Auditoria Justificacion

5/13/2018 Auditoria Justificacion - slidepdf.com

http://slidepdf.com/reader/full/auditoria-justificacion 1/8

JUSTIFICATIVOS PARA EFECTUAR UNA AUDITORÍA DE SISTEMAS

Las empresas acuden a las auditorías cuando existen síntomas bien perceptibles dedebilidad. Estos síntomas pueden agruparse en clases:

1. Síntomas de descoordinación y desorganización:y No coinciden los objetivos de la Informática de la Compañía y de la propia

Compañía.y Los estándares de productividad se desvían sensiblemente de los promedios

conseguidos habitualmente.y Desconocimiento en el nivel directivo de la situación informática de la empresay Falta de una planificación informáticay Falta de documentación o documentación incompleta de sistemas que revela la

dificultad de efectuar el mantenimiento de los sistemas en producción

2. Síntomas de mala imagen e insatisfacción de los usuarios:y No se atienden las peticiones de cambios de los usuarios. Ejemplos: cambios

de Software en los terminales de usuario, refrescamiento de paneles, variaciónde los ficheros que deben ponerse diariamente a su disposición, etc.

y No se reparan las averías de Hardware ni se resuelven incidencias en plazosrazonables. El usuario percibe que está abandonado y desatendidopermanentemente.

y No se cumplen en todos los casos los plazos de entrega de resultadosperiódicos. Pequeñas desviaciones pueden causar importantes desajustes enla actividad del usuario, en especial en los resultados de Aplicaciones críticas y

sensibles.y Descontento general de los usuarios por incumplimiento de plazos y

mala calidad de los resultados

3. Síntomas de debilidades económico-financiero:y Incremento desmesurado de costes.y Necesidad de justificación de Inversiones Informáticas (la empresa no está

absolutamente convencida de tal necesidad y decide contrastar opiniones).y Desviaciones Presupuestarias significativas.

y Costes y plazos de nuevos proyectos (deben auditarse simultáneamente aDesarrollo de Proyectos y al órgano que realizó la petición).

4. Síntomas de Inseguridad: Evaluación de nivel de riesgos



Seguridad Lógica: Cuando no hay una aplicación efectiva de barreras y procedimientosque resguarden el acceso a los datos y sólo se permita acceder a ellos a las personasautorizadas para hacerlo y pueda ocasionar lo siguiente:

y Acceso a los programas y archivos no autorizados.y

Existen datos, archivos y/o programas que generan resultados o salidasincorrectas en los sistemas.y La información transmitida ha sido recibida a otros destinatariosy La información recibida no sea la misma que ha sido transmitida.

Seguridad Física: Se refiere a la deficiencia o ausencia de controles y mecanismos deseguridad dentro y alrededor del Centro de Cómputo así como los medios de accesoremoto al y desde el mismo; implementados para proteger el hardware y medios dealmacenamiento de datos.

Las principales amenazas que se prevén en la seguridad física que justifican una auditoriade sistemas son por verificación de información y causantes ante:

y Desastres naturales, incendios accidentales, tormentas e inundaciones.y Amenazas ocasionadas por el hombre como: Disturbios, sabotajes internos y

externos deliberados.

JUSTIFICATIVOS PARA APLICAR UNA AUDITORÍA A LOS SISTEMAS DEINFORMACIÓN

Al considerar un Sistema de Información como un conjunto de normas y procesosgenerales de una determinada, se deben considerar algunos puntos negativos y positivosque afectan directamente al sistema así por ejemplo cuando existe migración de datos, lainformación migra o se cambia a otro sistema más sofisticado):

Actualizaciones:

Se refiere a que los sistemas de información de cualquier empresa, debe ser revisadoperiódicamente; no con una frecuencia continua, sino más bien espaciada, se recomiendalas revisiones bianuales (No se recomienda que se actualice en una empresa

paulatinamente, por ejemplo el software, cuadros estadísticos, es recomendable dentro deun año cambiarlo, todo lo que es máquinas y software; porque si no realizaríamos esto, secambiaría toda la estructura organizacional de la misma).

Reestructuración Organizacional:



Puede ser una reestructuración con los mismos puestos. Una reestructuraciónorganizacional con cualquier empresa, implica cambios siempre en vista a buscar unmejor funcionamiento, evitar la burocracia, agilitar trámites o procesos, la reestructuraciónpuede ser de varios tipos, así por ejemplo. Aumentar o disminuir departamentos, puestos,reestructuración de objetivos, etc. Siempre la reestructuración afecta a los sistemas de

información de la empresa.

Revisión y Valorización del escalafón:

No es para bien si no también para mal. La revisión y la revalorización del escalafón seespera que afecte a favor de los sistemas de información de las empresas, si el efecto escontrario el auditor informático deberá emitir un informe del empleado a los empleados(Específicamente de departamentos), que están boicoteando la información de laempresa.

Cambios en el flujo de Información:

Se refiere al cambio de flujo de datos exclusivamente en el área informática, esto afectadirectamente en sistema informático y por tanto al sistema de información. En lo querespecta a la Auditoría informática, el efecto puede ser positivo y negativo, dependiendo alos resultados obtenidos en cuanto al proceso de datos (menos seguridad, más seguridad,backup). Así por ejemplo: Se ha cambiado el flujo de información en el área contable,para generar los roles mensuales (De inicio del rol era realizado por la secretaria, la cualingresaba las existencias, fallas, atrasos, etc.; determinando un monto a descontar. Un

monto bruto y un salario final, esto pasaba a la contadora para que justifiqueespecialmente multas, se rectificaba en algunos casos, y se mandaba a imprimir el rol. Seconsidera un nuevo flujo de información, en el cual se ingresan los datos a un sistemainformático, y de acuerdo a los parámetros y normas de la empresa el sistema arroja unsueldo líquido a cobrarse, genera automáticamente el reporte, los cheques y el contador solo aprueba este reporte).

VENTAJAS Y DESVENTAJAS DEL USO DEL COMPUTADOR POR ELAUDITOR.

Ventajas

En general, el auditor debe utilizar la computadora en la ejecución de la auditoria ya queesta herramienta permitirá ampliar la cobertura del examen reduciendo el tiempo y costode las pruebas y procedimientos de muestreo que de otra manera tendrían que efectuarsemanualmente. Además la computadora puede ser empleada por el auditor en:



Verificación de cifras totales y cálculos para comprobar la exactitud de los reportes desalida producidos por el departamento de informática.

y Pruebas de los registros de los archivos para verificar la consistencia lógica lavalidación de condiciones y la racionabilidad de los montos de las operaciones.

y

Clasificación de datos y análisis de la ejecución de procedimientosy Selección e impresión de datos mediante técnicas de muestreo y confirmacionesy Llevar a cabo en forma independiente una simulación del proceso de

transacciones.

Desventajas:

Los procedimientos de Obtención de la evidencia de auditoría pueden aplicarse por mediodel uso de procedimientos de auditoría manual, técnicas de auditoría asistida por computador, o una combinación de ambos. Sin embargo algunos solo pueden obtenerse

de forma manual en los siguientes casos:

Evidencia física: Deben realizarse manualmente y puede incluir observación deactividades, propiedad y funciones de los sistemas de información, tales como: Uninventario de medios magnéticos en una bodega externa; o Un sistema de seguridadresidente en un computador que esté en operación.

Evidencia documentada: Puede incluir: Resultado de datos extraídos, registro detransacciones, programas registrados Facturas, control de registro, representación deaquellas auditorías que han sido o pueden ser evidencia documentada como: Políticas yprocedimientos escritos, Sistemas flowcharts y Declaración oral y escrita

Los resultados del análisis de la información a través de comparaciones, cálculos eíndices pueden también ser usados como evidencia de auditoría. Por ejemplo,comparación a periodos anteriores; y comparación de índices de tasas erróneas entreaplicaciones, transacciones y usuarios.

Disponibilidad y evidencia de auditoría: El auditor de debe considerar el tiempodurante el cual la información existe o está disponible para determinar la naturaleza,período y extensión de las pruebas sustantivas, y , si es aplicable, la prueba decumplimiento. Por ejemplo, el reporte de un estado de cuenta de un cliente que arrojó unsaldo errado, pero que actualmente se muestre correcto, o un programa de captura

pantalla mostrando un error, son elementos que pueden no ser recuperables después deun período específico de tiempo si los archivos se cambian o no se respaldan.

Evidencia por representaciones: Donde la evidencia de auditoría obtenida en la formade representaciones orales es crítica para la opinión o conclusión de auditoría, el auditor debe obtener confirmación escrita de las afirmaciones. Por ejemplo, donde la únicaevidencia de auditoría de que los reportes de excepción se siguen es lo que dice laadministración, este es el caso en que estas afirmaciones deben obtenerse por escrito.



Obtención de la evidencia de auditoría: No siempre se usan métodos automatizadospara obtener evidencias de auditoría. Estos procedimientos varían de acuerdo al sistemade información que está siendo auditado. El auditor debe seleccionar el procedimientomás apropiado para el objetivo de la auditoría. Deben considerarse los siguientesprocedimientos: Consultas, Observaciones, Inspección, Confirmación; y Reejecución,

apoyados en las Entrevistas, Cuestionarios, Encuestas, Observación, Muestreo eInventarios.

OTRAS VENTAJAS Y DESVENTAJAS DEL USO DEL COMPUTADOR POR ELAUDITOR.

La auditoría no es una actividad meramente automatizada, que implique la aplicación deciertos procedimientos cuyos resultados, una vez llevados a cabo son de de carácter

indudable. La auditoría requiere el ejercicio de un juicio profesional, sólido maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos, pero lospaquetes informáticos disponibles en el mercado ayudan a la tarea del auditor.

Los programas en paquete: S on programas generalizados de computadora diseñadospara desempeñar funciones de procesamiento de datos, tales como leer datos,seleccionar y analizar información, hacer cálculos, crear archivos de datos así como dar informes en un formato especificado por el auditor. Ejemplo: Microsoft Office, Open Office

Ventajas: Esenciales para la creación de documentos. De no tener ésta herramientatomaría mucho trabajo y tiempo crear y presentar documentos. Compatibles con casi

todos los paquetes existentes en el mercado. Fáciles de modificar y compartir,

Desventajas: Archivos propensos a contaminación con virus y a modificación oeliminación por terceros.

Los programas de utilerías: Se usan por una entidad para desempeñar funcionescomunes de procesamiento de datos, tales como clasificación, creación e impresión dearchivos y manejo de archivos.

Ventajas: Están integrados en los sistemas operativos de las máquinas, Útiles para

manejo de archivos (copiar, editar, proteger, eliminar y visualizar archivos), compilar programas, detectar virus.

Desventajas: Estos programas generalmente no están diseñados para propósitos deauditoría y, por lo tanto, pueden no contener características tales como conteosautomáticos de registros o totales de control.



Los programas de administración del sistema: Son herramientas de productividadmejorada que típicamente son parte de un ambiente sofisticado de sistemas operativos,por ejemplo, software de recuperación de datos o software de comparación de códigos,manejadores de bases de datos

Ventajas: Alto grado de compatibilidad o semejanza con otras aplicaciones. Puedenpermitir la organización de datos, generación de informes, control de cálculos, fijación deparámetros, comparación de datos, manipulación de archivos, generación de papeles detrabajo, selección de transacciones para su revisión.

Desventajas: Como los programas de utilerías, estas herramientas no están diseñadasespecíficamente para usarlos en auditoría y su uso requiere un cuidado adicional.

Las rutinas de auditoría incorporadas: a veces están integradas en un sistema decomputadoras de una entidad para proporcionar datos de uso posterior por el auditor.

Incluyen:

Ventajas: Pueden incorporar fotos instantáneas de transacciones que permite al auditor rastrear los datos y evaluar los procesos de computadora aplicados a los datos. Lainformación es reunida en un archivo especial de computadora que el auditor puedeexaminar.

Desventajas: El auditor debe conocer con exactitud el tipo de datos que se monitorea, yademás, es posible que los datos que se registran en el monitoreo sean insuficientescomo evidencia.

Los programas escritos para un propósito: Desempeñan tareas de auditoría encircunstancias específicas. Estos programas pueden desarrollarse por el auditor, por laentidad que está siendo auditada o por un programador externo contratado por el auditor.En algunos casos el auditor puede usar los programas existentes de una entidad en suestado original o modificados porque así puede ser más eficiente que desarrollar programas independientes.

Ventajas

y Diseño de procedimientos específicos al Sistema Informático empleado para elregistro de operaciones.

y No presenta limitaciones relacionadas con el lenguaje de consulta que emplea.y Permite la verificación de controles de aplicación, tales como: Secuencia,

Integridad, Rango, Validez, Fecha, etc.y Se pueden confeccionar varios reportes para ser empleados en procedimientos

posteriores.



y Permite organizar datos, consolidarlos y totalizarlos en función de los objetivosperseguidos por el auditor.

y Se puede simular en paralelo los procedimientos a partir de los mismos datos deentrada, para comparar los resultados obtenidos con los ficheros de salida de laaplicación auditada.

Desventajas

y Elevado costo de desarrollo.y Limitado número de reportes y consultas.y Son dependientes del sistema en uso en la entidad auditada.y Necesidad de mantenimiento del sistema debido a las modificaciones que habrá

tenido la aplicación en los exámenes subsiguientes o por cambio de aplicación.

Programas especializados para auditoria de sistemas: Las técnicas de auditoríaasistidas por computadora son de suma importancia para el auditor de TI cuando realizauna auditoría. CAAT (Computer Audit Assisted Techniques) incluyen distintos tipos deherramientas y de técnicas, las que más se utilizan son los software de auditoríageneralizado, software utilitario, los datos de prueba y sistemas expertos de auditoría

Ventajas:

y

Los costos que debe enfrentar ante las modificaciones de las aplicaciones sonmenores.y Poseen características individuales y únicas, tendiendo a ser similares en cuanto a

concepto y propósitos.y Poseen una amplia gama de funciones dirigidas a la verificación del

procesamiento y los controles.

Desventajas:

y Limitaciones relacionadas con el lenguaje de consulta que emplea.y Con el incremento de las tecnologías de punta y la necesaria generalización de las

aplicaciones informáticas de auditoría, el auditor tradicional debe enfrentarse alcambio, por lo que tendrá que vencer los retos que este cambio representa.

y Nueva Técnica Informática, su auditabilidad e impacto en los procedimientos ycontroles.

y Adaptar conceptos clásicos de control a la nueva tecnología.y Desarrollo de nuevas técnicas y herramientas para obtener evidencias.



y Aprovechar en su trabajo las ventajas de las Técnicas Informáticas.y Necesidad de pistas de auditorías más sofisticadas.y Desarrollar nuevas habilidades para coordinar con otros especialistas.y El auditor de sistemas de información debe conocer y ajustarse a las Normas

Internacionales de Auditoría.

Auditoria Justificacion

Documents

Transcript of Auditoria Justificacion