0 valutazioniIl 0% ha trovato utile questo documento (0 voti)
2K visualizzazioni12 pagine
Este documento describe las normas aplicadas a la auditoría informática. Explica los tipos de normas como las normas personales, de ejecución del trabajo y de información. También describe certificaciones como CISA y marcos como COBIT, COSO y otras que establecen estándares para la auditoría informática. Finalmente, resume los principios y reglas de la auditoría informática como auditar racionalmente y asegurar que los medios y acciones se adapten a la finalidad de la auditoría.
Este documento describe las normas aplicadas a la auditoría informática. Explica los tipos de normas como las normas personales, de ejecución del trabajo y de información. También describe certificaciones como CISA y marcos como COBIT, COSO y otras que establecen estándares para la auditoría informática. Finalmente, resume los principios y reglas de la auditoría informática como auditar racionalmente y asegurar que los medios y acciones se adapten a la finalidad de la auditoría.
Este documento describe las normas aplicadas a la auditoría informática. Explica los tipos de normas como las normas personales, de ejecución del trabajo y de información. También describe certificaciones como CISA y marcos como COBIT, COSO y otras que establecen estándares para la auditoría informática. Finalmente, resume los principios y reglas de la auditoría informática como auditar racionalmente y asegurar que los medios y acciones se adapten a la finalidad de la auditoría.
Las normas de auditora son los requisitos mnimos de calidad relativos a la personalidad del auditor, al trabajo que desempea y a la informacin que rinde como resultado del trabajo de auditora. Su finalidad es marcar una directriz sobre su comportamiento y sobre la preparacin, ejecucin e informe de los trabajos de fiscalizacin. Las normas de auditoria de estados financieros se clasifican en normas personales, normas de ejecucin del trabajo y normas de informacin. NORMAS PERSONALES. Se refieren a las cualidades que el auditor debe tener para poder asumir, dentro de las exigencias que el carcter profesional de la auditoria impone, un trabajo de este tipo. Dentro de estas normas existen cualidades que el auditor debe tener pre adquiridas antes de poder asumir un trabajo profesional de auditoria y cualidades que debe mantener durante el desarrollo de toda su actividad profesional. Entrenamiento tcnico y capacidad profesional. El trabajo de auditoria, cuya finalidad es la de rendir una opinan profesional independiente, debe ser desempeado por personas que, teniendo ttulo profesional legalmente expedido y reconocido, tengan entrenamiento tcnico adecuado y capacidad profesional como auditores. Cuidado y diligencia profesionales. El auditor est obligado a ejercitar cuidado y diligencia razonables en la realizacin de su examen y en la preparacin de su dictamen o informe. Independencia. El auditor est obligado a mantener una actitud de independencia mental en todos los asuntos relativos a su trabajoprofesional. NORMAS DE EJECUCIN DEL TRABAJO. Al tratar de las normas personales, se seal que el auditor est obligado a ejecutar su trabajo con cuidado y diligencia. Aun cuando es difcil definir lo que en cada tarea puede representar un cuidado y diligencia adecuados, existen ciertos elementos que, por su importancia, deben ser cumplidos. Estos elementos bsicos, fundamentales en la ejecucin de trabajo, que constituyen la especificacin particular, por lo menos al mnimo indispensable, de la exigencia de cuidado y diligencia, son los que constituyen las normas denominadas de ejecucin del trabajo. Planeacin y supervisin. El trabajo de auditoria deber ser planeado adecuadamente y, si se usan ayudantes, estos deben ser supervisados en forma apropiada Estudio y evaluacin del control interno. El auditor debe efectuar un estudio y evaluacin adecuados del control interno existente, que le sirvan de base para determinar el grado de confianza que va depositar en l; asimismo, que le permita determinar la naturaleza, extensin y oportunidad que va dar procedimientos de auditoria. Obtencin de evidencia suficiente y competente. Mediante sus procedimientos de auditoria, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera suministrar una base objetiva para su opinin. NORMAS DE INFORMACIN. El resultado final del trabajo del auditor es su dictamen o informe. Mediante el, pone en conocimiento de las personas interesadas los resultados de su trabajo y la opinin que se ha formado a travs de su examen. El dictamen o informe del auditor es en lo que va a reposar laconfianza de los interesados en los estados financieros para prestarles fe a las declaraciones que en ellos aparecen sobre la situacin financiera y los resultados de operaciones de la empresa. Por ltimo es, principalmente, a travs del informe o dictamen, como el pblico y el cliente se dan cuenta del trabajo del auditor y, en muchos casos, es la nica parte, de dicho trabajo, que queda a su alcance. En todos los casos en que el nombre de un contador pblico quede asociado con estados o informacin financiera deber expresar de manera clara e inequvoca la naturaleza de su relacin con dicha informacin, su opinin sobre la misma y, en su caso, las limitaciones importantes que haya tenido su examen, las salvedades que se deriven de ellas o todas las razones de importancia por las cuales expresa una opinin adversa o no puede expresar una opinin profesional a pesar de haber hecho un examen de acuerdo con las normas de auditoria. BASES DE OPININ SOBRE ESTADOS FINANCIEROS. El auditor, al opinar sobre estados financieros, debe observar que: Fueron preparados de acuerdo con principios de contabilidad Dichos principios fueron aplicados sobre bases consistentes La informacin presentada en los mismos y en las notas relativas, es adecuada y suficiente para su razonable interpretacin. Por lo tanto, en caso de excepciones a lo anterior, el auditor debe mencionar claramente en qu consisten las desviaciones y su efecto cuantificado sobre los estados financieros.
2.2. Normas actuales y emergentes aplicadas a la auditoria informtica (CISA, COBIT, COSO, otras).
PRINCIPIOS Y REGLAS DE AUDITORIA.Principio: auditar racionalmente significa explicitar sus finalidades, y deducir de stas los medios y las acciones de investigacin que se consideren necesarios y suficientes. La auditora informtica slo tiene sentido si se define su finalidad: examen de la eficacia o seguridad de un sistema, de la fiabilidad de una aplicacin, verificacin de la aplicacin, etc... La finalidad est en emitir un juicio sobre el mangement del sistema de Informaciones. Regla: la auditora informtica consiste en comparar uno o varios actos de management, desde uno o varios puntos de vista, con los que deberan ser. La auditora informtica siempre llegar a una conclusin cuando los medios asignados sean suficientes y las acciones sean posibles. La auditora informtica jams debe empaar su finalidad ni limitarse a lo que es ms sencillo de examinar, son pena de que el juicio que emita carezca de valor al caer fuera de la cuestin verdadera. Debe ser completa en su finalidad, ya que basta una laguna para que deje de estar garantizada la solidez de todo el control. Regla: los medios y las acciones elegidas por el auditor deben adaptarse exclusivamente a la finalidad de la auditora, siendo coherentes entre s y, desde luego, fiables y seguros. En determinados casos la tarea del auditor puede ser muy compleja, para ello deber dividirla en funciones obteniendo conclusiones parciales de stas y establecer un plan de aquellas que resulten ser ms significativas. Pese a la apariencia de complejidad de la auditora informtica apreciamos cmo el buen uso del ordenador proporciona una mayor garanta y fiabilidad quecuando ste no es utilizado. Certified Information Systems Auditor (CISA)
es una certificacin para auditores respaldada por la Asociacin de Control y Auditora de Sistemas de Informacin (ISACA) (Information Systems Audit and Control Association). Los candidatos deben cumplir con los requisitos establecidos por la ISACA.
Historia
La certificacin CISA fue establecida en 1978, debido a las siguientes razones: Desarrollar y mantener una herramienta que pueda ser utilizada para evaluar las competencias de los individuos al realizar auditoras de sistemas.
Proveer una herramienta motivacional para los auditores de sistemas de informacin para mantener sus habilidades, y monitorizar la efectividad de los programas de mantenimiento.
Proveer criterios de ayudar y gestin en la seleccin de personal y desarrolladores.
El primer examen se llev a cabo en 1981, y los registros han crecido cada ao. En la actualidad, el examen es ofrecido en 11 idiomas y ms de 200 lugares de todo el mundo. En 2005, la ISACA anunci que el examen se ofrecer en junio y diciembre, y que empezara en 2005. Anteriormente, el examen slo haba sido administrado anualmente, en junio. Ms de 50 mil candidatos han conseguido el certificado CISA.
La certificacin CISA es aprobada formalmente por el Departamento de Defensa de los Estados Unidos en la categora de Aseguramiento de Informacin Tcnica (DoD 8570.01-M).
Requisitos
Los candidatos a la certificacin CISA deben pasar un examen de acuerdo con el Cdigo Profesional de tica de ISACA, adems de comprobar cinco aos de experiencia en auditora de sistemas,control interno y seguridad informtica y tener un programa de educacin continua. En caso de no cumplir con estos requisitos, existen algunas equivalencias definidas en la pgina de ISACA:2
Un mnimo de un ao de experiencia en sistemas de informacin o un ao de experiencia en auditoras operacionales, pueden ser sustituidos por un ao de experiencia auditora de sistemas, control interno y seguridad informtica. 60 a 120 horas de estudios profesionales pueden ser sustituidos por uno o dos aos de experiencia respectivamente de auditora de sistemas, control interno y seguridad informtica. 2 aos de instructor de tiempo completo en Universidad en campos relacionados (ejemplo: ciencias computacionales, contabilidad, auditora de sistemas de informacin, pueden ser sustituidos por un ao de experiencia de auditora de sistemas de informacin, control interno y seguridad de informtica.
Examen
El examen consiste de 200 preguntas de opcin mltiple que deben ser contestadas en 4 horas. El examen est dividido en 5 reas hasta el manual de 2012: El proceso de auditora de SI (14%) Gobierno de TI (14%) Administracin del ciclo de vida de infraestructura y sistemas (19%) Soporte y entrega de servicios de TI (23%) Proteccin de los activos de informacin (30%) El examen CISA puede presentarse anualmente en junio, septiembre (desde 2013) y diciembre.
COBIT (Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas) COBIT, lanzado en 1996, es una herramienta de gobierno de TI que ha cambiado la forma en que trabajan los profesionales de TI. Vinculando tecnologainformtica y prcticas de control, COBIT consolida y armoniza estndares de fuentes globales prominentes en un recurso crtico para la gerencia, los profesionales de control y los auditores. COBIT se aplica a los sistemas de informacin de toda la empresa, incluyendo las computadoras personales, mini computadoras y ambientes distribuidos. Est basado en la filosofa de que los recursos de TI necesitan ser administrados por un conjunto de procesos naturalmente agrupados para proveer la informacin pertinente y confiable que requiere una organizacin para lograr sus objetivos.
Misin: Investigar, desarrollar, publicar y promover un conjunto internacional y actualizado de objetivos de control para tecnologa de informacin que sea de uso cotidiano para gerentes y auditores Usuarios: La Gerencia: para apoyar sus decisiones de inversin en TI y control sobre el rendimiento de las mismas, analizar el costo beneficio del control. Los Usuarios Finales: quienes obtienen una garanta sobre la seguridad y el control de los productos que adquieren interna y externamente. Los Auditores: para soportar sus opiniones sobre los controles de los proyectos de TI, su impacto en la organizacin y determinar el control mnimo requerido. Los Responsables de TI: para identificar los controles que requieren en sus reas. Tambin puede ser utilizado dentro de las empresas por el responsable de un proceso de negocio en su responsabilidad de controlar los aspectos de informacin del proceso, y por todos aquellos con responsabilidades en el campo de la TI en las empresas. Caractersticas: Orientado al negocio Alineadocon estndares y regulaciones "de facto" Basado en una revisin crtica y analtica de las tareas y actividades en TI Alineado con estndares de control y auditoria (COSO, IFAC, IIA, ISACA, AICPA) Principios: El enfoque del control en TI se lleva a cabo visualizando la informacin necesaria para dar soporte a los procesos de negocio y considerando a la informacin como el resultado de la aplicacin combinada de recursos relacionados con las TI que deben ser administrados por procesos de TI. Requerimientos de la informacin del negocio Para alcanzar los requerimientos de negocio, la informacin necesita satisfacer ciertos criterios: Requerimientos de Calidad: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Efectividad: La informacin debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable. Eficiencia: Se debe proveer informacin mediante el empleo ptimo de los recursos (la forma ms productiva y econmica). Confiabilidad: proveer la informacin apropiada para que la administracin tome las decisiones adecuadas para manejar la empresa y cumplir con sus responsabilidades. Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales est comprometida la empresa. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad Confidencialidad: Proteccin de la informacin sensible contra divulgacin no autorizada Integridad: Refiere a lo exacto ycompleto de la informacin as como a su validez de acuerdo con las expectativas de la empresa. Disponibilidad: accesibilidad a la informacin cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a la misma. Recursos de TI En COBIT se establecen los siguientes recursos en TI necesarios para alcanzar los objetivos de negocio: Datos: Todos los objetos de informacin. Considera informacin interna y externa, estructurada o no, grficas, sonidos, etc. Aplicaciones: entendido como los sistemas de informacin, que integran procedimientos manuales y sistematizados. Tecnologa: incluye hardware y software bsico, sistemas operativos, sistemas de administracin de bases de datos, de redes, telecomunicaciones, multimedia, etc. Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de informacin. Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Informacin.
Procesos de TI La estructura de COBIT se define a partir de una premisa simple y pragmtica: "Los recursos de las Tecnologas de la Informacin (TI) se han de gestionar mediante un conjunto de procesos agrupados de forma natural para que proporcionen la informacin que la empresa necesita para alcanzar sus objetivos". COBIT se divide en tres niveles: Dominios: Agrupacin natural de procesos, normalmente corresponden a un dominio o una responsabilidad organizacional. Procesos: Conjuntos o series de actividades unidas con delimitacin o cortes de control.Actividades: Acciones requeridas para lograr un resultado medible. Se definen 34 objetivos de control generales, uno para cada uno de los procesos de las TI. Estos procesos estn agrupados en cuatro grandes dominios que se detallan a continuacin junto con sus procesos y una descripcin general de las actividades de cada uno.
Coso El Informe COSO es un documento que contiene las principales directivas para la implantacin, gestin y control de un sistema de control.
Debido a la gran aceptacin de la que ha gozado, desde su publicacin en 1992, el Informe COSO se ha convertido en el estndar de referencia.
Existen en la actualidad 2 versiones del Informe COSO. La versin del 1992 y la versin del 2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.
Es un medio para un fin, no un fin en s mismo. Efectuado por la junta directiva, gerencia u otro personal.
No es slo normas, procedimientos y formas involucra gente
Aplicado en la definicin de la estrategia y aplicado a travs de la organizacin en cada nivel y unidad
Diseado para identificar los eventos que potencialmente puedan afectar a la entidad y para administrar los riesgos, proveer seguridad razonable para la administracin y para la junta directiva de la organizacin orientada al logro de los objetivos del negocio.
COSO II
Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos, e irregularidades que provocaron prdidas importantes a inversionistas, empleados y otros grupos de inters.
Nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, public el EnterpriseRisk Management Integrated Framework y sus aplicaciones tcnicas asociadas.
Ampla el concepto de control interno, proporcionando un foco ms robusto y extenso sobre la identificacin, evaluacin y gestin integral de riesgo.
En septiembre de 2004 se publica el estudio ERM (Enterprice Risk Management) como una ampliacin de Coso 1, de acuerdo a las conclusiones de los servicios de Pricewaterhouse a la comision.i
Que se puede Obtener a travs de COSO
Proporciona un marco de referencia aplicable a cualquier organizacin. Para COSO, este proceso debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados esperados en materia de rentabilidad y rendimiento.
Trasmitir el concepto de que el esfuerzo involucra a toda la organizacin: Desde la Alta Direccin hasta el ltimo empleado.
Ventajas de Coso
Permite a la direccin de la empresa poseer una visin global del riesgo y accionar los planes para su correcta gestin Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de los controles implantados, lo que permite su adecuada gestin. toma de decisiones ms segura, facilitando la asignacin del capital. Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, as como los riesgos asumidos y los controles puestos en accin. Permite dar soporte a las actividades de planificacin estratgica y control interno. Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas prcticas de gobierno corporativo. Fomenta que la gestin de riesgos pase a formar parte de la cultura del grupo.