LIC. EN
INFORMÁTICA EMPRESARIAL
OCTAVO CUATRIMESTRE
DOCENTE:
Higareda Cisneros Nicolás
MATERIA:
Auditoria en Informática
PRESENTA:
Judith Irais Martínez Sánchez
Federico Gonzáles Engaví
Laura López Padilla
Auditoria en Sistemas
Universidad de Londres Querétaro, febrero de 2018
INTRODUCCIÓN
La
dificultad en el manejo de grandes volúmenes de información, la necesidad de
disponer de información integra, oportuna, segura y confiable, que dio origen a
la revolución informática, la cual ha generado una creciente dependencia para
las empresas y usuarios en general, que se benefician diariamente de ella con
el registro y procesamiento de operaciones; por consiguiente surge la necesidad
de ejercer control en éste campo y es a través de la auditoria de sistemas la
encargada de estudiar, analizar y asesorar todo lo relacionado al control del
área de sistemas y los recursos involucrados en su desarrollo.
La auditoría de sistemas de información es muy compleja y por tanto es
necesario contar con ciertas habilidades que te permitan a provechar al máximo
este tipo de auditorías y hacer que su uso sea el adecuado y obtener el
beneficio de adquirir con la práctica la habilidad necesaria para realizar una
correcta auditoría de sistemas de información.
ANTECEDENTES
El origen
de la Auditoria, empieza como una necesidad social, proveniente del desarrollo
de la economía. Cuando la civilización occidental logro su paso de la Edad
Media al periodo del Renacimiento, no se veían grandes transacciones de dinero,
pero se dio inicio entre los reinos al préstamo de dinero, el cual tomo gran
importancia, creando así, la necesidad de poder contar con una persona que
fuera imparcial y pudiera dar fe de la transacción.
No solo
en ese medio fue notorio su origen, después de la Segunda Guerra Mundial, el
ejército tuvo que afrontar una serie de cambios tanto tecnológicos, como de
procesos, que necesitaron de revisiones paulatinas, que ofrecieran la certeza
de una buena implementación y de correctos estándares de seguridad que
brindaran confiabilidad en el momento de su aplicación o uso, fue por ello que
a pesar de no saber realmente como se desarrollaba, adaptaron la metodología de
auditorías de contadores a sus procesos.
Lo
anterior, demuestra que la auditoria empezó como aquella necesidad de control
para evitar errores, desfalcos o previniendo que algunas personas se apropiaran
de riquezas que no les pertenecían, sin embargo por el año de 1862, fue donde
por primera vez, aparece la profesión de Auditor o la actividad de Auditoria,
bajo la supervisión de la Ley Británica de Sociedades Anónimas, fue a partir de
este momento a principios del siglo XX, que la Profesión de Auditoria fue
tomando posición e importancia dentro del desarrollo de la economía de los
países.
SITUACIÓN ACTUAL
Actualmente la auditoria de los sistemas de
información es definida como cualquier auditoria que abarque la revisión y
evaluación de todos los aspectos de los sistemas automáticos de procesamiento
de la información, incluyendo los procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
Es indispensable tomar en cuenta que, para hacer
una adecuada planeación de la auditoria en sistemas de información, hay
que seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo.
CUESTION RETROSPECTIVA
· Requerimiento
de las NIA
En la
actualidad, el auditor externo como parte de sus procedimientos de auditoría en
cumplimiento con las Normas Internacionales de Auditoría (NIA), lleva a cabo
procedimientos sobre los sistemas de TI, para lo cual se auxilia de expertos en
el conocimiento de tecnologías de información, utilizando, en algunos casos,
ciertos softwares que le sirven para manipular y analizar Bases de Datos (BD)
con el objeto de obtener evidencia de auditoría suficiente y adecuada sobre los
controles generales de los sistemas TI, de la seguridad de los mismos y del
procesamiento de datos en los diferentes procesos de lo entidad (inventarios y
costo de ventas, cuentas por cobrar y ventas, cuentas por pagar, nóminas,
proceso contable de cierre, etcétera).
Para
llevar a cabo su trabajo el auditor externo entenderá los sistemas de TI para
identificar los riesgos de errores materiales en la información financiera y
establecer los procedimientos de auditoria de TI que mitiguen los mismos. Para
su evaluación tomará en cuenta cómo se procesa la información en los sistemas
para obtener los diferentes reportes que se emiten, tal como se muestra en la
gráfica siguiente:
· Requerimientos
futuros para los auditores
Hoy el
International Auditing and Assurance Standards Board (IAASB) está trabajando en
emitir normatividad para la auditoría de datos analíticos Audit Data Analytics
(ADA). Se estima que en el mes de junio de 2016 se emita un documento para su
auscultación, y que sea pronunciado para su uso en 2017.
A
continuación, se presenta una síntesis de los aspectos relevantes del proyecto
ADA.
El
auditor cuando realice una auditoría de conformidad con las NIA, deberá auditar
los datos analíticos (ADA), con el propósito de:
· Descubrir
y analizar los patrones de transacciones de los diferentes procesos que generan
registros contables.
· Identificar
anomalías y comportamientos fuera de los patrones.
· Extraer
información que le sea útil de los datos relacionados con la materia objeto de
una auditoría a través del análisis y visualización del procesamiento de datos
para el propósito de planeación o realización de la auditoría, y así tener:
· Una
cobertura mejorada de su trabajo.
· Un
enfoque mejorado del riesgo y perspectiva de los ADA.
· Un
apoyo al escepticismo profesional en cuanto al uso de tecnología.
El
auditor será requerido a aplicar las NIA sobre ADA a las áreas clave,
considerando los siguientes procedimientos:
· Aplicar
estándares de procedimientos analíticos y de evaluación de riesgos.
· Definir
lo que constituye evidencia de auditoría (pruebas de auditoría electrónica).
· Cuantificar
la evidencia de auditoría; poblaciones enteras vs. muestreo.
· Validar
los datos de la BD en cuanto a integridad de datos y transacciones y exactitud
en la aplicación de patrones (por ejemplo: ventas y precios aprobados de
venta).
· Evaluar
los controles sobre TI (por ejemplo: gestión del cambio, gestión de los
procesos de acceso, etcétera).
· Cumplir
con ciertos requisitos de documentación (por ejemplo: evaluación de controles
generales, seguridad de los sistemas de información tecnológica o efectuar
pruebas sobre las transacciones automatizadas).
· Controlar
las pruebas que lleve a cabo. Naturaleza y relevancia, por ejemplo, corroborar
universos de transacciones con ciertos patrones, como ventas o validar datos
clave de las ADA (por ejemplo, precios de venta autorizados o clientes vigentes
y al corriente en sus pagos).
IMPORTANCIA DE LAS AUDITORIAS EN SISTEMAS
Siempre
ha existido la preocupación por parte de las organizaciones por optimizar todos
los recursos con que cuenta la entidad, sin embargo, por lo que respecta a la
tecnología de información, es decir, software, hardware, sistemas de
información, investigación tecnológica, etc. Esta representa una herramienta
estratégica que representa rentabilidad y ventaja competitiva frente a sus
similares en el mercado, en ámbito de los sistemas de información y tecnologías
un alto porcentaje de las empresas tienen problemas en el manejo y control,
tanto de los datos como de los elementos que almacenan, procesan y distribuyen.
El
propósito de la revisión de la auditoria en informática, es el verificar que
los recursos, es decir, información, energía, dinero, equipo, personal,
programas de computo y materiales son adecuadamente coordinados y vigilados por
la gerencia o por quien ellos designen.
Durante
años se ha detectado el despilfarro de los recursos o uso inadecuado de los
mismos, especialmente en informática, se ha mostrado interés por llegar a la
misma meta sin importar el costo y los problemas de productividad.
ESTANDARES DE LA AUDITORIA EN SISTEMAS
1. Directrices
Gerenciales de COBIT , desarrollado por la information Systems Audit and
Control Association (ISACA):
ü Las Directrices Gerenciales son un
marco internacional de referencias que abordan las mejores prácticas de
auditoría y control de sistemas de información. Permiten que la gerencia
incluya, comprenda y administre los riesgos relacionados con la tecnología de
información y establezca el enlace entre los procesos de administración,
aspectos técnicos, la necesidad de controles y los riesgos asociados.
2. The
Management of the Control of data Information Tecnology, desarrollado por el
Instituto Canadiense de Contadores Certificados (CICA):
ü Este modelo está basado en el concepto
de roles y establece responsabilidades relacionadas con seguridad y los
controles correspondientes. Dichos roles están clasificados con base en siete
grupos: Administración general, gerentes de sistemas, dueños, gerentes de
sistemas, dueños, agentes usuarios de sistemas de información, así como
proveedores de servicios, desarrollo y operaciones de servicios y soporte de
sistemas. Además, hace distinción entre los conceptos de autoridad,
responsabilidad y responsabilidad respecto a control y riesgo previo al
establecimiento de control, en términos de objetivos estándares y técnicas
mínimas a considerar.
3. Estándares de
administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO):
ü La colección ISO 9000 es un conjunto
de estándares y directrices que apoyan a las organizaciones a implementar
sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.
4. SysTrust –
Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociación de Contadores Públicos (AICPA) y el (CICA):
ü Este servicio pretende incrementar la
confianza de la alta gerencia, clientes y socios, con respecto a la
confiabilidad en los sistemas por una empresa o actividad en particular. Este
modelo incluye elementos como: infraestructura, software de cualquier
naturaleza, personal especializado y usuarios, procesos manuales y
automatizados, y datos. El modelo persigue determinar si un sistema de
información es confiable.
5. Modelo de
Evolución de Capacidades de Software (CMM), desarrollado por el instituto de
ingeniería de Software (SEI):
ü Este modelo hace posible evaluar las
capacidades o habilidades para ejecutar, de una organización con respecto al
desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores
clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que
CMM es la base de los principios de evaluación recomendados por COBIT, así como
para algunos de los procesos de administración de COBIT:
6. Administración
de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnologías de Información (ITRB):
ü Este es una herramienta de evaluación
que permite a entidades gubernamentales, comprender la implementación
estrategia de tecnología de información y comunicación electrónica que puede
apoyar su misión e incrementar sus productos y servicios.
7. Ingeniería de
seguridad de sistemas – Modelo de madurez de capacidades (SSE - CMM),
desarrollado por la agencia de seguridad nacional (NSA).
ü Este modelo describe las
características esenciales de una arquitectura de seguridad organizacional para
tecnología de información y comunicación electrónica, de acuerdo con las
practicas generalmente aceptadas observadas en las organizaciones.
CONCLUSIÓN
Las
auditorias informáticas nos permiten de manera oportuna y completa, presentar
los resultados a la alta gerencia para la toma de decisiones
Los
auditores tienen un gran reto como estar capacitados constantemente y
especializados, para así cumplir con los requerimientos técnicos como de
software que Audit Data Analytics pueda
pedir. El auditor del siglo XXI debe empaparse de todos los nuevos recursos
tecnológicos que las empresas están utilizando en la actualidad para controlar
y registrar sus transacciones. Por ello, las auditorías de las ADA son un reto
muy importante para el profesional que lleva a cabo auditoría.
BIBLIOGRAFIA
Calderon, A. (2011). Auditorio Estandares . Es.slideshare.net . Recuperado el 1 de marzo de 2018, de https://es.slideshare.net/reovatio21/estandares-auditoria?next_slideshow=1
Grimaldo, C. (2014). LA IMPORTANCIA DE LAS AUDITORIAS INTERNAS Y EXTERNAS DENTRO DE LAS ORGANIZACIONES . Repository.unimilitar.edu.co . Recuperado el 1 de marzo de 2018, de http://repository.unimilitar.edu.co/bitstream/10654/13537/1/Importancia%20de%20las%20Auditorias.pdf
Hernández. E.,(1993). auditoria en informática un enfoque metodológico. 1993, de UANL Sitio web: http://eprints.uanl.mx/6977/1/1020073604.PDF
Herdández, J. (2014). AUDITORIA INFORMATICA A NIVEL DE LOS SISTEMAS E INDICADORES DE FUNCIONAMIENTO DED HARDWARE Y SOFTWARE EN LA EMPRESA DISPROPANA SAS DEL DEPARTAMENTO DE NARIÑO Y PUTUMAYO . Biblioteca.udenar.edu.co . Recuperado el 1 de marzo de 2018, de http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/90257.pdf
Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
UNAM. Auditoría en Informática . Fcasua.contad.unam.mx . Recuperado el 1 de marzo de 2018, de http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
Grimaldo, C. (2014). LA IMPORTANCIA DE LAS AUDITORIAS INTERNAS Y EXTERNAS DENTRO DE LAS ORGANIZACIONES . Repository.unimilitar.edu.co . Recuperado el 1 de marzo de 2018, de http://repository.unimilitar.edu.co/bitstream/10654/13537/1/Importancia%20de%20las%20Auditorias.pdf
Hernández. E.,(1993). auditoria en informática un enfoque metodológico. 1993, de UANL Sitio web: http://eprints.uanl.mx/6977/1/1020073604.PDF
Herdández, J. (2014). AUDITORIA INFORMATICA A NIVEL DE LOS SISTEMAS E INDICADORES DE FUNCIONAMIENTO DED HARDWARE Y SOFTWARE EN LA EMPRESA DISPROPANA SAS DEL DEPARTAMENTO DE NARIÑO Y PUTUMAYO . Biblioteca.udenar.edu.co . Recuperado el 1 de marzo de 2018, de http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/90257.pdf
Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
Tamayo. A., (2001). auditoria de sistemas una visión práctica. En auditoria de sistemas una visión practica (109). Colombia: universidad nacional de Colombia .
UNAM. Auditoría en Informática . Fcasua.contad.unam.mx . Recuperado el 1 de marzo de 2018, de http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
No hay comentarios.:
Publicar un comentario