M. Sc. Miguel Cotaña Mier Lp, Noviembre 2012

AUDITORIA DE SISTEMAS

INFORMATICOS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONOMICAS Y FINANCIERAS

CARRERA DE AUDITORIA

1

MODULO III

3.1. Conceptos básicos 2

3

Es la ciencia que estudia el tratamiento automático y racional de la información.

INFORMATICA

4

La tecnología informática, traducida en hardware, software, sistemas de información, redes, bases de datos, telecomunicaciones, es una herramienta estratégica que brinda rentabilidad y ventajas competitivas a los negocios.

5

La informática, es el campo que se encarga del estudio y aplicación práctica de la tecnología, modelos de proceso, métodos, técnicas y herramientas relacionadas con los ordenadores y el manejo de la información por medios electrónicos.

Es garantía de confiabilidad, oportunidad, integridad y veracidad.

6

Es la actividad consistente en la emisión de una opinión profesional sobre si el objeto que es sometido a análisis presenta adecuadamente la realidad que pretende reflejar y/o cumple con las condiciones que le han sido prescritas.

AUDITORIA

7

Se puede descomponer este concepto en los siguientes elementos:

1) Contenido: Una Opinión

2) Condición: Profesional

3) Justificación: Sustentada en determinadados procedimientos

4) Objeto: Una determinada informacion obtenida en un cierto soporte

5) Finalidad:

Determinar si presenta adecuadamente la realidad. Verificar su fiabilidad.

8

4 y 5 distinguen de que clase o tipo de auditoria se trata, y la finalidad con que se realiza el estudio:

CLASES DE AUDITORIA

CLASE CONTENIDO OBJETO FINALIDAD

Financiera Opinión Cuentas anuales Presentan realidad

Informatica Opinión

S.I, recursos informáticos, planes de contingencia

Operatividad eficiente y según normas establecidas

Gestión Opinión

Dirección Eficacia, eficiencia, economicidad

Cumplimiento Opinión

Normas establecidas Las operaciones se adecúan a estas normas

9

Controles mínimos: Es empírico con controles simples y sin procedimientos escritos ni formales; Procedimientos empíricos: Existen documentos internos y métodos empíricos para detectar fallas o errores; Procedimientos técnicos: Se basan en estándares generalmente aceptados; Procedimientos de fiabilidad: Probabilidad de que un sistema funcionará como se espera en un periodo, dadas ciertas condiciones.

AUDITORIA por su alcance VERTICAL

10

Seguridad física: Cuida y protege bienes de la organización; Seguridad de datos: Protege datos e información de la organización, garantiza su integridad y exactitud; Seguridad de procedimientos: garantiza que el personal se adhiere totalmente a las normas y procedimientos establecidos.

AUDITORIA por su alcance HORIZONTAL

11

El auditor de sistemas informáticos debe considerar 3 pasos, antes de llevar adelante el trabajo de revisión:

1. Planificar y Ejecutar: un enfoque de auditoria que responda de manera adecuada a los riesgos presentes en los SI automatizados;

Pasos de la Auditoria

12

La planificación de la auditoria contempla 3 etapas:

Planificación

13

ESTRATEGIA

Identificar el negocio principal;

Riesgos inherentes; Conocer ambiente SI de

la entidad; Conocer estructura; Conocer el ambiente de

control; Leer material de

antecedentes (informes de análsis y anuales).

Trabajar en módulos; Planificar por áreas

funcionales y asignar responsabilidades a grupos de trabajo;

Entrevistar a los gerentes claves para entender los problemas del negocio.

14

PLANIFICACION

Realizar una planificación a corto y largo plazo de auditoria a un área funcional; Considerar factores de riesgo

inherente y de control y agregar valor; Obtener información adicional de

riesgos en Hw, Sw y Recursos Humanos;

15

Entender la misión, visión, objetivos, procesos de negocio; Identificar políticas, estándares,

procedimientos y estructura de la organización; Llevar a cabo una revisión del control

interno; Establecer el alcance y los objetivos

de la auditoria; Asignar recursos de personal a la

auditoria y considerar los compromisos logísticos.

16

PROGAMAS DE

TRABAJO

En función del análisis e información requerida se definen el conjunto de:

Actividades; Acciones y Tareas.

que serán aplicados y se elaboran los programas de trabajo.

17

2. Conocimiento de la TI: tener conocimiento necesario y suficiente en TIC´s, NTIC´s y concentrarse en aquellos aspectos que puedan ser relevantes desde la perspectiva de la auditoria y de los procesos de negocio de la organización;

3. Identificar expectativas: del área funcional auditada respecto al servicio que será prestado.

18

La informática es utilizada en todo proceso contable; Es un nuevo condicionante para el auditor: ha de trabajar ante y con elementos de TI; Los libros o soporte de los documentos financieros se encuentran materializados en los archivos electrónicos;

19

El auditor financiero (AF) ve alterado el objeto de su actividad. Ahora esta en soporte magnético; La auditoria financiera sigue siendo auditoria y financiera, con la diferencia de que en su objeto, el mismo de siempre, es decir, en la información financiera, se ha introducido la TI;

20

El AF, puede acceder directamente a los archivos electrónicos y proceder a su análisis de forma tambien electrónica; El AF, ha de aplicar procedimientos que utilizan técnicas asistidas por computador; El AF, utilizando medios electrónicos incrementa en velocidad, eficiencia y seguridad; El AF, en la ejecución de su trabajo destacan la inspección, observación, averiguación, confirmación, calculo y análisis. Por lo menos 4 se ejecutan de forma mas eficiente por medios informáticos.

21

Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos y utiliza los recursos en forma eficiente.

Mario G. Piattini

AUDITORIA INFORMATICA

22

Participar en las revisiones durante y después del análisis, diseño, realización, implantación y explotación;

Revisar y juzgar los controles implantados, para verificar cumplimiento de la alta gerencia;

Revisar y emitir opinión sobre el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.

FUNCIONES DEL AUDITOR INFORMATICO

23

Es el proceso de evaluar la eficiencia y eficacia del área de:

Procesamiento Automático de Datos;

Utilización correcta de recursos;

Desarrollo de sistemas;

Instalaciones.

AUDITORIA DE SISTEMAS

24

El A.S.I., tiene la capacidad de definir el marco de trabajo, acciones y tareas y los procesos, métodos y herramientas que serán necesarias para la realización de la auditoria de manera óptima y cumpliendo las normas de auditoria de sistemas y el Código de Ética Profesional.

25

En función a los relevamientos iniciales y considerando el objetivo de la revisión, los riesgos identificados y los controles existentes, el ASI, podrá definir el tipo y las pruebas a aplicar, así como las características de la evidencia necesaria que sustente el trabajo realizado.

26

Buscar una mejor relación costo-beneficio de los sistemas computarizados diseñados e implementados por el PAD;

Incrementar la satisfacción de los usuarios;

Asegurar una mayor integridad, confiabilidad y confidencialidad de la información mediante la recomendación de seguridades y controles;

Seguridad de personal, datos, hardware, software e instalaciones;

OBJETIVOS DE LA A.S.I.

27

Minimizar existencias de riesgos en el uso de tecnologías de información;

Orientar en decisiones de inversión y gastos innecesarios;

Aplicación correcta de modelos de control;

Capacitación y educación sobre controles en los sistemas de información.

28

Aumento considerable e injustificado del presupuesto del PAD;

Falta total o parcial de seguridades físicas y lógicas que garanticen la integridad del personal, equipos e información;

Descubrimiento de fraudes efectuados con el ordenador;

Falta de una planificación informática;

JUSTIFICATIVOS PARA EFECTUAR A.S.I.

29

Organización que no funciona correctamente, falta de políticas, objetivos, normas, metodología, asignación de tareas y adecuada administración del recurso humano;

Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados;

Falta de documentación o documentación incompleta de sistemas para mantenimiento.

30

El trabajo de auditores se enmarcan: Responsabilidad; Autoridad; Independencia; Relacion organizacional; Etica Profesional; Competencia; Planificacion; Preparacion de informe; Actividades para el seguimiento.

31

La Asociación de Auditoria y Control de Sistemas de Información (ISACA), guía la conducta de los ASI:

Soportar la implementación de, y fomentar el cumplimiento de, las normas, los procedimientos y los controles apropiados para los SI;

Ejecutar sus deberes con objetividad, debida diligencia y atención profesional, en conformidad con las normas y mejores prácticas;

CODIGO DE ETICA

32

Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no dedicarse a actos que puedan desacreditar la profesión;

Mantener la privacidad y confidencialidad de la información obtenida en el curso de sus funciones a menos que la autoridad legal requiera su revelación;

33

Mantener competencias y acordar emprender únicamente actividades que ellos puedan razonablemente realizar con competencia profesional;

Informar a las partes apropiadas sobre los resultados del trabajo realizado, revelando todos los hechos significativos de los que ellos tengan conocimiento;

Soportar la educación profesional de los accionistas para aumentar su comprensión de la seguridad y el control de SI.

MODULO III

3.2 La Auditoria en Informática y su Entorno 34

35

La Auditoria en Informática es un proceso de evaluación y control en el uso de recursos tecnológicos para el logro de las estrategias. Por lo tanto, debe contemplar el entendimiento del entorno del negocio como parte de las actividades primarias.

36

Es el conjunto de características dominantes del mercado en cada una de las ramas o criterios relacionados con la tecnología informática, mismas que definen el rumbo de ésta en gran parte de los negocios.

37

TECNOLOGIA INFORMATICA

proveedores especialidades

métodos

redes proyectos

personal

infraestructura

La informática como herramienta del AF, fortalece el

desarrollo personal en su actividad diaria.

38

No todo lo que ofrece el mercado como estándares y soluciones tecnológicas garantiza el desempeño eficiente de la función informática en una organización, el AI deberá verificar la existencia de un análisis costo/beneficio en cada proyecto de inversión orientado a la adquisición de nueva tecnología

39

El entorno de la Informática es una de las disciplinas con mayor ritmo de crecimiento:

Hardware; Software; Telecomunicaciones; Métodos, metodologías centrados

en el usuario; Herramientas CASE; Herramientas CAAT´s.

40

La finalidad principal del auditor es evaluar y dar seguimiento oportuno al conjunto de proyectos de auditoria en informática que serán ejecutados en un plazo determinado con el fin de apoyar directa o indirectamente las estrategias de negocio, considerando factores internos y externos de la organización.

OBJETIVOS DE LA A.I.

MODULO III

3.3. Organización 41

42

La alta gerencia de cualquier organización tiene que estar consciente de que la función de auditoria se debe ejercer con independencia personal jerárquica.

La función de AI debe ubicarse en un nivel organizacional que le asegure la independencia y soporte requerido

43

La Gerencia Nacional de Informática y Telecomunicaciones de Impuestos, es la encargada de dirigir, coordinar y supervisar las actividades de análisis, diseño, desarrollo, control de calidad, implantación y mantenimiento de sistemas informáticos y procesar datos e información generados por los distintos procesos tributarios, garantizando la disponibilidad y seguridad de las bases de datos.

ESTRUCTURA ORGANIZACIONAL

La GNIyT del SIN es la encargada de dirigir, coordinar y supervisar las actividades de análisis, diseño, desarrollo, control de calidad, implantación y mantenimiento de sistemas informáticos y procesar datos e información generados por los distintos procesos tributarios, garantizando la disponibilidad y seguridad de las bases de datos.

45

46

Definir un mecanismo de administración y control de la función. Que todos los recursos y proyectos involucrados en el proceso de desempeño y gestión de la AI, obedezcan los principios básicos de un proceso administrativo:

Planeación;

Personal;

Control;

Seguimiento.

ADMINISTRACION DE LA FUNCION A.I.

47

Los conocimientos, habilidades y capacidades profesionales y personales del A.I., tiene una función clave durante el desarrollo de sus tareas.

Conocer teóricamente las normas, políticas y estándares tanto de auditoria como de informática no son garantía de seguridad ni confianza en las áreas sujetas a revisión.

HACIA UNA A.I. eficiente…………

48

La experiencia se adquiere con la práctica, disciplina, orden y objetividad que deben ser factores innatos.

Hoy en día las organizaciones, buscan colaborar inclusive con la competencia, ofreciendo productos y servicios en línea. En otras palabras, las organizaciones tienden a digitalizar sus procesos de negocio.

Se apoyan en información casi instantanea para suministrar productos y servicios personalizados en serie

Flexibilidad; Aplanamiento;

Descentralización;

Independencia de ubicación;

Bajos costos de transacción y coordinación; Trabajo colaborativo y en equipo; Facultamiento.

TRANSFORMACION DE LA EMPRESA

49

Permiten dar razón del grado de cumplimiento de los cambios generados a nivel de actividades y la utilización de recursos necesarios para conseguir los objetivos funcionales:

Eficacia

Eficiencia

Efectividad

Productividad

Gestión

VPN (trema)

Costo / actividad

Costo de oportunidad

operativo

Costo de oportunidad

financiero

Análisis de costos

Cantidad de quejas

Satisfacción del

cliente

Cantidad de

soluciones planteadas

Cantidad de

productos

defectuosos

Tiempo de ciclo

Tiempo x actividad

Financieros Calidad Tiempo

50

51

52

53

54

55

56

57

58

59

60