P. 1
Normas Tecnicas y Procedimientos Auditoria

Normas Tecnicas y Procedimientos Auditoria

|Views: 2.145|Likes:
Publicado porkatyelibeth

More info:

Published by: katyelibeth on Jan 03, 2012
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as TXT, PDF, TXT or read online from Scribd
See more
See less

08/24/2013

pdf

text

original

Normas, técnicas y procedimientos de auditoría El desarrollo de una auditoría se basa en la aplicación de normas, técnicas y procedim ientos de auditoría.

Para nuestro caso, estudiaremos aquellas enfocadas a la audit oría en informática. Es fundamental mencionar que para el auditor en informática conocer los productos de software que han sido creados para apoyar su función aparte de los componentes de la propia computadora resulta esencial, esto por razones económicas y para faci litar el manejo de la información Normas Las normas de auditoría son los requisitos mínimos de calidad relativos a la persona lidad del auditor, al trabajo que desempeña ya la información que rinde como resulta do de este trabajo. Las normas de auditoría se clasifican en: Normas personales: son cualidades que el auditor debe tener para ejercer sin dol o una auditoría, basados en un sus conocimientos profesionales así como en un entren amiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias. Normas de ejecución del trabajo: son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría. Normas de información: son el resultado que el auditor debe entregar a los interes ados para que se den cuenta de su trabajo, también es conocido como informe o dict amen. Técnicas Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo s e basa en su criterio o juicio, según las circunstancias . PROCEDIMIENTOS Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunsta ncias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría , se les dan el nombre de procedimientos de auditoría en informática. La combinación de dos o más procedimientos, derivan en programas de auditoría, y al co njunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría. El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea En General los procedimientos de auditoría permiten Obtener conocimientos del control interno. Analizar loas características del control interno. Verificar los resultados de control interno. Fundamentar conclusiones de la auditoría. Por esta razón el auditor deberá aplicar su experiencia y decidir cuál técnica o procedi miento de auditoría serán los mas indicados par obtener su opinión. ANÀLISIS DE DATOS Dentro de este trabajo, desarrollaremos diversos tipos de técnicas y procedimiento s de auditoría, de los cuales destacan el análisis de datos, ya que para las organiz aciones el conjunto de datos o información son de tal importancia que es necesario verificarlos y comprobarlos, así también tiene la misma importancia para el auditar ya que debe de utilizar diversas técnicas para el análisis de datos TÈCNICAS PARA EL ANÀLISIS DE DATOS Comparación de programas: esta técnica se emplea para efectuar una comparación de código (fuente, objeto o comandos de proceso) entre la versión de un programa en ejecución y la versión de un programa piloto que ha sido modificado en forma indebida, para encontrar diferencias.

Mapeo y rastreo de programas: esta técnica emplea un software especializado que pe rmite analizar los programas en ejecución, indicando el número de veces que cada línea de código es procesada y las de las variables de memoria que estuvieron presentes Análisis de código de programas: Se emplea para analizar los programas de una aplica ción. El análisis puede efectuarse en forma manual (en cuyo caso sólo se podría analizar el código ejecutable). Datos de prueba: Se emplea para verificar que los procedimientos de control incl uidos los programas de una aplicación funcionen correctamente. Los datos de prueba consisten en la preparación de una serie de transacciones que contienen tanto dat os correctos como datos erróneos predeterminados. Datos de prueba integrados: Técnica muy similar a la anterior, con la diferencia d e que en ésta se debe crear una entidad, falsa dentro de los sistemas de información . Análisis de bitácoras: Existen varios tipos de bitácoras que pueden ser analizadas por el auditor, ya sea en forma manual o por medio de programas especializados, tal es como bitácoras de fallas del equipo, bitácoras de accesos no autorizados, bitácoras de uso de recursos, bitácoras de procesos ejecutados Simulación paralela: Técnica muy utilizada que consiste en desarrollar programas o mód ulos que simulen a los programas de un sistema en producción. El objetivo es proce sar los dos programas o módulos de forma paralela e identificar diferencias entre los resultados de ambos MONITOREO Dentro de las organizaciones todos los procesos necesitan ser evaluados a través d el tiempo para verificar su calidad en cuanto a las necesidades de control, inte gridad y confidencialidad, este es precisamente el ámbito de esta técnica, a continu ación se muestran los procesos de monitoreo: Monitoreo del proceso. Evaluar lo adecuado del control Interno. Obtención de aseguramiento independiente. Proveer auditoría independiente Monitoreo del proceso Asegura el logro de los objetivos para los procesos, lo cual se logra definiendo por parte de la gerencia reportes e indicadores de desempeño y la implementación de sistemas de soporte así como la atención regular a los reportes emitidos. Para ello la gerencia podrá definir indicadores claves de desempeño y factores crítico s de éxito y compararlos con los niveles propuestos para evaluar el desempeño de los procesos de la organización Evaluar lo adecuado del control Interno Asegura el logro de los objetivos de control interno establecidos para los proce sos, para ello se debe monitorear la efectividad de los controles internos a tra vés de actividades administrativas, de supervisión, comparaciones, acciones rutinari as, evaluar su efectividad y emitir reportes en forma regular Obtención de aseguramiento independiente Incrementa los niveles de confianza entre la organización, clientes y proveedores, este proceso se lleva a cabo a intervalos regulares de tiempo. Para ello la gerencia deberá obtener una certificación o acreditación independiente de seguridad y control interno antes de implementar nuevos servicios de tecnología d e información que resulten críticos Proveer auditoría independiente Incrementa los niveles de confianza de recomendaciones basadas en mejores práctica s de su implementación, lo que se logra con el uso de auditorías independientes desa rrolladas a intervalos regulares de tiempo. Para ello la gerencia deberá establecer los estatutos para la función de auditoría, de stacando en este documento la responsabilidad, autoridad y obligaciones de la au ditoría.

El auditor deberá ser independiente del auditado, esto significa que los auditores no deberán estar relacionados con la sección o departamento que esté siendo auditado y en lo posible deberá ser independiente de la propia empresa; esta auditoría deberá r espetar la ética y los estándares profesionales, seleccionando para ello auditores q ue sean técnicamente competentes, es decir que cuenten con habilidades y conocimie ntos que aseguren tareas efectivas y eficientes de auditoría informática. La función de la auditoría informática deberá proporcionar un reporte que muestre los ob jetivos, período de cobertura, naturaleza y trabajo de auditoría realizado, así como t ambién la organización, conclusión y recomendaciones relacionadas con el trabajo de au ditoría informática llevado a cabo Análisis de bitácoras Una bitácora puede registrar mucha información acerca de eventos relacionados con el sistema que la genera los cuales pueden ser: Fecha y hora. Direcciones IP origen y destino. Dirección IP que genera la bitácora. Usuarios. Errores. La importancia de las bitácoras es la de recuperar información ante incidentes de se guridad, detección de comportamiento inusual, información para resolver problemas, e videncia legal, es de gran ayuda en las tareas de cómputo forense Las Herramientas de análisis de bitácoras mas conocidas son las siguientes: Para UNIX, Logcheck, SWATCH. Para Windows, LogAgent Las bitácoras contienen información crítica es por ello que deben ser analizadas, ya q ue están teniendo mucha relevancia, como evidencia en aspectos legales PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS Objetivos de los papeles de trabajo - Servir como evidencia del trabajo realizado y de soporte de las conclusiones d el mismo. - Presentar informes a las partes interesadas. - Facilitar los medios para organizar, controlar, administrar y supervisar el tr abajo ejecutado en las oficinas del cliente - Facilitar la continuidad del trabajo en el caso de que un área deba ser terminad a por persona distinta de la que la inició. - Facilitar la labor de revisiones posteriores y servir para la información y eval uación personal. Tipos de papeles de trabajo En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán cla sificar en tres grupos: a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos. b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la v erificación de los saldos que aparecen en el balance de situación a auditar. c) Preparados por el auditor. Este último grupo estará formado por toda la documenta ción elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestio narios y programas, descripciones, detalles de los diferentes capítulos de los est ados financieros, cuentas, transacciones, INSTRUMENTOS DE RECOPILACION DE INFORMACION EN AUDITORIA Entrevista Es la principal actividad de un auditor sin importar el tipo de auditoria que se realice, es la recopilación de conformación sobre el aspecto que va auditar, pues c oncentra y tabular esa conformación en cuadros Y estadísticas analiza sus resultados y emite un juicio sobre lo que evaluó

Las preguntas para una entrevista Pueden ser: Abiertas: donde el entrevistado tiene libertad absoluta para responder. Cerradas: su objetivo es centrar las respuestas donde el auditor quiera llegar s in salirse del tema. De sondeo: se utiliza para determinar el grado de cooperación y colaboración. De Cierre: se hacen para terminar con el interrogatorio. Mixta: es la combinación de dos o más de las preguntas anteriores Encuesta Los datos se obtienen a partir de realizar un conjunto de preguntas normalizadas dirigidas a una muestra representativa o al conjunto total de la población en est udio. La encuesta se realiza siempre en función de un cuestionario Cuestionarios Es la recopilación de datos mediante preguntas impresas en la que el encuestado re sponde mediante su criterio. Que luego el auditor convierte en información valiosa para realizar su trabajo. Documento básico para obtener la información. Observación Es la acción de observar y mirar detenidamente, esta técnica es muy utilizada por lo s auditores ya que les permite recolectar directamente la información necesaria. La acción de observar es el hecho de examinar, analizar, advertir, o estudiar algo en este caso el auditor observa todo lo relacionado con los sistemas de una emp resa. Inventario Consiste en comprar las cantidades reales existentes con las que beberían haber pa ra ver si son iguales o no. Esta forma de recopilación de información consiste en hacer un recuento físico de lo q ue se esta auditando a fin de saber la cantidad existente de algún producto en una fecha determinada y comprarla con la que debía haber según los documentos en esa mi sma fecha. Muestreo Para emitir una opinión fundamentada sobre los funcionamientos de las operaciones un auditor debe tener información segura pero se le hace imposible e inoperante re visar todas las transacciones, razón por la cual debe tomar una muestra representa tiva de cada una de las labores de la población auditada Inventario Consiste en comprar las cantidades reales existentes con las que beberían haber pa ra ver si son iguales o no. Esta forma de recopilación de información consiste en hacer un recuento físico de lo q ue se esta auditando a fin de saber la cantidad existente de algún producto en una fecha determinada y comprarla con la que debía haber según los documentos en esa mi sma fecha Experimentación Es un procedimiento mediante el cual se trata de comprobar, confirmar o verifica r, una o varias hipótesis relacionadas Entre los tipos de experimentos que daremos a conocer están: Experimentos exploratorios Experimento confirmatorios Experimento cruciales TECNICAS DE EVALUACION APLICABLES EN UNA AUDITORIA DE SISTEMAS EXAMEN Consiste en analizar y poner a prueba o demostración algún fenómeno o hecho relacionad o con la gestión administrativa de un centro de cómputo, de sus componentes o de la

operación del sistema procesados de información, con el propósito de evaluar el cumpli miento de sus funciones, actividades y operaciones, así como el cumplimiento del p rocesamiento de datos y la emisión de información que se requiere en la empresa o en las áreas que la integren INSPECCION La inspección es Sinónimo de supervisión, ya que trata de examinar la forma en que se desarrollan las actividades de un área de sistemas computacionales, a fin de evalu ar y emitir un informe sobre el desarrollo normal de sus funciones y operaciones COMPARACION (Determinar las semejanzas o diferencias que hay entre dos o mas elementos) Esta debe ser aplicada de acuerdo a las necesidades y características especificas del ár ea de sistemas o del propio sistemas que va a se auditado. Con la comparación de información se pueden encontrar las similitudes y diferencias entre ambas áreas o empresa, con lo cual se pueden hacer conjeturas y deducciones sobre las desviaciones encontradas REVISION DOCUMENTAL Es la forma mas importante de evaluar a las empresas; La revisión documental avala los registros de operaciones y actividades de una emp resa, principalmente en aquellos casos donde la evaluación esta enfocada a los asp ectos financieros, registros de los activos y a cualquier otro aspecto contable y administrativo de la empresa. Esta técnica se aplica verificando el registro cor recto de datos en documentos formales de la empresa, con mucha frecuencia la emi sión de sus resultados financieros. En los sistemas computacionales es utilizada p ara evaluar el desarrollo de las operaciones y funcionamiento del sistema, revis ar el uso y registro adecuado de los documentos del software, verificar la exist encia y actualización de registros formales para la administración y control de oper ación del sistema. ACTA TESTIMONIAL Es un documento de carácter formal, que por su representatividad, importancia y po sibles alcances de carácter legal y jurídico es uno de los documentos vitales. La im portancia de este radica en que con su uso se pueden evidenciar pruebas fehacien tes, circunstanciales, probatorias para comprobar desviaciones en el área auditada y es utilizada para testimoniar los robos, desapariciones o cualquier aspecto r elacionado con la desaparición de algún bien de la empresa, para fincar responsabili dades por deficiencia en las actividades de la empresa; auque puede ser levanta da en cualquier otra incidencia de las actividades cotidiana de una empresa. MATRIZ DE EVALUACION MATRIZ DOFA Es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia intern a y a la influencia que la empresa recibe del exterior.

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->