viernes, 12 de noviembre de 2010

Conceptos Básicos de Auditoría

La tecnología de información (IT
tecnología de información de América (ITAA)
desarrollo, implementación, soporte o dirección de los sistemas de
información computarizados, en particular de software de aplicación y
hardware de computadoras.
software para convertir, almacenar, proteger, procesar, transmitir y
recuperar la información.


Las
redes, software y dispositivos que tienen como fin la mejora de la
organizaciones y personas dentro de un entorno, y que se integran a un sistema de información
interconectado y complementario.
Las Tecnologías de la información y la comunicación, son un solo concepto en dos vertientes
diferentes como principal premisa de estudio en la ciencias sociales donde tales tecnologías
afectan la forma de vivir de las sociedades.

¿Qué es la información?
han sido recogidos, procesados, almacenados y
recuperados con el prop
financieras y econ
producci
servicios.
la información puede ser definida como los datos queósito de tomar decisionesómicas o para el soporte de unaón y distribución eficientes de bienes y
b
humanos, el capital, las materias primas y demás
equipos.
La información tiene que ser considerada como un recursoásico en una organización, junto a los talentos
como para mejorar su posicionamiento en los negocios.
Es clave para la organización tanto para su supervivencia

Informaci

Informaci
medios especialmente para tomar decisiones en el per
normalmente un a
objetivos estrat
comparaciones entre los resultados actuales y objetivos,
presupuestos y medidas de rendimiento.
ón para el control de gestión ayuda a los mandosíodo actual,ño, para que sean consistentes con loségicos organizativos. Incluye
d
inventario, programaci
de necesidades de materiales, normas y gesti
personal, control del flujo de caja, log
fabricaci
conjunto de operaciones que son necesarias para mantener
la empresa en funcionamiento
Información técnica u operacional se produce por rutina,ía a día e incluye datos de contabilidad, control deón de la producción, planificaciónón delística, ingeniería,ón, recepción, distribución, ventas y todo el
gesti
operativa o t
ón, Información financiera o contable e Informaciónécnica.
los objetivos de la organizaci
recursos necesarias para alcanzar los objetivos y las
pol
tomar decisiones econ
condiciones de los cambiantes mercados e innovaci
tecnol
Información estratégica permite a la alta gerencia definirón, la cantidad y clase deíticas que gobiernan su uso. La alta gerencia tiene queómicas importantes basadas en lasónógica. Parte de esta información es externa.
La información puede ser clasificada en cuatro clases:ón estratégica, Información para el control de
tecnologías de la información y la comunicación (TIC) son un conjunto de servicios,calidad de vida de las
), según lo definido por la asociación de laes “el estudio, diseño,Se ocupa del uso de las computadoras y su
que se genera con el prop
informaci
recoge de acuerdo con Principios Contables
Generalmente Aceptados y son aplicados por los
profesionales contables.


¿Por qué es valiosa la información para la toma de
decisiones?
directamente de la calidad de la información que las
soporta.
La toma de decisiones requiere:
La calidad de las decisiones tomadas depende
rodean un problema.
Un profundo conocimiento de las circunstancias que
Conocimiento de las alternativas disponibles y

Atributos de la información que la hacen valiosa
para la toma de decisiones
Completa
decisi
: Si la información se pierde u oculta al que toma laón, el resultado de la decisión será pobre.
Exacta:
dar como resultado conclusiones invalidas que dar
decisiones err
Errores en la entrada, conversión o procesos puedeán lugar aóneas.
Autorizada
correcta, pero representar transacciones invalidas o no
autorizadas.
: La información puede ser semánticamente
Auditable: La informaci
documentos fuente o su ejecuci
de control monitorizados y preverificados.
ón debe ser seguible a través de losón seguida mediante sistemas
Econ
exceder su valor cuando se utiliza

Adecuada
solamente para aquellos que la necesitan para asegurar una
gesti
disposici
proceso.
: Información específica debe estar disponibleón eficiente. Demasiada información irrelevante aón de quién debe tomar la decisión puede ocultar el
Oportuna o Puntual
a qui
que la necesita.
: La información pierde su valor cuandoén tiene que tomar la decisión, se le entrega después de
Segura
personas no autorizadas, sin ello puede dar lugar a p
econ
destrucciones accidentales o voluntarias

¿Qué hace que la información sea un
recurso crítico para la organización?
universidades revelan que en
productivos y de servicios, una ca
redes y equipos informáticos de tres o cuatro d
puede dar lugar a la p
Los estudios realizados en diversas organizaciones ylos sectores financieros,ída total de lasíasérdida del negocio.
puede proporcionar a los competidores una ventaja
definitiva.

¿Cómo mejorar la gestión y el control
de las T.I.?
de:
Para ello es necesario que las organizaciones puedan disponer
independiente
Una función de auditoría informática.
pr
Una utilización correcta de la informática en laáctica de los distintos tipos de auditoría,
Necesidad de la Auditoría Informática
Por tanto la auditor
ía informática debe analizar:
-
organizaci
gesti
Los sistemas inform
adecuaci
fueron dise
La función informática, que engloba el análisis de laón, seguridad, segregación de funciones yón de las actividades de proceso de datos.áticos, buscando asegurar laón de los mismos a los fines para los queñados.
Objetivos de la Auditoría Informática
Los objetivos de la auditor
ía informática son:
Verificar el control interno de la función informática.
empresa que la informaci
en el momento oportuno, y es fiable, ya que les sirve de
base para tomar decisiones importantes.
Asegurar a la alta dirección y al resto de las áreas de laón que les llega es la necesaria
de la informaci
procesos o por una gesti
de datos.
Eliminar o reducir al máximo la posibilidad de pérdidaón por fallos en los equipos, en losón inadecuada de los archivos
informaci
transacciones que exigen trasvases de fondos.
Detectar y prevenir fraudes por manipulación de laón o por acceso de personas no autorizadas a
Tipos de Auditoría informática
Dentro de la auditoría informática destacan los siguientes tipos (entre otros):
programas, etc.
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los
seguridad exigidas por el Reglamento de desarrollo de la
Auditoría legal del Reglamento de Protección de Datos: Cumplimiento legal de las medidas deLey Orgánica de Protección de Datos.
Auditoría de los datos: Clasificación de los datos, estudio de las aplicaciones y análisis de los flujogramas.
datos.
Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los
confidencialidad, autenticación y no repudio.
Auditoría de la seguridad: Referidos a datos e información verificando disponibilidad, integridad,
riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones
externas (arcos de seguridad, CCTV, vigilantes, etc.) y protecciones del entorno.
Auditoría de la seguridad física: Referido a la ubicación de la organización, evitando ubicaciones de
información.
Auditoría de la seguridad lógica: Comprende los métodos de autenticación de los sistemas de
sistemas de comunicación.
Auditoría de las comunicaciones. Se refiere a la auditoria de los procesos de autenticación en los
Auditoría de la seguridad en producción: Frente a errores, accidentes y fraudes.
¿Qué hace la Auditoría Informática?
problemas en el apoyo informático a los
procesos de negocios originados por un mal
uso informático y/o del control.
Detectar evidencias de riesgos y/o

ENFOQUES DE LA AUDITORIA INFORMATICA
Sugerir mejoras
La definición de unos objetivos de control deT.I.
la pérdida de confidencialidad en las bases de datos
: La información debe ser protegida de su difusión aérdidasómicas en la organización. Debe estar protegida contra
ómica: El coste de producir la información debería no
Estrategias competitivas.
Información contable y financiera es la informaciónósito de control eón financieros. Este tipo de información se


Auditoría alrededor del computador
En este enfoque de auditoría, los programas y los archivos de datos no se auditan.
La auditoría alrededor del computador concentra sus esfuerzos en la entrada de datos y en la salida de información. Es el
más cómodo para los auditores de sistemas, por cuanto únicamente se verifica la efectividad del sistema de control
interno en el ambiente externo de la máquina. Naturalmente que se examinan los controles desde el origen de los datos
para protegerlos de cualquier tipo de riesgo que atente contra la integridad, completitud, exactitud y legalidad.
La auditoría alrededor del computador no es tan simple como aparentemente puede presentarse, pues
tiene objetivos muy importantes como:
1. Verificar la existencia de una adecuada segregación funcional.
2. Comprobar la eficiencia de los controles sobre seguridades físicas y lógicas de los datos.
3. Asegurarse de la existencia de controles dirigidos a que todos los datos enviados a proceso estén autorizados.
4. Comprobar la existencia de controles para asegurar que todos los datos enviados sean procesados.
5. Cerciorarse que los procesos se hacen con exactitud.
6. Comprobar que los datos sean sometidos a validación antes de ordenar su proceso.
7. Verificar la validez del procedimiento utilizado para corregir inconsistencias y la posterior realimentación de los datos
corregidos al proceso.
8. Examinar los controles de salida de la información para asegurar que se eviten los riesgos entre sistemas y el usuario.
9. Verificar la satisfacción del usuario. En materia de los informes recibidos.
10. Comprobar la existencia y efectividad de un plan de contingencias, para asegurar la continuidad de los procesos y la
recuperación de los datos en caso de desastres.
Auditoría a través del computador
del enfoque de auditoría alrededor del computador, en el sentido de que su acción va dirigida a evaluar el
sistema de controles diseñados para minimizar los fraudes y los errores que normalmente tienen origen
en los programas.
Este enfoque es más exigente que el anterior, por cuanto es necesario saber con cierto rigor, lenguajes de
programación o desarrollo de sistemas en general, con el objeto de facilitar el proceso de auditaje.
Objetivos de esta auditoría
1. Asegurar que los programas procesan los datos, de acuerdo con las necesidades del usuario o dentro de
los parámetros de precisión previstos.
2. Cerciorarse de la no-existencia de rutinas fraudulentas al interior de los programas.
3. Verificar que los programadores modifiquen los programas solamente en los aspectos autorizados.
4. Comprobar que los programas utilizados en producción son los debidamente autorizados por el
administrador.
5. Verificar la existencia de controles eficientes para evitar que los programas sean modificados con fines
ilícitos o que se utilicen programas no autorizados para los procesos corrientes.
6. Cerciorarse que todos los datos son sometidos a validación antes de ordenar su proceso
correspondiente.
Informe de Auditoría: deberá orientarse a opinar sobre la validez de los controles, en
Este enfoque está orientado a examinar y evaluar los recursos del software, y surge como complemento

este caso de
software, para proteger los datos en su proceso de conversión en información.
Auditoría con el computador
magnéticos, con el auxilio del computador y de software de auditoría generalizado y /o a la medida.
Este enfoque es relativamente completo para verificar la existencia, la integridad y la exactitud de los
datos, en grandes volúmenes de transacciones.
La auditoría con el computador es relativamente fácil de desarrollar porque los programas de auditoría
vienen documentados de tal manera que se convierten en instrumentos de sencilla aplicación.
Normalmente son paquetes que se aprenden a manejar en cursos cortos y sin avanzados conocimientos
de informática. Los paquetes de auditoría permiten desarrollar operaciones y prueba, tales como:
1- recálculos y verificación de información, como por ejemplo, relaciones sobre nómina, montos de
depreciación y acumulación de intereses, entre otros.
2- Demostración gráfica de datos seleccionados.
3- Selección de muestras estadísticas.
4- Preparación de análisis de cartera por antigüedad.
Informe de Auditoría: Este informe deberá versar sobre la confiabilidad del sistema de control interno
para proteger los datos sometidos a proceso y la información contenida en los archivos maestros.
Los tres (3) enfoque de auditoría vistos, son complementarios, pues ninguno de los tres, es suficiente
para auditar aplicaciones en funcionamiento.
Este enfoque va dirigido especialmente, al examen y evaluación de los archivos de datos en medios

Auditoría Interna informática
Hoy la auditor
ía interna es:
todas las operacionesTIC de las organizaciones.
Una unidad con atribuciones y facultades para auditar
independiente establecida dentro de una organizaci
para examinar y evaluar sus actividades como un
servicio a la organizaci
Se define como una función de valoraciónónón.
en el cumplimiento efectivo de sus responsabilidades
informaci
proporciona análisis, valoraciones, recomendaciones, consejo eón sobre las actividades revisadas.
evaluaci
control interno y la calidad de la de ejecuci
realizaci
El alcance de la auditoría interna debe abarcar el examen yón de la adecuación y efectividad del sistema deón en laón de las responsabilidades asignadas.
Auditoría Externa
servicio p
profesionales calificados en Auditoría Informática,
que consiste en la realizaci
t
de expresar su opini
auditado presentan violaciones, irregularidades,
fraudes u errores en un momento dado, sus
resultados y hallazgos durante un periodo
determinado, de acuerdo con las normas de control
interno, normas ISO, de la Contraloría General de la
República y otras que sea de competencias.
La auditoría externa se puede definir como unúblico o privado prestado porón, según normas yécnicas específicas, de una revisión de las TIC, a finón independiente sobre si lo
Su objetivo es asistir a los miembros de la organización

No hay comentarios:

Publicar un comentario en la entrada