modulo
TRANSCRIPT
UNIVERSIDAD TECNICA DE MANABI
FACULTAD DE CIENCIAS ADMINISTRATIVAS Y
ECONOMICAS
CARRERA DE CONTABILIDAD Y AUDITORIA
MATERIA:
AUDITORIA DE SISTEMAS INFORMATICOS
TUTOR
Ing. KEVIN MERO
TEMA:
MANUAL
INTEGRANTES:
ARTEAGA ZAMBRANO ANA KAREN
CASTRO ANCHUNDIA EMERITA MONSERRATE
CEVALLOS MENDOZA ANGELA MONSERRATE
MACIAS LAZ GEMA KATHERINE
VELEZ RODRIGUEZ ANDREA STEFANY
SEMESTRE:
OCTAVO “M” DE AUDITORIA
FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS
INFORMATICOS
1. FUNDAMENTOS DE AUDITORIA INFORMATICA
1.1 TIC ( Tecnología de Información y Comunicación)
1.2 SISTEMAS INFORMATICOS
1.3 DEFINICION DE AUDITORIA
1.4 AUDITORIA INFORMATICA
1.5 NECESIDADES DE LA AUDITORIA INFORMATICA
1.6 OBJETIVOS DE LA AUDITORIA INFORMATICA
1.7 SEGURIDAD EN LOS SISTEMAS DE INFORMACION
1.8 TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS
1.9 ORGANISMO REGULADOR DE AUDITORIA INFORMATICA
1.10 CERTIFICADOS OTORGADOS
FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS
INFORMATICOS
TIC (Tecnología de Información y Comunicación)
Las tecnologías de la información y la comunicación (TIC) son un
conjunto de servicios, redes, software y dispositivos que tienen como fin
la mejora de la calidad de vida de las organizaciones y personas dentro
de un entorno, y que se integran a un sistema de información
interconectado y complementario.
Las Tecnologías de la información y la comunicación, son un solo
concepto en dos vertientes diferentes como principal premisa de estudio
en las ciencias sociales donde tales tecnologías afectan la forma de vivir
de las sociedades.1
SISTEMAS INFORMATICOS
Los sistemas informáticos son un subconjunto de subsistemas
formalizado, con distintos grados de cobertura. Por otra parte, se puede
ver el sistema informático como el conjunto de los recursos técnicos
maquinas, y utensilios), financieros (ingresos, gastos y patrimonio) y
humanos (plantilla de informáticos y personal auxiliar), cuyo objetivo
consiste en el almacenamiento, procesamiento y transmisión de la
información de la empresa2
DEFINICIÓN DE AUDITORIA
La auditoria es el examen de las demostraciones y registros
administrativos. El auditor observa la exactitud, integridad y
autenticidad de tales demostraciones, registros y documentos
AUDITORIA INFORMATICA
1http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf
2 http://www.xombra.com/go_articulo.php?nota=66
La auditoría en informática es la revisión y la evaluación de los
controles, sistemas, procedimientos de informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad, de la organización que
participan en el procesamiento de la información, a fin de que por
medio del señalamiento de cursos alternativos se logre una utilización
más eficiente y segura de la información que servirá para una adecuada
toma de decisiones.
La auditoría en informática deberá comprender no sólo la evaluación de
los equipos de cómputo, de un sistema o procedimiento específico, sino
que además habrá de evaluar los sistemas de información en general
desde sus entradas, procedimientos, controles, archivos, seguridad y
obtención de información.
La auditoría en informática es de vital importancia para el buen
desempeño de los sistemas de información, ya que proporciona los
controles necesarios para que los sistemas sean confiables y con un
buen nivel de seguridad. Además debe evaluar todo (informática,
organización de centros de información, hardware y software).3
NECESIDAD DE LA AUDITORÍA INFORMÁTICA
Por tanto la auditoría informática debe analizar:
- La función informática, que engloba el análisis de la organización,
seguridad, segregación de funciones y gestión de las actividades de
proceso de datos.
Los sistemas informáticos, buscando asegurar la adecuación de los
mismos a los fines para los que fueron diseñados.
OBJETIVOS DE LA AUDITORIA INFORMATICA
3http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf
Los objetivos de la auditoría informática son:
- Verificar el control interno de la función informática.
- Asegurar a la alta dirección y al resto de las áreas de la empresa
que la información que les llega es la necesaria en el momento
oportuno, y es fiable, ya que les sirve de base para tomar
decisiones importantes.
- Eliminar o reducir al máximo la posibilidad de pérdida de la
información por fallos en los equipos, en los procesos o por una
gestión inadecuada de los archivos de datos.
- Detectar y prevenir fraudes por manipulación de la información o
por acceso de personas no autorizadas a transacciones que
exigen trasvases de fondos.
SEGURIDAD EN LOS SISTEMAS DE INFORMACION
Debido a la difusión de las tecnologías de la información, la mayoría de
las organizaciones actuales están expuestas a una serie de riesgos
derivados de una protección inadecuada o inapropiada de la
información o de sus sistemas de tratamiento.
Los riesgos fundamentales asociados con la incorrecta protección de la
información son:
Revelación a personas no autorizadas
Inexactitud de los datos
Inaccesibilidad de la información cuando se necesita
Los problemas técnicos, las amenazas ambientales, las condiciones de
instalación desfavorables, los usuarios, la situación política y social,
son otros tantos factores susceptibles de poner en peligro el buen
funcionamiento de los SI4
4 www.monografias.com › Computacion › General
TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS5
Medidas físicas
Medidas lógicas
Medidas administrativas
Medidas legales
ORGANISMO REGULADOR DE AUDITORÍA INFORMÁTICA
- ISACA (Information Systems Audit and Control Association -
Asociación de Auditoría y Control de Sistemas de Información )
CERTIFICACIONES OTORGADAS:
ISACA mantiene el programa de certificación CISA que es reconocida en
forma global y ha sido obtenida por más de 30.000 profesionales
alrededor del mundo. De otro lado, su nueva certificación CISM
(Certified Information Security Manager - Gerente Certificado de
Seguridad de Información) se concentra exclusivamente en el sector de
gerencia de seguridad de la información.6
5 http://www.xombra.com/go_articulo.php?nota=66 6 http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica
Bibliografía:
- http://www.alegsa.com.ar - http://www.wikipedia.com
CONTROL DE LOS SISTEMAS DE INFORMACIÓN
COMPUTARIZADOS
2. CONTROL DE LOS SISTEMAS DE INFORMACIÓN
COMPUTARIZADOS
2.1 OBJETIVOS
2.2 POSIBLES AMENAZAS
2.3 CONTROLES
2.4 CONTROLES GENERALES
2.5 CONTROLES DE APLICACIONES
Bibliografía:
- http://www.alegsa.com.ar - http://www.wikipedia.com
Control de los Sistemas de Información Computarizados
Los datos automatizados pueden ser susceptibles de destrucción,
fraude, error y mal uso.
Las empresas que soportan el procesamiento de todas sus operaciones
criticas del negocio mediante el uso de computadoras y Sistemas de
Información, pueden experimentar pérdidas totales de la funcionalidad
del negocio, si pierden su capacidad de computo por más de unos
cuantos días.
El sistema de información computarizado debe ser controlado con el
objetivo de garantizar su correcto funcionamiento y asegurar el control
del proceso de los diversos tipos de transacciones, la calidad del proceso
de toma de decisiones en un organismo descansa fuertemente en sus
sistemas de información. Un sistema de información abarca
información cuantitativa, tal como los informes de desempeño que
utilizan indicadores, y cualitativa, tal como la atinente a opiniones y
comentarios.
El sistema deberá contar con mecanismos de seguridad que alcancen a
las entradas, procesos, almacenamiento y salidas.
El sistema de información computarizada debe ser flexible y susceptible
de modificaciones rápidas que permitan hacer frente a necesidades
cambiantes de la Dirección en un entorno dinámico de operaciones y
presentación de informes. El sistema ayuda a controlar todas las
actividades del organismo, a registrar y supervisar transacciones y
eventos a medida que ocurren, y a mantener datos financieros.
Las actividades de control de los sistemas de aplicación están diseñadas
para controlar el procesamiento de las transacciones dentro de los
programas de aplicación e incluyen los procedimientos manuales
asociados.
OBJETIVOS
Conocer los principales controles internos en entornos
informatizados.
Diferenciar entre las personas Hackers y Crackers.
Comprender los principales malware que asechan a un sistema
de información automatizado.
Listar prácticas de seguridad informática a seguir en una
empresa.
Entender como el papel de la seguridad informática se aplica a las
tareas cotidianas de las personas.
Ver videos para comprender que técnica de hacking se usaron.
POSIBLES AMENAZAS
• Fallas de Hardware.
• Fallas de Software.
•Acciones del personal.
•Robos de: datos, servicios, equipos, etc.
• Incendios.
• Problemas eléctricos.
•Errores de los usuarios.
•Cambios en los programas.
• Problemas de telecomunicaciones.
OTRAS AMENAZAS
La proliferación de las redes, y específicamente Internet, ha
problematizado más aun la situación.
En este sentido, han surgido dos (2) grandes amenazas:
– HACKER. Persona con acceso no autorizado a una red para lucrarse,
llevar a cabo acciones criminales o sencillamente por placer personal.
– VIRUS. Programa dañino de software que se difunde de un sistema a
otro, plagando la memoria y/o destruyendo programas y/o datos.
CONTROLES
Para minimizar los errores, desastres, delitos por computadoras y fallas
de seguridad, es necesario incorporar políticas y procedimientos
especiales en el diseño, implementación e implantación de los Sistemas
de Información.
Los controles consisten en todos los métodos, políticas y procedimientos
para asegurar la protección de los activos de la institución, la precisión
y la confiabilidad de sus registros. El control debe ser parte integral del
diseño.
Los controles pueden ser de dos tipos:
Generales.
De aplicaciones.
CONTROLES GENERALES
Son aplicables a todos los sistemas de la organización y consisten en
una combinación de software y procedimientos.
DE IMPLANTACION.- Son puntos formales de revisión de las diferentes
etapas del desarrollo del Software.
EL SOFTWARE.- Evitan el acceso al Software. Están diseñados para
evitar cambios no autorizados de los programas y de los datos.
DE HARDWARE.- Deben asegurarse físicamente de forma tal que sólo
tengan acceso a ellos las personas autorizadas.
También contemplan aquellas aplicaciones que verifican posibles fallas
de Hardware.
DE OPERACIONES DE COMPUTO.- También conocidas como
auditorías. Aseguran que los procedimientos programados sean
consistentes y estén siendo aplicados correctamente en su
procesamiento y almacenamiento.
EN LOS DATOS.-Que los datos que están en cintas o discos no estén al
alcance de personas no autorizadas.
ADMINISTRATIVOS.- Son normas, reglas, procedimientos y disciplinas
formales para garantizar que los controles de la institución se ejecuten.
CONTROLES DE APLICACIONES
Son específicos para cada aplicación de computador (nómina, cuentas
por cobrar). Consisten en controles aplicados a los tipos de usuarios
particulares de un sistema y a la programación de los procedimientos.
DE ENTRADAS.- Procedimientos para chequear la exactitud y
completitud de los datos cuando son introducidos en el sistema.
DE PROCESAMIENTO.- Rutinas para garantizar que los datos se
mantienen completos y exactos durante una actualización.
DE SALIDAS.- Medidas que aseguren que los resultados de los
procesamientos hechos por el computador sean exactos, completos y
distribuidos apropiadamente.
LAS NORMAS DE AUDITORIA GENERALMENTE
ACEPTADAS, APLICABLES A LA AUDITORIA
INFORMATICA
3. LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS,
APLICABLES A LA AUDITORIA INFORMATICA
3.1 OBJETIVO DE LAS NORMAS
3.2 INDEPENDENCIA
3.3 COMPETENCIA ÉTICA
3.4 DESEMPEÑO DEL TRABAJO
3.5 EL CONOCIMIENTO DE LAS RELACIONES HUMANAS
3.6 LA ACTITUD POSITIVA
3.7 DENTRO DEL DEPARTAMENTO DE AUDITORIA
3.8 DENTRO DE LA EMPRESA
OBJETIVOS DE LAS NORMAS
Las normas de auditoría son directrices generales que ayudan a los
auditores a cumplir con sus responsabilidades profesionales. Ello
incluye la consideración de capacidades profesionales como lo es la
competencia e independencia, los requisitos de informes y la evidencia.
INDEPENDENCIA
"En todos los asuntos relacionados con la Auditoría, el auditor debe
mantener independencia de criterio". La independencia puede
concebirse como la libertad profesional que le asiste al auditor para
expresar su opinión libre de presiones (políticas, religiosas, familiares,
etc.) y subjetividades (sentimientos personales e intereses de grupo).
Se requiere entonces objetividad imparcial en su actuación profesional.
Si bien es cierto, la independencia de criterio es una actitud mental, el
auditor no solamente debe "serlo", sino también "parecerlo", es decir,
cuidar, su imagen ante los usuarios de su informe, que no solamente es
el cliente que lo contrató sino también los demás interesados (bancos,
proveedores, trabajadores, estado, pueblo, etc.).
La Independencia debe estar basada en:
Actitud y Apariencia.- El auditor informático será independiente
del auditado en actitud y apariencia.
Relación Organizacional.- El área de auditoría informática será
independiente de las áreas auditadas con el fin de permitir la
realización objetiva del auditaje sin influencias no apropiadas del
auditado.
Código de ética profesional.- El auditor debe adherirse al código
de ética profesional.
COMPETENCIA ÉTICA. Es el conocimiento y habilidades que generan la
Educación profesional continuada.
Debe estar basada en:
- Conocimiento y habilidades. – El auditor debe poseer habilidades y
todo el conocimiento para desarrollar su trabajo.
- Educación profesional continuada.- El auditor debe mantener su
competencia técnica mediante un programa continuo de preparación.
DESEMPEÑO DEL TRABAJO. Es la Planeación y supervisión, donde se
encuentran los Requisitos de evidencia y Reportes.
El trabajo debe estar caracterizado por:
> Planeación y supervisión.- Los trabajos deben planearse y
supervisarse para asegurar que se alcanzarán los objetivos y se
cumplirán los estándares.
> Requisitos de evidencia.- Las evidencias encontradas deben ser de tal
naturaleza y suficiencia que soporten los hallazgos y conclusiones del
informe.
Reportes
* Reporte del alcance del auditaje.- Deben incluirse los objetivos del
auditaje, período considerado, naturaleza y extensión del trabajo
realizado y el criterio utilizado para llegar a las conclusiones y
recomendaciones.
* Reporte de hallazgo y conclusiones.- El auditor debe indicar los
hallazgos y conclusiones relativas al trabajo de auditoría realizado y
cualquier reserva que tenga con respecto a los aspectos cubiertos.
EL CONOCIMIENTO DE LAS RELACIONES HUMANAS
El conocimiento de las relaciones humanas es el arma poderosa que
permite la conducción de la “voluntad”, que todos tenemos por el
trabajo. Para esto es necesario que el Auditor Interno empiece dando
ejemplo, integrándose primero como ser humano, como otro
colaborador que persigue el mismo objetivo; asumiendo una actitud de
líder reflejando las relaciones humanas que aplica en su departamento
lo que, en definitiva, no sólo le dará una buena imagen, sino que,
tendrá el “poder” para convencer a los demás para que hagan lo que se
han planificado. Definitivamente, se logra una integración del personal,
que es un impulso para el beneficio presente y futuro de las
organizaciones.
LA ACTITUD POSITIVA
El aspecto de relaciones humanas juega un papel preponderante en
todas las actitudes y actividades que tiene la humanidad. Con mayor
razón, el Auditor Interno que evalúa todos los niveles en la
organización, debe asumir una actitud positiva si quiere que su trabajo
se desarrolle con normalidad. Con el fin de garantizar la comunicación
con todos los sectores de la organización, el Auditor Interno debe
aplicar todas aquellas reglas, normas, actitudes y más de relaciones
humanas, que motiven a que los colaboradores de la empresa confíen
en él y se edifique una imagen clara y positiva de ayuda, ya que su
actitud será la que abrirá o cerrará el campo de acción, así como el de
la aplicación de sus recomendaciones.
DENTRO DEL DEPARTAMENTO DE AUDITORÍA
Para crear un ambiente de integración y colaboración en el trabajo, los
Auditores deben:
* Fortalecer la unidad de grupo para hacer del diálogo, el medio que
garantice la consecución de correctivos pertinentes en los niveles de
organización, administración, supervisión y operación, dando la
importancia que se merece cada uno, en su nivel.
* Promover reuniones periódicas en las que se unifiquen criterios
técnicos y se resuelvan problemas individuales como medio de
actualización de procedimientos de trabajo y, en especial, de las
relaciones humanas.
* Incentivar la retroalimentación de información de conocimientos del
grupo por medio de charlas y/o reuniones de trabajo luego de cada
auditoría. Esto permitirá una convivencia, ya que el Auditor se convierte
en expositor de su propia experiencia y el grupo se entera de los
problemas y soluciones aplicadas.
* Motivar la aplicación de relaciones humanas en el trabajo, procurando
que sea el reflejo de lo que sucede dentro del Departamento de
Auditoría, como el resultado de la integración del personal.
Dentro de la Empresa
Los Auditores deben considerar los siguientes aspectos en relación a la
empresa y su personal.
* Hacer sentir importante al empleado que va a proporcionar la
información, todo colaborador es importante a su nivel más aún si le
hacemos notar que forma parte del complejo engranaje de la empresa y
su participación está involucrada de una y otra manera en las
decisiones que finalmente toma la administración.
* Procurar conocer los nombres de los colaboradores y llamarlos por sus
nombres, esto motiva una actitud de confianza que permite una mejor
comunicación.
* Procurar escuchar y no sólo hablar, esto ayuda a la apertura de un
diálogo que permitirá un mejor entendimiento de los problemas y sus
soluciones.
* Dejar emitir sus opiniones, aún en el caso que el Auditor considere
que no son apropiadas, esto crea un ambiente de participación.
Bibliografía: - PIATTINI Mario y DEL PESO Emilio, “Auditoría Informática. Un enfoque práctico”, RAMA-Editorial, Madrid España
* Procurar ser amable en el trato al personal. No se pierde nada
diciendo “por favor”. Se consigue mayor colaboración e información con
relaciones humanas, educación y respeto, que con una actitud
autoritaria.
* Ser puntual en las reuniones, es signo de respeto. El auditor debe
estar convencido que el respeto, en principio, no es para los demás sino
para uno mismo, si uno respeta su propia escala de valores, de hecho
respetará a los demás.
* Procurar ser equitativo y justo. Si usted está equivocado, admítalo
rápida y enfáticamente.
PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS
4. PROCESO DE AUDITORIA DE SISTEMAS
INFORMATICOS
4.1 INTRODUCCIÓN
4.2 AUDITORIA
4.3 AUDITORIA DE SISTEMAS INFORMÁTICOS
4.4 FASES DE LA AUDITORIA DE SISTEMA
4.5 OBJETIVO GENERAL
4.6 OBJETIVOS ESPECÍFICOS
4.7 PLANIFICACIÓN
4.8 OBJETIVOS DE LA PLANIFICACIÓN
4.9 PLANIFICACIÓN PRELIMINAR
4.10 PLANIFICACIÓN ESPECÍFICA
4.11 EJECUCIÓN
4.12 COMUNICACIÓN DE RESULTADOS
4.13 SIMILITUDES Y DIFERENCIAS CON LA AUDITORÍA
TRADICIONAL
Introducción
A finales del siglo XX, los Sistemas Informáticos se han constituido en
las herramientas más poderosas para materializar uno de los conceptos
más vitales y necesarios para cualquier organización empresarial, los
Sistemas de Información de la empresa. En consecuencia, las
organizaciones informáticas forman parte de lo que se ha denominado
el "management" o gestión de la empresa. Cabe aclarar que la
Informática no gestiona propiamente la empresa, ayuda a la toma de
decisiones, pero no decide por sí misma, es por esto la importancia de
la Auditoría Informática en el funcionamiento de una empresa.
AUDITORIA
La palabra auditoría proviene del latín auditorius, y de esta proviene la
palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.
El concepto de auditoría es un examen crítico que se realiza con el fin
de evaluar la eficacia y eficiencia de una sección, un organismo, una
entidad, etc.
Los principales objetivos que constituyen a la auditoría Informática son
el control de la función informática, el análisis de la eficiencia de los
Sistemas Informáticos que comparan, la verificación del cumplimiento
de la Normativa general de la empresa en este ámbito y la revisión de la
eficaz gestión de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los
amplios recursos que la empresa pone en juego para disponer de un
eficiente y eficaz Sistema de Información.
Auditoria de Sistemas Informáticos
La auditoria de sistemas es la revisión y la evaluación de los controles
en los sistemas de información, para determinar su uso adecuado,
eficiencia y seguridad en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una
utilización más eficiente y segura de la información que servirá para
una adecuada toma de decisiones.
Fases de la Auditoria de Sistemas
Fase contractual
Fase preliminar
Fase final
OBJETIVO GENERAL
Aplicar el proceso de auditoría de Sistemas Informáticos en la empresa
en donde se desempeña profesionalmente.
OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE
SISTEMAS
Participación en el desarrollo de nuevos sistemas:
evaluación de controles
cumplimiento de la metodología.
Evaluación de la seguridad en el área informática.
Evaluación de suficiencia en los planes de contingencia.
respaldos, preveer qué va a pasar si se presentan fallas.
Opinión de la utilización de los recursos informáticos.
resguardo y protección de activos.
Control de modificación a las aplicaciones existentes.
fraudes
control a las modificaciones de los programas.
Participación en la negociación de contratos con los proveedores.
Revisión de la utilización del sistema operativo y los programas
utilitarios.
control sobre la utilización de los sistemas operativos
programas utilitarios.
Auditoría de la base de datos.
estructura sobre la cual se desarrollan las aplicaciones...
Auditoría de la red de teleprocesos.
Desarrollo de software de auditoría.
PLANIFICACION
Toda actividad requiere de una planificación adecuada para poder
alcanzar los objetivos y metas propuestas. Esta planificación, le permite
al auditor tener una visión clara del trabajo que debe realizar durante
las diferentes fases de la auditoría y administrarlo conforme al tiempo
previo.
Según la guía de Auditoría de Gestión de la Calidad elaborada por
Sabina J. (2008), la planificación de la auditoría comprende el
desarrollo de una estrategia global para su administración, al igual que
el establecimiento de un enfoque apropiado sobre la naturaleza,
oportunidad y alcance de los procedimientos de auditoría que deben
aplicarse. El planeamiento también permitirá que el equipo de auditoría
pueda hacer uso apropiado del potencial humano disponible.
El proceso de la planificación permite al auditor identificar las áreas
más importantes y los problemas potenciales del examen, evaluar el
nivel de riesgo y programar la obtención de la evidencia necesaria para
examinar los distintos componentes de la empresa.
La planificación es la primera fase del proceso de la auditoría y de su
concepción dependerá la eficiencia y efectividad en el logro de los
objetivos propuestos, utilizando los recursos estrictamente necesarios.
La planificación será cuidadosa y creativa, positiva e imaginativa,
considerará alternativas y seleccionará los métodos más apropiados
para realizar las tareas, por tanto esta actividad será coordinada por el
Auditor.
OBJETIVOS DE LA PLANIFICACION
Permitir la realización de un examen adecuado y eficiente que
facilite la consecución de los objetivos de la auditoría en un
tiempo razonable.
Facilitar el control sobre el desarrollo del trabajo y el tiempo que
se invierte en el mismo.
Fijar racionalmente el alcance con que se van a aplicar los
distintos procedimientos de auditoría.
Realizar las actividades de monitoreo y seguimiento de
recomendaciones efectuadas en auditorías anteriores.
PLANIFICACION PRELIMINAR
La planificación preliminar tiene el propósito de obtener o actualizar
la información general sobre los distintos sistemas de información
que posea la empresa, sus responsables, a fin de identificar
globalmente las condiciones existentes para ejecutar la auditoría.
Desde este momento, al conocer los principales sistemas o procesos
de la organización, sus responsables, actividades, insumos y salidas,
estamos en capacidad de identificar aquellos componentes cuya
relación con la misión de la empresa es directa y que además,
demanda significativos recursos del presupuesto empresarial.
Recuerde esta es una etapa que permite conocer la empresa y
específicamente en el caso que nos ocupa los procesos informáticos.
Aquí usted debe aplicar todas sus habilidades y destrezas que hasta
la presente fecha haya estudiado con la finalidad de cumplir con ese
objetivo.
PLANIFICACION ESPECÍFICA
En esta fase se define la estrategia a seguir en el trabajo de campo.
Tiene incidencia en la eficiente utilización de los recursos y en el
logro de las metas y objetivos definidos para la auditoría. Se
fundamenta en la información obtenida inicialmente durante la
planificación preliminar.
La planificación específica tiene como propósito principal evaluar el
control interno, para obtener información adicional, evaluar y
calificar los riesgos de la auditoría y seleccionar los procedimientos
de auditoría a ser aplicados a cada componente en la fase de
ejecución, mediante los programas respectivos. Es decir mediante
estos resultados se determina la estrategia de trabajo requerida para
cada caso, las mismas que incluirán pruebas sustantivas y de
cumplimiento según sea el caso. Estas pruebas conforman el
programa de trabajo que serán asignados a cada proceso, los
mismos que se diseñan como una guía de instrucciones a aplicarse y
que serán distribuidos entre los integrantes del equipo auditor.
EJECUCION
Este nivel del proceso de la auditoría se relaciona con el
cumplimiento de las actividades incluidas en los programas de
trabajo y a base de su aplicación se obtendrá evidencia relacionada.
La evidencia debe ser suficiente, competente y relevante.
COMUNICACIÓN DE RESULTADOS
Aunque es una de las fases que se la ubica casi al final del proceso,
su aplicación deberá ser permanente. Cuando existan hechos
reportables deberán ser comunicados oportunamente. Además es
conveniente mantener una comunicación constante, lo que
garantizará la aplicación oportuna de correctivos, una depuración
adecuada del contenido del informe y un aporte de evidencia
adicional necesaria para garantizar el trabajo ejecutado por los
auditores.
En esta fase es importante que se conformen los hallazgos
respetando los atributos (condición, criterio, causa y efecto) y de esta
forma se debe reunir todos en el informe de auditoría, el mismo que
deberá ser comunicado de manera formal al finalizar el proceso.
Además deberá contener recomendaciones o sugerencias para la
mejora. Para el efecto es importante diseñar un plan de
implementación de recomendaciones que debe incluir los siguientes
elementos:
Propósito de las recomendaciones
Detalle de actividades
Financiamiento
Responsables
Plazos de ejecución
Firmas de aceptación
Debemos tener presente que los papeles de trabajo, las matrices y
toda la información que hemos logrado desarrollar, constituirá la
base para la elaboración del informe final de auditoría.
SEGUIMIENTO
El auditor mediante un examen revisará el cumplimiento del
propósito y actividades. La eficacia del plan de implementación de
recomendaciones depende de una comunicación abierta en todo el
proceso y de la homologación de estos resultados, es decir su
aceptación por parte de los encargados de su aplicación. Esta fase se
la realiza dependiendo del acuerdo que exista entre el auditado y el
auditor.
BIBLIOGRAFIA
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://html.rincondelvago.com/auditoria-de-los-sistemas-de-informacion.html
Similitudes y diferencias con la auditoría tradicional
Similitudes
No se requieren nuevas normas de auditoría, son las
mismas.
Los elementos básicos de un buen sistema de control
contable interno siguen siendo los mismos; por ejemplo, la
adecuada segregación de funciones.
Los propósitos principales del estudio y la evaluación del
control contable interno son la obtención de evidencia para
respaldar una opinión y determinar la base, oportunidad y
extensión de las pruebas futuras de auditoría.
Diferencias
Se establecen algunos nuevos procedimientos de auditoría.
Hay diferencias en las técnicas destinadas a mantener un
adecuado control interno contable.
Hay alguna diferencia en la manera de estudiar y evaluar el
control interno contable. Una diferencia significativa es que
en algunos procesos se usan programas.
El énfasis en la evaluación de los sistemas manuales está
en la evaluación de transacciones, mientras que el énfasis
en los sistemas informáticos, está en la evaluación del
control interno.