unidad 1: auditoria
informatica
Auditoría
informática
Definición:
Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos.
Disciplina incluida en el campo de la auditoría que se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente que realiza un dictamen sobre diferentes aspectos.
Conjunto
de procedimientos y técnicas para evaluar y controlar, total o parcialmente, un
sistema informático, con el fin de proteger sus activos y recursos, verificar
si sus actividades se desarrollan eficientemente y de acuerdo con la normativa
informática y general existentes en cada empresa y para conseguir la eficacia
exigida en el marco de la organización correspondiente
Auditoría
externa: es realizada por auditores totalmente ajenos a la empresa, esto
permite que el auditor externo utilice su libre albedrío en la aplicación de
los métodos, técnicas y herramientas con las cuales hará la evaluación de las
actividades y operaciones de la empresa que audita.
Ventaja.-
Al no
tener ninguna dependencia de la empresa, el trabajo de los auditores es
totalmente independiente y libre de cualquier injerencia por parte de las autoridades
de la empresa auditada.
Desventaja.-
Al
auditor conocer poco la empresa, su evaluación puede estar limitada a la información
que pueda recopilar.
Auditoría
interna: es realizada por un auditor que
labora en la empresa donde se realiza la misma.
Ventaja.-
Debido a
que el auditor pertenece a la empresa, casi siempre conoce integralmente sus
actividades, operaciones y áreas; por lo tanto su revisión puede ser más
profunda y con mayor conocimiento de las actividades, funciones y problemas de
la institución.
Desventaja.-
Su
veracidad, alcance y confiabilidad pueden ser limitados, debido a que puede
haber cierta injerencia por parte de las autoridades de la institución sobre la
forma de evaluar y emitir el informe.
CLASIFICACIÓN
DE AUDITORÍAS POR SU ÁREA DE APLICACIÓN
Auditoría
financiera (contable).- La actividad del auditor consiste en revisar la
correcta aplicación de los registros contables y operaciones financieras de las
empresas.
Auditoría
administrativa.- Es la revisión sistemática y exhaustiva que se realiza a la
actividad administrativa de una empresa, en cuanto a su organización, las
relaciones entre sus integrantes y el cumplimiento de las funciones y actividades
que regulan sus operaciones.
Auditoría
operacional.- Es la revisión sistemática y exhaustiva, sistemática y especifica
que se realiza a las actividades de una empresa, con el fin de evaluar su
existencia, suficiencia, eficacia, eficiencia y el correcto desarrollo de sus
operaciones.
Auditoría
integral.- Es la revisión exhaustiva, sistemática y global que realiza un
equipo multidisciplinario de profesionales a todas las actividades y operaciones
de una empresa, con el propósito de evaluarla de manera integral, todas sus
áreas administrativas.
Auditoría
gubernamental.- Es la revisión exhaustiva, sistemática y concreta que se
realiza a todas las actividades y operaciones de una entidad gubernamental.
Auditoría
informática.- Es la revisión técnica, especializada y exhaustiva que se realiza
a los sistemas computacionales, software e información utilizados en una
empresa, sean individuales, compartidos o de redes, así como a sus
instalaciones, telecomunicaciones, mobiliario, equipos periféricos, y demás
componentes. El propósito fundamental es evaluar el uso adecuado de los
sistemas para el correcto ingreso de los datos, el procesamiento adecuado y la
emisión oportuna de sus resultados en la organización.
Auditoría
fiscal.- Es realiza a los registros y operaciones contables de una empresa.
Auditoría
laboral.- Es realizada a las actividades, funciones y operaciones relacionadas
con el factor humano de una empresa.
Auditoría
de proyecto des de los recursos económicos de una institución pública o
privada.
Auditoría
a la caja chica o caja mayor (arqueos).- Es la revisión periódica del manejo
del efectivo que se asigna a una persona o área de una empresa, de los
comprobantes de ingresos y egresos generados por sus operaciones cotidianas.
Auditoría
al manejo de mercancías (inventarios).- Es la revisión física que se realiza a
través del conteo de los bienes, productos y materias primas, intermedias o de
consumo final de una empresa.
Auditoría
ambiental.- Es la evaluación que se hace de la calidad del aire, la atmósfera,
el ambiente, las aguas, ríos, lagos y océanos, así como la conservación de la
flora y la fauna.
Auditoría
de sistemas computacionales (auditoria informática).- Las definiciones para la
auditoria de sistemas computacionales son las siguientes:
Auditoría
informática.- Es la revisión que se realiza a los sistemas computacionales,
software e información utilizados en una empresa.
Auditoría
con la computadora.- Es la que se realiza con el apoyo de los equipos de
computo y sus programas para evaluar cualquier tipo de actividades y
operaciones, no necesariamente computarizadas, pero si susceptibles de ser
automatizadas.
Auditoría
sin la computadora.- Es la auditoría que se realiza con técnicas y procedimientos
tradicionales del comportamiento y valides de las transacciones económicas,
administrativas y operacionales de un área de computo.
Auditoría
a la gestión informática.- Su aplicación se enfoca exclusivamente a la revisión
de las funciones y actividades de tipo administrativo que se realizan dentro de
un centro de cómputo, tales como planeación, organización, dirección y control
del centro.
Auditoría
al sistema de cómputo.- Esta se enfoca únicamente a la evaluación del
funcionamiento y uso correctos del equipo de cómputo, su hardware, software y
periféricos.
Auditoría
alrededor de la computadora.- Es la que se realiza a todo lo que está alrededor
de un equipo de cómputo.
Auditoría
de la seguridad de los sistemas computacionales.- Se realiza a todo lo relacionado
con la seguridad de un sistema de cómputo, sus áreas y personal, así como a las
actividades, funciones y acciones preventivas y correctivas que contribuyan a
salvaguardar la seguridad de los equipos computacionales.
Auditoría
a los sistemas de redes.- Se realiza a los sistemas de redes de una empresa,
considerando en su evaluación los tipos de redes, arquitectura, topología, sus
protocolos de comunicación, las conexiones, accesos, privilegios,
administración.
Auditoría
integral a los centros de cómputo.- Es una revisión global, con el fin de
evaluar de forma integral el uso adecuado de su sistema de cómputo.
Auditoría
ergonómica de sistemas computacionales.- Se realiza para evaluar la calidad,
eficiencia y utilidad del entrono hombre-máquina-medio ambiente que rodea el
uso de sistemas computacionales en una empresa.
OBJETIVOS
GENERALES DE LA AUDITORÍA
Realizar
una revisión independiente de las actividades, áreas o funciones especiales de
una institución, a fin de emitir un dictamen profesional sobre la razonabilidad
de sus operaciones y resultados.
Hacer una
revisión especializada, desde un punto de vista profesional y autónomo, del
aspecto cantable, financiero y operacional de las áreas de una empresa.
Evaluar
el cumplimiento de los planes, programas, políticas, normas y lineamientos que
regulan la actuación de los empleados y funcionarios de una institución.
Dictaminar
de manera profesional e independiente sobre los resultados obtenidos por una
empresa y sus áreas, así como sobre el desarrollo de sus funciones y el
cumplimiento de sus objetivos y operaciones.
1.3 Normas y procedimientos de auditoria.
Las
normas de auditoría son los requisitos mínimos de calidad relativos a la
personalidad del auditor, al trabajo que desempeña ya la información que rinde
como resultado de este trabajo.
Las
normas de auditoría se clasifican en:
a.
Normas personales.
b.
Normas de ejecución del trabajo.
c.
Normas de información.
Normas personales.-son cualidades que el auditor debe tener para ejercer sin
dolo una auditoría, basados en un sus conocimientos profesionales así como en
un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus
sugerencias.
Normas de ejecución del
trabajo.-
son
la planificación de los métodos y procedimientos, tanto como papeles de trabajo
a aplicar dentro de la auditoría.
Normas de información.-
son
el resultado que el auditor debe entregar a los interesados para que se den
cuenta de su trabajo, también es conocido como informe o dictamen.
Técnicas.
Se
define a las técnicas de auditoría como “los métodos
prácticos de investigación y prueba que utiliza el auditor para obtener la
evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se
basa en su criterio o juicio, según las circunstancias”.
Al
aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la
empresa u organización a ser auditada, que pudieran necesitar una mayor
atención.
Las
técnicas procedimientos están estrechamente relacionados, si las técnicas no
son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de
ejecución, por lo cual las técnicas así como los procedimientos de auditoría
tienen una gran importancia para el auditor.
Según
el IMCP en su libro Normas y procedimientos de auditoría las técnicas se clasifican
generalmente con base en la acción que se va a efectuar, estas acciones pueden
ser oculares, verbales, por escrito, por revisión del contenido de documentos y
por examen físico.
Siguiendo
esta clasificación las técnicas de auditoría se agrupan específicamente de la
siguiente manera:
·
Estudio General
·
Análisis
·
Inspección
·
Confirmación
·
Investigación
·
Declaración
·
Certificación
·
Observación
·
Cálculo
Procedimientos.
Al
conjunto de técnicas de investigación aplicables a un grupo de hechos o
circunstancias que nos sirven para fundamentar la opinión del auditor dentro de
una auditoría, se les dan el nombre de procedimientos de auditoría en
informática.
La
combinación de dos o más procedimientos, derivan en programas de auditoría, y
al conjunto de programas de auditoría se le denomina plan de auditoría, el cual
servirá al auditor para llevar una estrategia y organización de la propia
auditoría.
El
auditor no puede obtener el conocimiento que necesita para sustentar su opinión
en una sola prueba, es necesario examinar los hechos, mediante varias técnicas
de aplicación simultánea.
En
General los procedimientos de auditoría permiten:
·
Obtener conocimientos del control
interno.
·
Analizar las características del
control interno.
·
Verificar los resultados de control
interno.
·
Fundamentar conclusiones de la
auditoría.
Por
esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o
procedimiento de auditoría serán los mas indicados para obtener su opinión.
Análisis de datos.
Dentro
de este trabajo, desarrollaremos diversos tipos de técnicas y procedimientos de
auditoría, de los cuales destacan el análisis de datos, ya que para las
organizaciones el conjunto de datos o información son de tal importancia que es
necesario verificarlos y comprobarlos, así también tiene la misma importancia
para el auditar ya que debe de utilizar diversas técnicas para el análisis de
datos, las cuales se describen a continuación.
Comparación de programas.-
esta
técnica se emplea para efectuar una comparación de código (fuente, objeto o
comandos de proceso) entre la versión de un programa en ejecución y la versión
de un programa piloto que ha sido modificado en forma indebida, para encontrar
diferencias.
Mapeo y rastreo de
programas.-
esta
técnica emplea un software especializado que permite analizar los programas en
ejecución, indicando el número de veces que cada línea de código es procesada y
las de las variables de memoria que estuvieron presentes.
Análisis de código de
programas.-
Se
emplea para analizar los programas de una aplicación. El análisis puede
efectuarse en forma manual (en cuyo caso sólo se podría analizar el código
ejecutable).
Datos de prueba.-
Se
emplea para verificar que los procedimientos de control incluidos los programas
de una aplicación funcionen correctamente. Los datos de prueba consisten en la
preparación de una serie de transacciones que contienen tanto datos correctos
como datos erróneos predeterminados.
Datos de prueba
integrados
Técnica
muy similar a la anterior, con la diferencia de que en ésta se debe crear una
entidad, falsa dentro de los sistemas de información.
Análisis de bitácoras
Existen
varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en
forma manual o por medio de programas especializados, tales como bitácoras de
fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de
recursos, bitácoras de procesos ejecutados.
Simulación paralela
Técnica
muy utilizada que consiste en desarrollar programas o módulos que simulen a los
programas de un sistema en producción. El objetivo es procesar los dos
programas o módulos de forma paralela e identificar diferencias entre los
resultados de ambos.
Monitoreo.
Dentro
de las organizaciones todos los procesos necesitan ser evaluados a través del
tiempo para verificar su calidad en cuanto a las necesidades de control,
integridad y confidencialidad, este es precisamente el ámbito de esta técnica,
a continuación se muestran los procesos de monitoreo:
·
M1 Monitoreo del proceso.
·
M2 Evaluar lo adecuado del control
Interno.
·
M3 Obtención de aseguramiento
independiente.
·
M4 Proveer auditoría independiente.
Planeación.-
De la adecuada Planeación
y Supervisión el auditor podrá obtener los resultados satisfactorios que le
sirvan de base para sustentar su opinión manifestada en su dictamen. Por
esto una de las Normas de Auditoría le obliga a que su trabajo deba ser
técnicamente planeado y ejercerse una supervisión apropiada sobre los
asistentes si estos participan en el examen, como una garantía de calidad hacia
los usuarios. La Planeación de la Auditoría permite establecer la extensión y
el alcance de las pruebas a utilizar y la supervisión sobre el recurso humano
que le colaborará durante el desarrollo del trabajo, además le permitirá:
q Conocer el manejo de la institución sujeta a examen y destacar los
problemas que la aquejan.
q Conocer sus instalaciones físicas
q Adquirir conocimientos del sistema de contabilidad del cliente, de
las políticas y los procedimientos de control interno.
q Establecer el estado de confianza que se espera tener en el control
interno.
q Determinar y programar la naturaleza, la oportunidad de los
procedimientos de Auditoría que se llevarán a cabo.
q Coordinar el trabajo que habrá de efectuarse.
Planeación y supervision
El auditor para realizar su trabajo, la
mayoría de veces necesita ayudantes, los cuales deben ser supervisados
adecuadamente. Las razones para realizar una apropiada supervisión sobre
los asistentes radica en que la responsabilidad del auditor no puede de manera
alguna ser delegada y al cliente que contrató la auditoría debe garantizársele
un trabajo de calidad.
Para lograr el cumplimiento de la
supervisión, la primera Norma de Auditoría relativa a la ejecución del trabajo
obliga al auditor a ejercer supervisión sobre sus ayudantes cuando reza: "El trabajo debe ser
técnicamente planeado y debe ejercerse una supervisión apropiada sobre los
asistentes si los hubiere"[Ley 43, 7°]
La supervisión deberá ejercerse en todas las fases de la auditoría, durante
la planeación, la ejecución del trabajo y hasta la culminación del
mismo. El grado de supervisión a aplicarle a cada asistente
se relacionará con la capacidad de cada uno y su experiencia en la labor de
auditaje. Una vez que el auditor ha establecido un adecuado sistema de
supervisión podrá verificarlo, analizarlo, y corregirlo donde lo crea más
conveniente.
Técnicas.-
Las técnicas de auditoria
asistidas por computadora taac’s son herramientas, que nos facilitan el estudio
de la informática mediante procesos, que nos llevan a la eficiencia y
confiabilidad de los análisis realizados por el auditor, de forma que se crea
confianza para las entidades que requieren de este sistema.
1. DEFINICION DE CAAT´S
Son un conjunto de técnicas y herramientas utilizados
en el desarrollo de las auditorias informáticas con el fin de mejorar la
eficiencia, el alcance y la confiabilidad de los análisis efectuados por el
auditor, a los sistemas y datos de la entidad auditada. También incluye
métodos y procedimientos empleados por el auditor para efectuar su
trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros
y los cuales son de suma importancia para el auditor informático cuando este
realiza una auditoria.
2. MENCIONA
LAS VENTAJAS DE SU USO EN TÉRMINOS GENERALES
·
Brindan
al auditor autonomía e independencia de trabajo.
·
Incrementan
el alcance y calidad de los muestreos, verificando un gran numero de elementos.
·
Elevan la
calidad y fiabilidad de las verificaciones a realizar.
·
Reducen
el periodo de prueba y procedimientos de muestreos a un menor costo.
·
Incrementar
o amplían el alcance de la investigación y permiten realizar pruebas
que no pueden efectuarse manualmente.
·
Disminución
considerable del riesgo de no-detección de los problemas.
·
Posibilidad de que los auditores actuantes puedan
centrar su atención en aquellos indicadores que muestren saldos
inusuales o variaciones.
TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA
1. Técnicas
administrativas:
Permiten al auditor establecer el alcance de la
revisión, definir las áreas de interés y la metodología a seguir para la
ejecución del examen.
·
Selección de áreas de auditoria: Mediante esta técnica, el auditor
establecer las aplicaciones críticas o módulos específicos dentro de
dichas aplicaciones que necesitan ser revisadas periódicamente, que permitan
obtener información relevante respecto a las operaciones normales del negocio.
·
Modelaje: Esta técnica es muy similar a la técnica de
selección de áreas de auditoria, cuya diferencia radica en los objetivos y
criterios de selección de las áreas de interés.
·
Sistema de puntajes: A través de esta técnica el
auditor selecciona las aplicaciones críticas de la organización de acuerdo a un
análisis de los riesgos asociados a dichas aplicaciones y que están
directamente relacionados con la naturaleza del negocio mediante
asignarle a cada riesgo un puntaje de ocurrencia.
·
Software de auditoria multisitio: Se basa sobre el mismo concepto
de los sistemas distribuidos, en el que una organización con varias sucursales
u oficinas remotas.
·
Centros de competencia: Consiste en centralizar la
información que va a ser examinada por el auditor, a través de la designación
de un lugar específico que recibirá los datos provenientes de todas las
sucursales.
Técnicas para evaluar los controles de aplicaciones de producción:
Se orientan básicamente a verificar cálculos en
aplicaciones complejas, comprobar la exactitud del procesamiento en forma
global
·
Método de datos de prueba: Consiste en la elaboración de un
conjunto de riesgos que sean representativos de una o varias transacciones que
son realizadas por la aplicación que va a ser examinada.
·
Facilidad de prueba integrada(ITF): Similar a la de datos de prueba,
con la diferencia de que en esta se trabajan con datos reales y ficticios.
·
Simulación paralela: Esta es una técnica en la que el
auditor elabora, a través de lenguajes de programación o programas utilitarios
avanzados, una aplicación similar a la que va a ser auditada
Técnicas para análisis de transacciones:
Tiene como objetivo la selección y análisis de
transacciones significativas de forma permanente, utilizando procedimientos
analíticos y técnicas de muestreos.
·
Archivo de revisión de auditoria como control del
sistema (SCARF): Consiste
en el diseño de ciertas medidas de control para el procesamiento electrónico de
los datos.
·
Archivo de revisión de auditoria por muestreo
(SARF): Esta es
una técnica muy utilizada por los auditores externos y consiste en la
definición de ciertos parámetros de selección de registros utilizando muestreo.
·
Registros extendidos: Técnica muy particular
y útil para los auditores que han desarrollado ciertas destrezas en el análisis
de datos y en la conservación histórica de todos los cambios que haya sufrido
una transacción en particular.
Auditor.-
1.6 Responsabilidad del
Auditor en el Descubrimiento de Errores y Desviaciones
El auditor informático debe ser una persona con un
alto grado de calificación técnica y al mismo tiempo estar integrado a las
corrientes organizativas empresariales. Es responsable de realizar las
siguientes actividades:
·
Verificación del control interno tanto de las
aplicaciones como de los SI, periféricos, etc.
·
Análisis de la administración de Sistemas de
Información, desde un punto de vista de riesgo de seguridad, administración y
efectividad de la administración.
·
Análisis de la integridad, fiabilidad y certeza de
la información a través del análisis de aplicaciones.
·
Auditoría del riesgo operativo de los circuitos de
información
·
Análisis de la administración de los riesgos de la
información y de la seguridad implícita.
·
Verificación del nivel de continuidad de las
operaciones.
·
Análisis del Estado del Arte tecnológico de la
instalación revisada y las consecuencias empresariales que un desfase
tecnológico puede acarrear.
Organización
de la función de Auditoría Informática
La función de la auditoría informática se ha convertido
en una función que desarrolla un trabajo más acorde con la importancia que para
las organizaciones tienen los SI, que son su objeto de estudio y análisis. El
auditor informático pasa a ser auditor y consultor de empresas en materias de:
·
Seguridad
- Control interno operativo
- Eficiencia y eficacia
- Tecnologías de Información
- Continuidad de operaciones
- Administración de riesgos
Su localización puede estar ligada a la auditoría
interna operativa y financiera (aunque exista una coordinación lógica entre
ambos departamentos), con independencia de objetivos, planes de formación y
presupuestos.
Debe ser un grupo independiente del de auditoría
interna, con acceso total a los SI y demás tecnología, que depende de la misma
persona que la auditoría interna (Director General o Consejero).
La dependencia debe ser del máximo responsable dela
organización, nunca del departamento de sistemas o del financiero. Esto es para
que no se pueda sospechar que existe sesgo al momento de realizar el trabajo de
auditoría y ofrecer conclusiones y recomendaciones. Los recursos humanos con
los que debe contar el departamento debe ser una mezcla equilibrada de personas
con formación en auditoría y organización y con perfil informático
(especialidades).
Importancia relativa y riesgo de auditoria.-
video: