El informe de auditoria es el medio más usado para comunicar las observaciones y
recomendaciones a la alta dirección de la organización, sobre los resultados
obtenidos por el trabajo efectuado. Cada informe es una comunicación y cada
auditor tiene que aprender la forma de comunicarse. Debe tener cuidado y ser
preciso en su preparación, tal como lo es cuando planifica y desarrolla una auditoria. El informe de auditoria debe presentar las siguientes
características:
Objetivo: Describir los hechos sin exagerar ni minimizar las
deficiencias observadas. Sus comentarios deben basarse en situaciones concretas
y no sobre rumores. Debe ser imparcial y sin prejuicios al exponer sus
observaciones.
Claros: La
redacción debe hacerse de manera que atraiga la atención del lector, expresando
las ideas en forma clara, que sea fácilmente comprensible. Debe evitarse el uso
de una terminología muy técnica por cuanto los usuarios pueden no comprender lo
que el auditor está reportando. Concisos: Ir a los hechos y evitar detalles
innecesarios.
Constructivos: La información que se exponga
en el informe debe ayudar a la alta dirección y al auditado, de tal manera que
permita mejorar los procesos, los registros, así como cumplir o mejorar el
sistema de control interno.
Oportunos:
Los informes deben emitirse sin retrasos, a fin de que la alta gerencia pueda
tomar las decisiones correctivas del problema planteado lo más pronto posible.
Auditoría
Estructura del Informe de Auditoría Todo informe de auditoría debe contener en
su texto, como mínimo, los siguientes aspectos:
Capítulo I –
Aspectos Preliminares.
Capítulo II –
Características del Ente, Programa, Proyecto, Planes, etc.
Capítulo III
– Resultados de la Auditoría.
Capítulo IV –
Disposiciones Finales.
.
Bibliografía
Auditool. (2014). Fortalezas y capacidades de las Unidades de Auditorías internas según encuestas a clientes y nuestros colaboradores. . Auditool.org . Consultado el 1 de marzo de 2018, de https://www.auditool.org/blog/auditoria-interna/2558-fortalezas-y-debilidades-de-las-unidades-de-auditorias-internas-segun-encuestas-a-los- clientes-ya-nuestros-colaboradores
Auditoría Superior Chihuahua. (2013). Guía de la auditoría de tecnologías de información . Auditoriachihuahua.gob.mx. Obtenido de http://www.auditoriachihuahua.gob.mx/portal/wp-content/uploads/2013/08/GUIA_DE_AUDITORIA_DE_TI.pdf
Cisneros, N. (2018). AUDITORÍA Y SEGURIDAD EN TIC . Audilondres.blogspot.mx . Recuperado el 1 de marzo de 2018, de http://audilondres.blogspot.mx/2018/02/auditoria-y-seguridad-en-tic.html
COFAE. (2014). INFORME DE AUDITORÍA INTERNA . Oas.org . Recuperado el 1 de marzo de 2018, de http://www.oas.org/juridico/PDFs/mesicic4_ven_inf_aud_int_2014.pdf
COFAE. (2014). RIESGO DE AUDITORÍA . Oas.org . Recuperado el 1 de marzo de 2018, de http://www.oas.org/juridico/PDFs/mesicic4_ven_ries_aud_2014.pdf
FCEIA. (2011). Auditoría Informática . Fceia.unr.edu.ar . Recuperado el 1 de marzo de 2018, de http://www.fceia.unr.edu.ar/asist/intro-aa-t.pdf
Evaluación
de fortalezas y debilidades de auditoria
Estas
encuestas constan, en el apartado correspondiente a los clientes, de 24
preguntas, agrupadas en seis grandes bloques: (i) Relación con la alta
dirección, (ii) Personal de Auditoría, (iii) Alcance de los trabajos de
Auditoría, (iv) Procesos e informes de Auditoría, (v) Administración de la
función de Auditoría y (vi) Valor agregado. En tanto que las preguntas
realizadas a los miembros de la Unidad de Auditoría evaluada son 36, agrupadas
en tres apartados: (i) Relación con la Gerencia, (ii) Evaluación de la
capacitación /experiencia de los auditores y (iii) Evaluación de la práctica de
la actividad de Auditoría.
Los resultados de estas encuestas permiten
cubrir varios objetivos, en primer lugar, a los evaluadores de la función
sometida al proceso de supervisión de la calidad, conocer cuál es la percepción
que existe en la Organización en relación con los servicios prestados por la
función auditora, pero desde una doble perspectiva: los clientes y los propios
miembros de la función auditora.
Para la
elaboración de la presente guía, se consideraron los siguientes puntos:
Planear: se convocó a un grupo de auditores
involucrados en la ejecución de auditorías de tecnologías de información para
evaluar y mejorar la metodología utilizada en esta área, para lo cual se
recopiló información en la materia con los entes auditados, así como de
procedimientos aplicables en otros países en relación a auditorías a las
tecnologías de información.
Organizar: una vez concluida la fase de
planeación, se define el plan de trabajo y los aspectos a considerar para el
proceso de la auditoría, se procedió a elaborar la presente guía.
Verificar: se remitió el documento de trabajo
al personal involucrado en el proceso de auditoría de tecnologías de información,
a fin de que se comente y determine el contenido de la presente guía y se
aporte un producto útil para la ejecución de las auditorías.
Control: con el propósito de evaluar y
encontrar áreas de oportunidad para la mejora en los distintos procesos considerados
en esta metodología, se procede a revisar anualmente los aspectos considerados
en la “Guía de Auditoría de Tecnologías de Información”
El riesgo en
la auditoría, significa el riesgo de que el auditor de una opinión de auditoría
inapropiada cuando la información financiera, administrativa, operacional o de
gestión está elaborada en forma errónea de una manera importante. El riesgo en
la auditoría tiene tres componentes:
Riesgo inherente.
Riesgo de control.
Riesgo de detección
·Tipo de organización.
·Tamaño de la organización.
·Resistencia a la auditoría.
·Cultura organizacional.
·Estilo de Gerencia.
·Estilo de comunicación. Sistemas de gerencia y
administración en la organización
·Mecanismos
de control financiero.
·Mecanismos
de control de gestión u operacional.
·Información
y comunicación.
·Ambiente
de Control.
·Supervisión.
·Mecanismos
de evaluación de riesgos
·Experticia
del auditor.
·Claridad
de los objetivos o alcance.
·Aptitud
y actitud del equipo multidisciplinario.
·Planificación
y administración de los recursos.
·Enfermedad,
contingencia en el grupo auditor.
·Conocimiento
previo de la unidad a ser auditada.
·Conocimiento
de técnicas de auditoría.
·Comprensión
de la metodología.
Committee
of Sponsoring Organizations, COSO
Marco de
control interno que plantea el informe COSO consta de cinco componentes
interrelacionados, derivados del estilo de la dirección, e integrados al
proceso de gestión:
Herramienta que
permite evaluar la calidad del soporte de TI actual de la organización,
vinculando los distintos procesos del negocio con los recursos informáticos que
los sustentan.
·INTOSAI
ISSAI 5310 – Information System Security Review Methodology (Directriz sobre el
Control de Sistemas de Seguridad de la Tecnología de Información)
·Institute
of System Audit and Association, ISACA Asociación de Auditoría y Control de
Sistemas de Información, lleva a cabo proyectos de investigación de gran escala
para expandir los conocimientos y el valor del campo de gobernación y control
de TI.
·Institute
of Internal Auditors, IIA Organización profesional, reconocida mundialmente
como una autoridad, pues es el principal educador y el líder en la
certificación, la investigación y la guía tecnológica en la profesión de la
auditoría interna.
·Control
Objectives for Information and related Technology, COBIT Herramienta que
permite evaluar la calidad del soporte de TI actual de la organización,
vinculando los distintos procesos del negocio con los recursos informáticos que
los sustentan.
ESTÁNDARES DE AUDITORÍA, CONTROL
Y SEGURIDAD DE TECNOLOGÍA DE INFORMACIÓN Y PRÁCTICAS DE CONTROLES
Marco
Legal
En este punto se describen la regulación y las
mejores prácticas de Auditoría en Informática sobre la administración de los
riesgos en la misma, en base a los organismos nacionales e internacionales, las
cuales se han convertido en una pauta a seguir por diversos organismos
Revelación de secretos
Artículo 210.- Se impondrán de treinta a
doscientas jornadas de trabajo en favor de la comunidad, al que sin justa
causa, con perjuicio de alguien y sin consentimiento del que pueda resultar
perjudicado, revele algún secreto o comunicación reservada que conoce o ha
recibido con motivo de su empleo, cargo o puesto.
Artículo
211.- La sanción será de uno a cinco años, multa de cincuenta a quinientos
pesos y suspensión de profesión en su caso, de dos meses a un año, cuando la
revelación punible sea hecha por persona que presta servicios profesionales o
técnicos o por funcionario o empleado público o cuando el secreto revelado o
publicado sea de carácter industrial. Artículo
211 Bis.- A
quien revele, divulgue o utilice indebidamente o en perjuicio de otro,
información o imágenes obtenidas en una intervención de comunicación privada, se
le aplicarán sanciones de seis a doce años de prisión y de trescientos a
seiscientos días multa.
Acceso ilícito a sistemas y equipos de
informática
Artículo 211
bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de
información contenida en sistemas o equipos de informática protegidos por algún
mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y
de cien a trescientos días multa. Al que sin autorización conozca o copie información
contenida en sistemas o equipos de informática protegidos por algún mecanismo
de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta
a ciento cincuenta días multa.
Artículo 211
bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de
información contenida en sistemas o equipos de informática del Estado,
protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro
años de prisión y de doscientos a seiscientos días multa. Al que sin autorización
conozca o copie información contenida en sistemas o equipos de informática del
Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis
meses a dos años de prisión y de cien a trescientos días multa. A quien sin
autorización conozca, obtenga, copie o utilice información contenida en
cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad
pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro
a diez años de prisión y multa de quinientos a mil días de salario mínimo
general vigente en el Distrito Federal. Si el responsable es o hubiera sido
servidor público en una institución
Instituto
Mexicano de Auditores Internos, IMAI Dedicado a la capacitación e investigación
en de Auditoría Interna y Control. De acuerdo al IMAI su misión es “promover el
mejoramiento constante de la Práctica Profesional de la Auditoría Interna, para
fortalecer el prestigio de esta profesión y de quienes la practican”.
La
dificultad en el manejo de grandes volúmenes de información, la necesidad de
disponer de información integra, oportuna, segura y confiable, que dio origen a
la revolución informática, la cual ha generado una creciente dependencia para
las empresas y usuarios en general, que se benefician diariamente de ella con
el registro y procesamiento de operaciones; por consiguiente surge la necesidad
de ejercer control en éste campo y es a través de la auditoria de sistemas la
encargada de estudiar, analizar y asesorar todo lo relacionado al control del
área de sistemas y los recursos involucrados en su desarrollo.
La auditoría de sistemas de información es muy compleja y por tanto es
necesario contar con ciertas habilidades que te permitan a provechar al máximo
este tipo de auditorías y hacer que su uso sea el adecuado y obtener el
beneficio de adquirir con la práctica la habilidad necesaria para realizar una
correcta auditoría de sistemas de información.
ANTECEDENTES
El origen
de la Auditoria, empieza como una necesidad social, proveniente del desarrollo
de la economía. Cuando la civilización occidental logro su paso de la Edad
Media al periodo del Renacimiento, no se veían grandes transacciones de dinero,
pero se dio inicio entre los reinos al préstamo de dinero, el cual tomo gran
importancia, creando así, la necesidad de poder contar con una persona que
fuera imparcial y pudiera dar fe de la transacción.
No solo
en ese medio fue notorio su origen, después de la Segunda Guerra Mundial, el
ejército tuvo que afrontar una serie de cambios tanto tecnológicos, como de
procesos, que necesitaron de revisiones paulatinas, que ofrecieran la certeza
de una buena implementación y de correctos estándares de seguridad que
brindaran confiabilidad en el momento de su aplicación o uso, fue por ello que
a pesar de no saber realmente como se desarrollaba, adaptaron la metodología de
auditorías de contadores a sus procesos.
Lo
anterior, demuestra que la auditoria empezó como aquella necesidad de control
para evitar errores, desfalcos o previniendo que algunas personas se apropiaran
de riquezas que no les pertenecían, sin embargo por el año de 1862, fue donde
por primera vez, aparece la profesión de Auditor o la actividad de Auditoria,
bajo la supervisión de la Ley Británica de Sociedades Anónimas, fue a partir de
este momento a principios del siglo XX, que la Profesión de Auditoria fue
tomando posición e importancia dentro del desarrollo de la economía de los
países.
SITUACIÓN ACTUAL
Actualmente la auditoria de los sistemas de
información es definida como cualquier auditoria que abarque la revisión y
evaluación de todos los aspectos de los sistemas automáticos de procesamiento
de la información, incluyendo los procedimientos no automáticos relacionados
con ellos y las interfaces correspondientes.
Es indispensable tomar en cuenta que, para hacer
una adecuada planeación de la auditoria en sistemas de información, hay
que seguir una serie de pasos previos que permitirán dimensionar el tamaño y
características de área dentro del organismo a auditar, sus sistemas,
organización y equipo.
CUESTION RETROSPECTIVA
· Requerimiento
de las NIA
En la
actualidad, el auditor externo como parte de sus procedimientos de auditoría en
cumplimiento con las Normas Internacionales de Auditoría (NIA), lleva a cabo
procedimientos sobre los sistemas de TI, para lo cual se auxilia de expertos en
el conocimiento de tecnologías de información, utilizando, en algunos casos,
ciertos softwares que le sirven para manipular y analizar Bases de Datos (BD)
con el objeto de obtener evidencia de auditoría suficiente y adecuada sobre los
controles generales de los sistemas TI, de la seguridad de los mismos y del
procesamiento de datos en los diferentes procesos de lo entidad (inventarios y
costo de ventas, cuentas por cobrar y ventas, cuentas por pagar, nóminas,
proceso contable de cierre, etcétera).
Para
llevar a cabo su trabajo el auditor externo entenderá los sistemas de TI para
identificar los riesgos de errores materiales en la información financiera y
establecer los procedimientos de auditoria de TI que mitiguen los mismos. Para
su evaluación tomará en cuenta cómo se procesa la información en los sistemas
para obtener los diferentes reportes que se emiten, tal como se muestra en la
gráfica siguiente:
· Requerimientos
futuros para los auditores
Hoy el
International Auditing and Assurance Standards Board (IAASB) está trabajando en
emitir normatividad para la auditoría de datos analíticos Audit Data Analytics
(ADA). Se estima que en el mes de junio de 2016 se emita un documento para su
auscultación, y que sea pronunciado para su uso en 2017.
A
continuación, se presenta una síntesis de los aspectos relevantes del proyecto
ADA.
El
auditor cuando realice una auditoría de conformidad con las NIA, deberá auditar
los datos analíticos (ADA), con el propósito de:
· Descubrir
y analizar los patrones de transacciones de los diferentes procesos que generan
registros contables.
· Identificar
anomalías y comportamientos fuera de los patrones.
· Extraer
información que le sea útil de los datos relacionados con la materia objeto de
una auditoría a través del análisis y visualización del procesamiento de datos
para el propósito de planeación o realización de la auditoría, y así tener:
· Una
cobertura mejorada de su trabajo.
· Un
enfoque mejorado del riesgo y perspectiva de los ADA.
· Un
apoyo al escepticismo profesional en cuanto al uso de tecnología.
El
auditor será requerido a aplicar las NIA sobre ADA a las áreas clave,
considerando los siguientes procedimientos:
· Aplicar
estándares de procedimientos analíticos y de evaluación de riesgos.
· Definir
lo que constituye evidencia de auditoría (pruebas de auditoría electrónica).
· Cuantificar
la evidencia de auditoría; poblaciones enteras vs. muestreo.
· Validar
los datos de la BD en cuanto a integridad de datos y transacciones y exactitud
en la aplicación de patrones (por ejemplo: ventas y precios aprobados de
venta).
· Evaluar
los controles sobre TI (por ejemplo: gestión del cambio, gestión de los
procesos de acceso, etcétera).
· Cumplir
con ciertos requisitos de documentación (por ejemplo: evaluación de controles
generales, seguridad de los sistemas de información tecnológica o efectuar
pruebas sobre las transacciones automatizadas).
· Controlar
las pruebas que lleve a cabo. Naturaleza y relevancia, por ejemplo, corroborar
universos de transacciones con ciertos patrones, como ventas o validar datos
clave de las ADA (por ejemplo, precios de venta autorizados o clientes vigentes
y al corriente en sus pagos).
IMPORTANCIA DE LAS AUDITORIAS EN SISTEMAS
Siempre
ha existido la preocupación por parte de las organizaciones por optimizar todos
los recursos con que cuenta la entidad, sin embargo, por lo que respecta a la
tecnología de información, es decir, software, hardware, sistemas de
información, investigación tecnológica, etc. Esta representa una herramienta
estratégica que representa rentabilidad y ventaja competitiva frente a sus
similares en el mercado, en ámbito de los sistemas de información y tecnologías
un alto porcentaje de las empresas tienen problemas en el manejo y control,
tanto de los datos como de los elementos que almacenan, procesan y distribuyen.
El
propósito de la revisión de la auditoria en informática, es el verificar que
los recursos, es decir, información, energía, dinero, equipo, personal,
programas de computo y materiales son adecuadamente coordinados y vigilados por
la gerencia o por quien ellos designen.
Durante
años se ha detectado el despilfarro de los recursos o uso inadecuado de los
mismos, especialmente en informática, se ha mostrado interés por llegar a la
misma meta sin importar el costo y los problemas de productividad.
ESTANDARES DE LA AUDITORIA EN SISTEMAS
1. Directrices
Gerenciales de COBIT , desarrollado por la information Systems Audit and
Control Association (ISACA):
ü Las Directrices Gerenciales son un
marco internacional de referencias que abordan las mejores prácticas de
auditoría y control de sistemas de información. Permiten que la gerencia
incluya, comprenda y administre los riesgos relacionados con la tecnología de
información y establezca el enlace entre los procesos de administración,
aspectos técnicos, la necesidad de controles y los riesgos asociados.
2. The
Management of the Control of data Information Tecnology, desarrollado por el
Instituto Canadiense de Contadores Certificados (CICA):
ü Este modelo está basado en el concepto
de roles y establece responsabilidades relacionadas con seguridad y los
controles correspondientes. Dichos roles están clasificados con base en siete
grupos: Administración general, gerentes de sistemas, dueños, gerentes de
sistemas, dueños, agentes usuarios de sistemas de información, así como
proveedores de servicios, desarrollo y operaciones de servicios y soporte de
sistemas. Además, hace distinción entre los conceptos de autoridad,
responsabilidad y responsabilidad respecto a control y riesgo previo al
establecimiento de control, en términos de objetivos estándares y técnicas
mínimas a considerar.
3. Estándares de
administración de calidad y aseguramiento de calidad ISO 9000, desarrollados
por la Organización Internacional de Estándares (ISO):
ü La colección ISO 9000 es un conjunto
de estándares y directrices que apoyan a las organizaciones a implementar
sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.
4. SysTrust –
Principios y criterios de confiabilidad de Sistemas, desarrollados por la
Asociación de Contadores Públicos (AICPA) y el (CICA):
ü Este servicio pretende incrementar la
confianza de la alta gerencia, clientes y socios, con respecto a la
confiabilidad en los sistemas por una empresa o actividad en particular. Este
modelo incluye elementos como: infraestructura, software de cualquier
naturaleza, personal especializado y usuarios, procesos manuales y
automatizados, y datos. El modelo persigue determinar si un sistema de
información es confiable.
5. Modelo de
Evolución de Capacidades de Software (CMM), desarrollado por el instituto de
ingeniería de Software (SEI):
ü Este modelo hace posible evaluar las
capacidades o habilidades para ejecutar, de una organización con respecto al
desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores
clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que
CMM es la base de los principios de evaluación recomendados por COBIT, así como
para algunos de los procesos de administración de COBIT:
6. Administración
de sistemas de información: Una herramienta de evaluación práctica,
desarrollado por la Directiva de Recursos de Tecnologías de Información (ITRB):
ü Este es una herramienta de evaluación
que permite a entidades gubernamentales, comprender la implementación
estrategia de tecnología de información y comunicación electrónica que puede
apoyar su misión e incrementar sus productos y servicios.
7. Ingeniería de
seguridad de sistemas – Modelo de madurez de capacidades (SSE - CMM),
desarrollado por la agencia de seguridad nacional (NSA).
ü Este modelo describe las
características esenciales de una arquitectura de seguridad organizacional para
tecnología de información y comunicación electrónica, de acuerdo con las
practicas generalmente aceptadas observadas en las organizaciones.
CONCLUSIÓN
Las
auditorias informáticas nos permiten de manera oportuna y completa, presentar
los resultados a la alta gerencia para la toma de decisiones
Los
auditores tienen un gran reto como estar capacitados constantemente y
especializados, para así cumplir con los requerimientos técnicos como de
software que Audit Data Analytics pueda
pedir. El auditor del siglo XXI debe empaparse de todos los nuevos recursos
tecnológicos que las empresas están utilizando en la actualidad para controlar
y registrar sus transacciones. Por ello, las auditorías de las ADA son un reto
muy importante para el profesional que lleva a cabo auditoría.
BIBLIOGRAFIA
Calderon, A. (2011). Auditorio Estandares . Es.slideshare.net . Recuperado el 1 de marzo de 2018, de https://es.slideshare.net/reovatio21/estandares-auditoria?next_slideshow=1 Grimaldo, C. (2014). LA IMPORTANCIA DE LAS AUDITORIAS INTERNAS Y EXTERNAS DENTRO DE LAS ORGANIZACIONES . Repository.unimilitar.edu.co . Recuperado el 1 de marzo de 2018, de http://repository.unimilitar.edu.co/bitstream/10654/13537/1/Importancia%20de%20las%20Auditorias.pdf Hernández. E.,(1993). auditoria en informática un enfoque metodológico. 1993, de UANL Sitio web: http://eprints.uanl.mx/6977/1/1020073604.PDF
Herdández, J. (2014). AUDITORIA INFORMATICA A NIVEL DE LOS SISTEMAS E INDICADORES DE FUNCIONAMIENTO DED HARDWARE Y SOFTWARE EN LA EMPRESA DISPROPANA SAS DEL DEPARTAMENTO DE NARIÑO Y PUTUMAYO . Biblioteca.udenar.edu.co . Recuperado el 1 de marzo de 2018, de http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/90257.pdf Revista Contaduría Pública www.contaduriapublica.org.mx del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
Tamayo. A., (2001). auditoria de sistemas una visión práctica. En auditoria de sistemas una visión practica (109). Colombia: universidad nacional de Colombia .
UNAM. Auditoría en Informática . Fcasua.contad.unam.mx . Recuperado el 1 de marzo de 2018, de http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
