe asegurar que:

(23)

Todos los miembros del grupo de Auditoría han comprendido, de forma clara y satisfactoria, el plan de Auditoría, y que no tienen impedimentos personales que limiten su participación en el trabajo.

Se sigue el plan de Auditoría elaborado al efecto y se aplican los procedimientos previstos, considerando las modificaciones autorizadas.

Los papeles de trabajo contengan evidencias que sustenten correctamente los señalamientos en el informe final.

En el informe final de la Auditoría se expongan las conclusiones, detalles y recomendaciones que se consideren pertinentes de acuerdo con los resultados de las revisiones efectuadas.

La supervisión tiene normalmente dos niveles de ejecución: el que corresponde al que se realiza sistemáticamente por el jefe de grupo y el que acomete el funcionario del Ministerio designado como supervisor.

Ejecución

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante.

(24)

Informe

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado.

Comunicar los resultados al máximo nivel de dirección de la entidad auditada y otras instancias administrativas, así como a las autoridades que correspondan, cuando esto proceda.

El informe parte de los resúmenes de los temas y de las Actas de Notificación de los Resultados de Auditoría (parciales) que se vayan elaborando y analizando con los auditados, respectivamente, en el transcurso de la Auditoría.

La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.

El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para facilitar al lector una rápida ubicación del contenido de cada una de ellas.

El informe de Auditoría debe cumplir con los principios siguientes:

 Que se emita por el jefe de grupo de los auditores actuantes.

 Por escrito.

 Oportuno.

 Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de entender.

(25)

 Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a hallazgos relevantes con evidencias suficientes y competentes.

 Que refleje una actitud independiente.

 Que muestre la calificación según la evaluación de los resultados de la Auditoría.

 Distribución rápida y adecuada.

Seguimiento

En esta etapa se siguen, como dice la palabra, los resultados de una Auditoría, generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria.

(26)

CONCLUSIÓN

La auditoría trata de estados financieros, una opinión de José de Jesús dice que la información se realiza mediante la práctica.

Hay distintos tipos de auditoria, cada una de ellas nos habla de distintas cosas como gestión, datos, auditoria legal etc.

Esta auditoria tiene una serie de herramientas o pruebas que verifican el grado de confiabilidad, cumplimiento, observaciones, etc.

Todo esto nos muestra cómo debemos de hacer para identificar, realizar, establecer, determinar y elaborar una auditoria como se debe con cada uno de sus pasos.

Para que nosotros podamos hacer una auditoria debemos de ser conscientes de las cosas que debe de llevar o tener la auditoria para poder realizarlos sin problema alguno y saber los aspectos legales que se utiliza y las cosas que necesitamos para realizar dicha auditoria.

(27)

BIBLIOGRAFÍA

http://datateca.unad.edu.co/contenidos/233004/riesgos/leccin_27_fases _de_la_auditora_informtica_y_de_sistemas.html

http://www.geronet.com.ar/?p=48

http://alondraadmonfun.blogspot.mx/2011/04/unidad-6-auditoria- informatica.html

Referencias

Descargar ahora ( PDF - 27 página - 1.22 MB )

Documento similar

Estaciones de la Red pública de control y vigilancia de la contaminación atmosférica de Castilla-La Mancha

Fuente de emisión secundaria que afecta a la estación: Combustión en sector residencial y comercial Distancia a la primera vía de tráfico: 3 metros (15 m de ancho)..

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

I. Disposiciones generales

Gastos derivados de la recaudación de los derechos económicos de la entidad local o de sus organis- mos autónomos cuando aquélla se efectúe por otras enti- dades locales o