Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
AUDITORIA III
PROYECTO DE INVESTIGACIÓN
INTEGRANTES:
AZUERO NEGRON VERONICA PAOLA
GUERRERO SERRANO JONATHAN GERMAN
MACAS CHIPANA DIANA PATRICIA
TORRES ONTANEDA VALERIA SOLANGE
RAMÍREZ GARCÍA MAYRA ALEJANDRA
NIVEL:
DECIMO
PARALELO:
“D”
SECCIÓN:
NOCTURNA
Auditoría informática
“Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus
programas para evaluar cualquier tipo de actividades y operaciones, no
necesariamente computarizadas, pero sí susceptibles de ser automatizadas; dicha
auditoría se realiza también a las actividades del propio centro de sistemas y a sus
componentes. La principal característica de este tipo de auditoría es que, sea en
un caso o en otro, o en ambos, se aprovecha la computadora y sus programas para
la evaluación de las actividades a revisar, de acuerdo con las necesidades
concretas del auditor, utilizando en cada caso las herramientas especiales del
sistema y las tradicionales de la propia auditoría”. (MUÑOZ RAZO, 2002).
Auditoría outsorcing
“El Auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo estar integrado en las corrientes organizativas
empresariales que imperan hoy en día. De esta forma, dentro de la función de
auditoria informática, se deben contemplar las siguientes características para
mantener un perfil profesional adecuado y actualizado.
“El contrato informático, según DAVARA RODRÍGUEZ “es aquel cuyo objeto es un
bien o un servicio informático – o ambos – o que una de las prestaciones de las
parte tenga por objeto ese bien o servicio informático”
Hardware
Software y,
Servicios.
Contratación de Hardware
a) Compraventa.
b) Arrendamiento.
c) Arrendamiento financiero (leasing).
d) Mantenimiento.
Contratación de Software
Desarrollo de Software
Se trata del caso en que una persona física, un colectivo o una empresa crean un
software específico, a medida para otro. El tipo de contrato puede ser:
arrendamiento de servicios o de obra, mercantil o laboral.
Licencia d Uso
Mantenimiento
El contrato de mantenimiento, en principio, tiene por objeto corregir cualquier error
detectado en los programas fuera del periodo de garantía. Se consideran varios
tipos de mantenimiento: correctivo, de adaptación, perfectivo y preventivo.
Es aquel que tiene por objeto garantizar al usuario el acceso a un programa fuerte
en el caso de que desaparezca la empresa titular de los derechos de propiedad
intelectual. Consiste en el depósito del programa fuente en un fedatario público,
que lo custodia, por si en el futuro es preciso acceder al mismo.
Contratación de Datos
Principales contratos:
Distribución de la información
Suministro de información
Mediante este contrato el usuario puede acceder, siempre que lo precise, a las
bases de datos del distribuidor.
Compra
Es un contrato por el que el titular propietario de una base de datos vende a otro
una copia de ésta con la posibilidad de que el adquiriente, a su vez, pueda no sólo
usarla sino mezclarla con otras propias para después comerciar con ellas. Todo
ello, por supuesto, respetando lo dispuesto en la Ley 5/1992.
Cesión
Es un caso parecido al anterior salvo que sólo se permite el uso por cesionario de
la base sin que se le permita la transmisión posterior.
Compra de etiquetas
Contratación de servicios
Consultoría informática
Auditoria informática
Formación
Seguridad informática
Contratación de personal informática
Instalación
Comunicaciones
Seguros
Responsabilidad civil
Contratos complejos
Los contratos complejos son aquellos que contemplan los sistemas informáticos
como un todo incorporado al objeto del mismo, tanto el hardware como el software
algunos servicios determinados. Los más usuales son los siguientes:
“Empezaremos diciendo que tanto dentro del contexto estratégico como del
operativo de las organizaciones actuales, los sistemas informáticos y la arquitectura
que los soporta desempeñan un importante papel como uno de los soportes básicos
por la gestión y el control del negocio siendo así uno de los requerimientos básicos
de cualquier organización. Esto da lugar a los sistemas de información de una
organización.
Es evidente que para que dichos sistemas sus objetivos debe existir una función de
gestión de dichos sistemas, de los recursos que los manejan y de las inversiones
que se ponen a disposición de dichos recursos para que el funcionamiento y los
resultados sean los esperados. Esto es lo que llamamos el Departamento de
Sistemas de Información.
Esta situación convive hoy en día con conceptos más actuales y novedosos de lo
que es la función y de lo que son los objetivos de la auditoria informática.
1. Todos los auditores tendrían que tener conocimientos informáticos que les
permitan trabajar en el cada vez más fluctuantes entorno de las tecnologías
de la información dentro de las organizaciones empresariales, culturales y
sociales.
“Las áreas en las que el auditor ha de interesarse personalmente, una vez que la
parte del edificio ha sido encargada al juicio del Perito, tendrán relación directa con
el hecho informático, siempre considerando el aspecto físico de la seguridad, y que
serán tales como:
Organigrama de la empresa
Auditoria interna
Administración de la seguridad
Vista desde una perspectiva general que ampare las funciones, dependencia,
cargos y responsabilidades de los distintos componentes:
Director o Responsable de la Seguridad Integral.
Responsable de la Seguridad Informática.
Administradores de Redes.
Administradores de Base de Datos.
Responsables de la Seguridad activa y pasiva del Entorno físico.
Sala de Host.
Sala de Operadores.
Sala de Impresoras.
Cámara Acorazada.
Oficinas.
Almacenes.
Sala de aparamenta eléctrica.
Sala de Aire Acondicionado.
Área de descanso y servicios.
Equipos y comunicaciones
Computadores personales
Especialmente cuando están en red, son elementos muy potentes e indiscretos que
pueden acceder a prácticamente cualquier lugar donde se encuentren los Datos
(primer objetivo de toda seguridad), por lo que merecerán especial atención tanto
desde el punto de vista de acceso a los mismos como a la adquisición de copias
(hard y soft) no autorizadas. Es especialmente delicada su conexión a los medios
de telecomunicaciones.
Pero como ya pretende explicar el título del capítulo, vamos a tratar de auditoría
financiera. Parece indicarse que en cierta medida nos desgajamos del contenido
general del libro y nos desviamos hacia las auditorias financieras.
No es exactamente así. Si desmenuzamos el contenido de la auditoria y su
evolución podemos observar que el concepto permanece inamovible y son su
objeto y finalidad lo que puede variar.
Técnicas
Su uso debe ser discreto y siempre con el consentimiento del personal si éste va a
quedar identificado en cualquiera de las máquinas”. (PIATTINI VELTHUIS)
Principio de calidad
Principio de cautela
El auditor, tanto en sus relaciones con el auditado como con terceras personas,
deberá, en todo momento, actuar conforme a las normas, implícitas o explicitas, de
dignidad de la profesión y de corrección en el trato personal.
Principio de concentración en el trabajo
Principio de confianza
Principio de discreción
Principio de economía
Principio de independencia
Este principio, muy relacionado con el principio de criterio propio, obliga al auditor,
tanto si actúa como profesional externo o con dependencia laboral respecto a la
empresa en la que deba realizar la auditoria informática, a exigir una total
autonomía e independencia en su trabajo, condición ésta imprescindible para
permitirle actuar libremente según su leal saber y entender.
Principio de legalidad
En todo momento el auditor deberá evitar utilizar sus conocimientos para facilitar,
a los auditados o a terceras personas, la contravención de la legalidad vigente.
Principios de no discriminación
Principio de no injerencia
Principio de precisión
La aplicación de este principio debe incitar al auditor a hacer lo que esté en su mano
y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los
que puedan producirse en los casos en que, durante la ejecución de la auditoria,
descubra elementos de software dañinos (virus informáticos) que puedan
propagarse a otros sistemas informáticos diferentes del auditado. En estos
supuestos el auditor deberá advertir, necesariamente en forma genérica, sobre la
existencia de dichos virus a fin de que se adopten las medidas sociales informativas
pertinentes para su prevención, pero deberá asimismo cuidar escrupulosamente no
dar indicios que permitan descubrir l procedencia de su información.
Principio de veracidad
“En esta definición pueden identificarse varios elementos que deben comprenderse
para entender el concepto de riesgo”. ()
El riesgo es una condición del mundo real, en el cual hay una exposición a la
adversidad conformada por una combinación de circunstancias del entorno donde
hay posibilidad de pérdidas. Los riesgos informáticos son exposiciones tales como
atentados y amenazas a los sistemas de información.
Probabilidad
“Amenaza
1. “RIESGOS DE INTEGRIDAD
2. RIESGOS DE RELACION
3. RIESGOS DE ACCESO
Procesos de negocio
Aplicación
Administración de la información
Entorno de procesamiento
Redes
Nivel físico
4. RIESGOS DE UTILIDAD
5. RIESGOS EN LA INFRAESTRUCTURA
o Planeación organizacional
o Definición de las aplicaciones
o Administración de seguridad
o Operaciones de red y computacionales
o Administración de sistemas de bases de datos
o Información / Negocio
Una de las causas más importantes del incremento en los riesgos informáticos
probablemente sea el aumento en la cantidad de aplicaciones o usos que se le da
a las computadoras y la consecuente concentración de información y tecnología de
software para el procesamiento de datos.
Hasta hace pocos años este tema no constituía motivo de gran preocupación para
los proveedores, pero la conciencia acerca de la exposición a los riesgos los ha
obligado a destinar presupuestos considerables para la investigación acerca de la
seguridad.” ()
Factores físicos.
Factores ambientales
Factores humanos
Factores físicos.
Cableado.
La iluminación
El aire de renovación o ventilación
Las fuentes de alimentación.
Factores ambientales
Incendios.
Inundaciones.
Sismos.
Humedad.
Factores humanos
Robos.
Actos vandálicos.
Actos vandálicos contra el sistema de red
Fraude.
Sabotaje.
Terrorismo”. ()
“Las redes y los computadores son ingredientes esenciales para perpetuar fraudes
en las aéreas vulnerables de los sistemas.
“Acción culpable realizada por un ser humano que causa un perjuicio a personas
sin que necesariamente se beneficie el autor o que por el contrario produzca un
beneficio ilícito a su autor aunque no perjudique en forma directa o indirecta a la
víctima”. ()
Es una acción culpable realizada por un ser humano que causa un perjuicio a
personas sin que necesariamente se beneficie el autor o que por el contrario
produzca un beneficio ilícito a su autor aunque no perjudique en forma directa o
indirecta a la víctima.
Esta técnica es muy común debido a la facilidad que se presenta para ocultar las
instrucciones fraudulentas dentro de cientos de instrucciones que generalmente
componen los programas aplicativos.” ()
Son deficiencias del sistema operacional, desde las etapas de diseño original.
Los expertos programadores del sistema pueden aprovechar las debilidades del
sistema operacional para insertar instrucciones no autorizadas, en dicho sistema,
con el objeto de configurar fraudes informáticos. Las salidas del sistema
operacional permiten el control a programas escritos, por el usuario, lo cual facilita
la operacionalización de fraudes” ().
4. RECOLECCION DE BASURA
5. JUEGO DE LA PIZZA.
“Es un método relativamente fácil para lograr el acceso no autorizado a los centros
de PED, así estén adecuadamente controlados.
Consiste en que un individuo se hace pasar por la persona que entrega la pizza y
en esa forma se garantiza la entrada a las instalaciones de PED durante y después
de las horas de trabajo” ().
7. “BOMBAS DE RELOJERÍA O BOMBAS LÓGICAS.
“Las bombas lógicas son una técnica de fraude, en ambientes computarizados, que
consiste en diseñar e instalar instrucciones fraudulentas en el software autorizado,
para ser activadas cuando se cumpla una condición o estado específico.
8. “SUPERZAPPING.
Este programa permite consultar los daros para efectos de conocimiento o para
alterarlos omitiendo todos los controles y seguridades en actividad establecidos” ().
9. “MANIPULACIÓN DE TRANSACCIONES.
Por ejemplo alterar los documentos fuente y modificar el contenido en alto relieve
de las tarjetas de crédito entre otros.” ()
Un auditor tiene que tener bien claro todos los métodos que se puede hacer fraudes.
La misión del Control Interno Informático es asegurarse de que las medidas que se obtienen
de los mecanismos implantados por cada responsable sean correctas y válidas.
Auditoria Informática.
2. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar
su adecuación a las órdenes e instrucciones de la Dirección, así como requisitos legales,
protección de confidencialidad y cobertura ante errores y fraudes.
3. Revisar y juzgar el nivel de eficiencia, utilidad, fiabilidad y seguridad de los equipos y
de la información.
La auditoría suele acometerse con personal externo, además del posible personal interno.
E informa la Dirección del Departamento de Informática
Para garantizar el correcto funcionamiento del sistema en lazo cerrado, cada estado de las
variables controladas debe ser controlable y observable.
Los controles cuando se diseñen, desarrollen e implanten han de ser al menos completos,
simples, fiables, revisables, adecuados y rentables. Normalmente, estos controles son
automáticos, aunque sus resultados se revisan de forma manual.
Los objetivos de los controles informáticos se han clasificados en las siguientes categorías:
Para llegar a conocer la configuración del sistema es necesario documentar los detalles de
la red, así como los distintos niveles de control y elementos relacionados. Por tanto, se
debe conocer a fondo y documentar:
Entorno de red.
Configuración del ordenador/es central/es (hots).
Entorno de aplicaciones.
Productos y herramientas de desarrollo de software.
Seguridad (en especial del ordenador central y bases de datos).
· Seguridad: que debe incluir las tres clases de controles fundamentales implantados
en el software del sistema, como integridad del sistema, confidencialidad (control de
acceso) y disponibilidad.
La implantación de una política y cultura sobre la seguridad, requiere que sea realizada por
fases, cada función juega un papel importante en las distintas etapas que son, básicamente,
las siguientes:
Existen dos metodologías de evaluación de sistemas son las de ANALISIS DE RIESGOS y las
de AUDITORIA INFORMATICA, con dos enfoques distintos. La auditoria informática solo
identifica el nivel de exposición por la falla de controles, mientras el análisis de riesgos
facilita la evaluación de los riesgos y recomienda acciones en base al coste-beneficio de las
mismas.
TIPOS DE METODOLOGIAS
METODOLOGIAS CUANTITATIVAS
Están diseñadas para producir una lista de riesgos que pueden compararse entre sí con
facilidad por tener asignados unos valores numéricos. Estos valores en el caso de
metodologías de análisis de riesgos son datos de probabilidad de ocurrencia de un evento
que se debe extraer de un registro de incidencias donde el número de incidencias tienda al
infinito.
METODOLOGIAS CUALITATIVAS/SUBJETIVAS
Se basan en métodos estadísticos y lógica borrosa. Precisan de un profesional
experimentado, pero requieren menos recursos humanos/tiempo que las metodologías
cuantitativas.
Función de Control;
Es establecer cuáles son las entidades de información a proteger, dependiendo del grado
de importancia de la información para el establecimiento de contramedidas.
Herramientas de control;
Las herramientas de control, son de dos tipos lógicos y físicos , des del punto lógico son
programas que brindar seguridad, las principales herramientas son las siguientes;
seguridad lógica del sistema, seguridad lógica complementaria del sistema, seguridad
lógica en entornos distribuidos, control de acceso físico, control de copias, gestión de
soporte magnéticos, gestión de control de impresión y envío de listados por red, control de
proyectos y versiones , gestión de independencia y control de cambios. Y físicos los
cifradores.
Debido a las características propias del análisis y la programación, es muy frecuente que la
implantación de los sistemas se retrase y se llegue a suceder que una persona lleva
trabajando varios años dentro de un sistema o bien que se presenten irregularidades en las
que los programadores se ponen a realizar actividades ajenas a la dirección de informática.
Para poder controlar el avance de los sistemas, ya que ésta es una actividad de difícil
evaluación, se recomienda que se utilice la técnica de administración por proyectos para
su adecuado control.
Para tener una buena administración por proyectos se requiere que el analista o el
programador y su jefe inmediato elaboren un plan de trabajo en el cual se especifiquen
actividades, metas, personal participante y tiempos. Este plan debe ser revisado
periódicamente (semanal, mensual, etc.) para evaluar el avance respecto a lo programado.
La estructura estándar de la planeación de proyectos deberá incluir la facilidad de asignar
fechas predefinidas de terminación de cada tarea. Dentro de estas fechas debe estar el
calendario de reuniones de revisión, las cuales tendrán diferentes niveles de detalle.
Los gerentes deben involucrarse en funciones tales como el desarrollo de una política de
controles, la selección y asignación de personal, el delineamiento de responsabilidad, la
preparación de descripciones de puestos, el establecimiento de estancares, la supervisión,
la preparación de un plan estratégico de sistemas de información y la adquisición de un
seguro adecuado.
Política de controles
Establece que las instalaciones de cómputo el software, la documentación y los datos solo
deben utilizarse para los propósitos apropiados de la empresa. El personal de auditoría
interna realiza, por lo menos una vez al año, pruebas de cumplimiento para asegurarse que
los controles están en su lugar y funcionando según lo planeado. En el desarrollo de nuevos
sistemas, los auditores intervienen en la instalación de controles desde el primer día que
empieza el trabajo en sistemas.
Dicho plan proporciona un mapa general que da a todos los empleados y departamentos
un sentido de dirección y establece una base para el desarrollo de sistemas. Unifica y
coordina a los sistemas y al personal usuario final. Y proporciona un medio para controlar
las actividades y proyectos.
Las pólizas de seguros especiales para procesamiento electrónico de datos cubren perdidas
por robo, vandalismo, incendios, inundaciones, terremotos y otros desastres. Estas pólizas
de seguros deberán hacerse para el costo total de reemplazo del equipo de computación,
así como para el software y otros suministros y materiales al igual los ejecutivos deberán a
adquirir un seguro de interrupción del negocio que compense a la compañía por un
incremento en los costos de operación mientras el sistema no está operando.
Para procesar los datos de entrada, se deben validar y editar lo más cerca posible del punto
de origen. Los procedimientos para el manejo de errores deben colocarse en el lugar
apropiado, para facilitar la reentrada, oportuna y precisa, de todos los datos corregidos.
Identificar a las personas que ejecutan el trabajo en el proceso de entrada de los datos.
Cerciórese de que ninguna persona realiza más de una de las siguientes operaciones:
Si el grupo de control del departamento controla los datos de entrada y si el registro de los
datos fuente se realizan en forma simultánea en el punto de origen.
Se deben validar y editar los datos de entrada lo más cerca posible del punto de origen.
“En vista del auge que toma cada vez la tecnología, es preciso saber hacer de todo
lo relacionado son software, pero no podemos olvidar que también existe la parte
de cómo manejar datos e información.
Es por tal motivo, es preciso conocer hacer muy de fondo las diferentes plataformas
o manejadores de bases de datos para poder optar por la más adecuada para ser
implanta, si es necesario, en nuestras compañías o empresas, como lo son”1
(PACHECHO, 2012):
Soporte de transacciones.
Escalabilidad, estabilidad y seguridad.
Soporta procedimientos almacenados.
1
PACHECHO, PABLO COSTA. 2012. http://jorgepabloacostapacheco.blogspot.com/2012/02/principales-
manejadores-de-bases-de.html. [En línea] 6 de 02 de 2012. [Citado el: 23 de 12 de 2014.]
Incluye también un potente entorno gráfico de administración, que permite
el uso de comandos DDL y DML gráficamente.
Permite trabajar en modo cliente-servidor, donde la información y datos se
alojan en el servidor y los terminales o clientes de la red sólo acceden a la
información.
Además permite administrar información de otros servidores de datos.
2. - Microsoft Access
3. -My SQL.
Poco a poco los elementos de los que carecía My SQL están siendo incorporados
tanto por desarrollos internos, como por desarrolladores de software libre. Entre las
características disponibles en las últimas versiones se puede destacar:
Con la idea de facilitarnos las tareas que debemos de desempeñar los humanos,
hemos venido inventado diversas herramientas a lo largo de nuestra historia, que
nos permiten tener una mejor calidad de vida.
Así pues, tratando de dar una solución al problema planteado, surgieron los
lenguajes de programación, que son como un lenguaje cualquiera, pero simplificado
y con ciertas normas, para poder trasmitir nuestros deseos al ordenador.
a) Archivo permanente
Es el archivo con las hojas de trabajo que contienen las evidencias del desarrollo
de cada una de las etapas de la auditoría.
Los documentos de este archivo tienen validez por una sola vez, es decir, para cada
auditoría realizada a las aplicaciones que están en proceso de evaluación.
Por consiguiente, cada vez que se efectúe una auditoría se debe elaborar un nuevo
archivo con la información recopilada”2 (ARCHIVO).
— Fotos instantáneas: Esta técnica implica tomar una foto de una transacción
mientras fluye por los sistemas de computadora. Las rutinas del software de
auditoría están incorporadas en diferentes puntos de la lógica del procesamiento
2
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20
120829_1.pdf
para capturar imágenes de la transacción mientras avanza por las diversas etapas
del procesamiento. Esta técnica permite al auditor rastrear los datos y evaluar los
procesos de computadora aplicados a los datos.
“Esto es imperativo dentro del proceso de la auditoría, puesto que toda la pericia y
el conocimiento técnico del auditor serían inaplicables si antes no obtiene la
comprensión de aspectos claves del universo que será auditado. Como resultado
de esta actividad, el auditor obtiene la siguiente información:
Estructura organizacional
Estructura de las áreas propietarias de la información de los procesos de
negocio
Clientes internos y externos
Dependencias de la organización
Tareas o actividades que realiza cada dependencia
Terceros que interviene en el manejo de la información
Cuantificación de las cifras de operaciones que manejan los procesos de
negocio (promedio durante un año)
Políticas y procedimientos establecidos en la organización relacionados con
los procesos de negocio.
Normas legales e institucionales que rigen el funcionamiento del servicio
Información sobre fraudes y otros antecedentes en las operaciones del
servicio
3
http://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploaded/content/article/20
120829_1.pdf
El levantamiento de información que se realiza, tiene como finalidad asegurar que
el auditor comprenda la filosofía y las características de funcionamiento de los
procesos de negocio y sistemas de información en estudio.
i“En Auditoría se puede afirmar que los papeles de trabajo son todas aquellas
cédulas y documentos que son elaborados por el Auditor u obtenidos por él durante
el transcurso de cada una de las fases del examen.
Los papeles de trabajo deben contener los productos del sistema de información
financiera sujeto a examen, desglosados en su mínima unidad de análisis, las
técnicas y procedimientos que el Auditor aplicó, la extensión y oportunidad de las
pruebas realizadas, los resultados de las técnicas y procedimientos tales como
confirmaciones de tipo interno o externo y las conclusiones que obtuvo en cada una
de las áreas examinadas.
Programas de trabajo
Planillas con análisis y anotaciones obtenidas de la empresa.
Las cartas de confirmación enviadas por terceros.
Manifestaciones obtenidas de la compañía
Extractos de documentos y registros de la compañía.
Planillas con comentarios preparados por el Auditor o Revisor Fiscal.
Memorandos preparados por el Auditor o Revisor Fiscal, para exponer
algunos hechos, que complementan la información de las planillas.
Los papeles de trabajo les permiten tanto al Auditor como al Revisor fiscal dejar
constancia de los procedimientos por él seguidos, de las comprobaciones y de la
información obtenida.
Los objetivos de los papeles de trabajo para el Contador Público que efectúe la
Auditoría de estados financieros pueden ser relacionados así:
Los papeles de trabajo deberán adecuarse a cada trabajo en particular, pero deben
poseer las características que les permitan servir de suficiente soporte para
demostrar que los estados financieros u otra información sobre los que el Auditor
Independiente o Revisor Fiscal está emitiendo su opinión, concuerden con los
registros contables de la compañía, o han sido conciliados con los mismos.
Los papeles de trabajo deben dejar expreso que el auditaje ha sido planeado
mediante el uso de planes y programas y el desempeño de los ayudantes ha sido
revisado y supervisado en forma adecuada. También los papeles de trabajo deben
demostrar que la eficiencia del sistema de control interno de la compañía ha sido
revisada y evaluada al determinar el alcance y oportunidad de las pruebas a los
cuales se limitaron los procedimientos de Auditoría.
Las cédulas que elabora el Auditor pueden tener variadas formas de acuerdo a su
criterio, pero en la práctica común se utilizan hojas multicolumnares manuales o
electrónicas las cuales llevan la siguiente estructura formal:
EJEMPLO:
4
Clasificacion de los papeles de trabajo. Clasificacion de los papeles de trabajo. [En línea] [Citado el: 23 de
diciembre de 2014.] preparatorioauditoria.wikispaces.com/file/view/Unidad+Nueve.pdf
realizadas, los resultados de la obtención de evidencia suficiente y competente y
las conclusiones a las cuales llegó en cada área examinada.
“Los pasos principales que debe tomar el auditor en la aplicación de una TAAC son:
(c) identificar los archivos específicos o bases de datos que deben examinarse;
(d) entender la relación entre las tablas de datos cuando deba examinarse una
base de datos;
(l) conciliar los datos que deban usarse para la TAAC con los registros
contables;
(a) aprobar especificaciones y conducir una revisión del trabajo que deba
desarrollar la TAAC;
(c) asegurar la integración apropiada de los datos de salida dentro del proceso de
auditoría por parte del auditor.
Los procedimientos llevados a cabo por el auditor para controlar las aplicaciones
de la TAAC pueden incluir:
• predecir los resultados de los datos de prueba y compararlos con la salida real
de datos de pruebas, para las transacciones individuales y, en total;
• confirmar que se usó la versión actual de los programas para procesar los datos
de prueba; y
• poner a prueba si los programas usados para procesar los datos de prueba fueron
utilizados por la entidad durante el periodo aplicable de auditoría.
5
NIA 1009. IFAC. Manual Internac. de Pronunciamientos de Auditoría y Aseguramiento. Pág. 759 - 770.
considere técnicas conocidas como Técnicas Computarizadas de Auditoría (TCAs)
que usan la computadora como una herramienta de auditoría.
Para que el Auditor pueda obtener excelentes resultados, este debe de cumplir con
el procedimientos antes detallado para el dato exacto de la auditoria y asi evitar
errores que afecten los datos reflejados.
6
AUDITORIA, TECNICAS DE. [En línea] [Citado el: 23 de 12 de 2014.]
http://fccea.unicauca.edu.co/old/taac.htm.
El plan de contingencia no es una mera adición de algo que se debe hacer sino que
es una parte integral de toda la organización. Es importante hacer comprender a
los responsables de la organización acerca de la necesidad de un plan de
contingencia adecuado y que no es “algo más” que hay que hacer sino que es igual
de importante o más que las otras partes del proyecto. Es reconocida como una
buena práctica profesional y es parte integral del buen gobierno de las
organizaciones, de esta forma toma una dimensión estratégica y no debería ser
considerado una mera herramienta operativa.
ESQUEMA:
La Norma ISO17799-1 (EN 717799-1) nos dice las buenas prácticas de gestión de
seguridad en su capítulo 11:
Otros conceptos de los que hemos hablado pero no hemos definido serían:
Amenazas: Que son los eventos que pueden provocar o desencadenar un
incidente en la organización, que pueden provocar daños materiales o inmateriales
en sus activos. Las causas son de diversos tipos: humanas, intencionadas o no; y
no humanas: accidentes o desastres de origen natural o industrial, averías,
interrupciones de servicios o de suministros esenciales.
7
HERRERO, TESIS RODRIGO. http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20auditoria.p
df?sequence=1. [En línea] [Citado el: 23 de 12 de 2014.]
un conjunto de normas, procedimientos y acciones básicas de respuestas que se
debería tomar para afrontar de manera oportuna, adecuada y efectiva.
5. INFORMES DE AUDITORIA
5.1. Normas
“En 1996 la unión europea publico el Libro Verde de Auditoria dedicado al papel,
la posición y la responsabilidad del auditor legal. Su contenido afecta a la Auditoria
Informática.
Hoy por hoy, la normativa española oficial que afecta, en mayor o menor medida, a
la Auditoria Informática, es la siguiente:
También conviene reseñar que dentro de la Unión Europea, la FEE tiene en marcha
el Proyecto EDIFICAS.EUROPE, dentro de UN/EDIFACT, en el que España está
representada por el IACJCE, que se estructura en cuatro grupos de trabajo:
Mensajes, Auditoria (Guías de Auditoria de entornos de EDI), Promoción y Asuntos
Especiales.
La Auditoria Informática no está muy desarrollada y, por añadidura, se encuentra
en un punto crucial para la definición del modelo en que deberá implantarse y
practicarse en la Unión Europea y, por tanto, España, vía directivas UE/Legislación
positiva y normas profesionales.
La tensión entre estos dos modelos, esto es, entre el intervencionismo máximo
latino y el mínimo intervencionismo anglosajón, es ya insostenible. Uno de los dos
deberá prevalecer, si es que realmente nos encaminamos a la sociedad global.
Justo es reconocer que los parámetros del cambio tecnológico parecen hacer más
práctico el modelo anglosajón: no en vano, en Estados Unidos, tanto la Auditoria
como la Informática (y las Comunicaciones), tienen un desarrollo muy
experimentado y, sobre todo, adaptativo. Los parámetros de velocidad y tiempo
hacen aconsejable un esfuerzo por conseguir la disponibilidad armonizada de
normas legales y normas de origen profesional.
La documentación
El Informe de Auditoria, si se precisa que sea profesional, tiene que estar basado
en la Documentación o papeles de trabajo, como utilidad inmediata, previa
supervisión.
Por otra parte, no debemos omitir la característica registral del Informe, tanto en su
parte cronológica como en la organizativa, con los procedimientos de archivo,
búsqueda, custodia y conservación de su documentación, cumpliendo toda la
normativa vigente, legal y profesional, como mínimo exigible.
Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o
expertos independientemente, así como de los auditores internos, se reseñen o no
en el Informe de Auditoria Informática, formaran parte de la documentación.
Además, se incluirán:
La certeza absoluta no siempre existe, según el punto de vista de los auditores; los
usuarios piensan lo contrario. NO obstante lo dicho, el desarrollo del control interno,
incluso del específicamente informático, está en efervescencia, gracias al empuje
de los informes USA/Treadway (1987), UK/Cadbury (1992) y Francia/Vienot (1995),
y en lugar destacado el USA/COSO (1992), traducido al español por Coopers &
Lybrand y el Instituto de Auditores Internos de España.
La evidencia relevante, que tiene una relación lógica con los objetivos de la
auditoria.
La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.
La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión
profesional del auditor.
La evidencia adecuada, que es de tipo cualitativo para afectar a las
conclusiones del auditor.
En principio, las pruebas son de cumplimiento o sustantivas.
Se ha realizado una visión rápida de los aspectos previos para tenerlos muy
presentes al redactar el Informe de Auditoria Informática, esto es, la comunicación
del Auditor Informático al cliente, formal y, quizá, solemne, tanto del alcance de la
auditoria; (objetivos, periodos de cobertura, naturaleza y extensión del trabajo
realizado) como de los resultados y conclusiones.
6. Alcance de la Auditoria
Concretar la naturaleza y extensión del trabajo realizado área organizativa,
periodo de auditoria, sistemas de información… señalando limitaciones al
alcance y restricciones del auditado.
7. Conclusiones: Informe corto de opinión
Lógicamente, se ha llegado a los resultados y, sobre todo, a la esencia del
dictamen, la opinión y los párrafos de salvedades y énfasis, si procede.
El informe debe contener uno de los siguientes tipos de opinión: favorable o sin
salvedades, con salvedades, desfavorable o adversa, y denegada.
Identificación irregularidades
Incumplimiento de la normativa legal y profesional, que afecten
significativamente a los objetivos de auditoria informática estipulados,
incluso con incertidumbre; todo ello en la evaluación de conjunto y
reseñando detalladamente las razones correspondientes.
El secreto de la empresa.
El secreto profesional.
Los aspectos relevantes de la auditoria.
9. Informes previos
No es una práctica recomendable, aunque si usual en algunos casos, ya que
el Informe de Auditoria Informática es, por principio, un informe de conjunto.
Conclusiones
Resulta básico, antes de redactar el informe de auditoría, que el asunto este muy
claro, no solo por expectativas ya citadas, sino porque cada término tiene un
contenido usual muy concreto; la etiqueta auditoria es, en esencia, un juicio de valor
u opinión con justificación.
Por tanto, habida cuenta que tiene base objetiva – sobre todo con independencia
en sentido amplio, es eminentemente una opinión profesional subjetiva.
8
Peso, Mario G. Piattini y Emilio del. 2001. Auditoria Informatica Un Enfoque Práctico. Mexico : A.J.
FAOMEGA GRUPO EDITOR S.A., 2001.
competitivas, seria riesgo de perder clientes. Se han manifestado críticas de que el
profesionalismo se ha disminuido en favor de una actitud más de negocio.
En fin, que como indicio del estado del arte, este párrafo resulta bastante
aleccionador.
Recomendaciones
9
Peso, Mario G. Piattini y Emilio del. 2001. Auditoria Informatica Un Enfoque Práctico. Mexico : A.J.
FAOMEGA GRUPO EDITOR S.A., 2001.
suficiente fundamentación, cuidar los aspectos de imagen: presentación, protocolo;
no adelantar resultados parciales que pueden distorsionar el resultado final y, por
supuesto guardar las relaciones jerárquicas.
Evitar las situaciones preventivas por parte de los usuarios frente al auditor
que va a escudriñar en sus papeles y en su trabajo. Esto es más que
recomendable en toda actividad auditora.
Las entrevistas iniciales son un aspecto muy a cuidar. Hay que prepararlas
muy bien para que surtan el efecto que de ellas se esperan.
I. Las salidas.
II. Las entradas.
III. El seguimiento de los errores.
IV. Los documentos del G.P.D.
En todo momento por cordiales que resulten las relaciones con los
auditados, no perder de vista el papel de consultores experimentados que
han de tener los auditores informáticos.
Airear la idea de que los resultados de la autoría no harán más que intentar
mejorar, a todos los efectos, el servicio de informática con el beneficio que
ello supondrá para todos los implicados en el departamento.
Al final de la auditoría no se trata de castigar a nadie. El objetivo fundamental
es descubrir deficiencias y corregirlas.
Todos los puntos citados no han sido más que una breve enumeración de
recomendaciones de tener en cuenta al auditar un servicio informático. Todas ellas,
como se ha dicho, se verán ampliadas cuando en sucesivos capítulos se presenten
las distintas áreas de aplicación de la auditoria informática.”10
10
Rivas, Gonzalo Alonso. 1988. Auditoría Informática. [aut. libro] Gonzalo Rivas. Auditoria Informatica.
Madrid : Ediciones Diaz de Santos S.A., 1988.
Bibliografía
http://audifinysis.blogspot.com/. [En línea]
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf.
http://www.uaeh.edu.mx/docencia/P_Presentaciones/tlahuelilpan/sistemas/auditoria_informatic
a/auditoria_informatica.pdf. [En línea]
MUÑOZ RAZO, CARLOS. 2002. Auditoria en Sistemas Computacionales. Mexico : s.n., 2002.
WEBGRAFIA
http://aabbccddee.galeon.com/Metodo.htm
http://es.slideshare.net/quasar.0360.7912/control-de-sistemas-4644774
http://es.slideshare.net/AnaJulietaGonzlezGarca/control-interno-en-la-auditora-de-s
http://101plissken.blogspot.com/2013/03/control-interno-y-auditoria-informatica.html
BIBLIOGRAFIA
AUDITORIA
INFORMATICAhttp://www.olacefs.com/Olacefs/ShowProperty/BEA%20Repository/Olacefs/uploa
ded/content/article/20120829_1.pdf.
Clasificacion de los papeles de trabajo. Clasificacion de los papeles de trabajo. [En línea] [Citado
el: 23 de diciembre de 2014.] preparatorioauditoria.wikispaces.com/file/view/Unidad+Nueve.pdf.
HERRERO, TESIS RODRIGO. http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20a
uditoria.pdf?sequence=1. [En línea] [Citado el: 23 de 12 de 2014.] http://e-
archivo.uc3m.es/bitstream/handle/10016/10639/Planes%20de%20contingencia%20y%20su%20a
uditoria.pdf?sequence=1.