Auditoria de Sistemas IS-547 Ingeniera de Sistemas

LA AUDITORIA

SEM 1

Introduccin Hoy en da, las tecnologas de la informacin estn presentes en todas las reas de las organizaciones. Esta implantacin generalizada de SI se ha realizado en muchos casos sin la necesaria planificacin, en parte porque los conceptos necesarios no estaban suficientemente desarrollados. La tendencia hacia los sistemas abiertos, la interconexin global y el deseo por parte de los consumidores de independizarse de los fabricantes traen consigo la necesidad de un estudio ms profundo de los SI antes de tomar decisiones. Por lo tanto, se hace necesario mejorar la planificacin de futuras implementaciones, la compatibilidad entre sistemas y la organizacin del personal y de la empresa. En los ltimos tiempos el ejercicio en las actividades de auditoria y control en tecnologas informticas, ha auspiciado un desenvolvimiento mas que acelerado de todas las dems actividades inmersas en la economa de un pas. Esto, da pie a pensar que las tareas realizadas por ellas han de ser igualmente auditadas. En las organizaciones modernas, tanto pblicas como privadas, la misin de las tecnologas de la informacin es facilitar la consecucin de sus objetivos estratgicos. Para ello, se invierte una considerable cantidad de recursos en personal, equipos y tecnologa, adems de los costos derivados de la posible organizacin estructural que muchas veces conlleva la introduccin de estas tecnologas. Esta importante inversin debe ser constantemente justificada en trminos de eficacia y eficiencia. Por tanto, el propsito a alcanzar por una organizacin que contrata la auditoria de cualquier parte de sus SI es asegurar que sus objetivos estratgicos son los mismos que los de la propia organizacin y que los sistemas prestan el apoyo adecuado a la consecucin de estos objetivos, tanto en el presente como en su evolucin futura. Definicin de Auditoria Con frecuencia la palabra auditoria se ha empleado incorrectamente y se le ha considerado como una evaluacin cuyo nico fin es detectar errores y sealar fallas. Por eso se ha llegado a usar la frase tiene auditoria como sinnimos de que desde antes de realizarse, ya se encontraron fallas y por lo tanto se est haciendo la auditoria. El concepto de auditoria es mas amplio; no solo detecta errores: es un examen crtico que se realiza con objeto de evaluar la eficiencia y eficacia de una seccin o de un organismo, y determinar cursos alternativos de accin para mejorar la organizacin , y lograr los objetivos propuestos. La palabra auditoria viene del latn auditorius, y de sta proviene auditor, el que tiene la virtud de or; el diccionario lo define como revisor de cuentas colegiado. El auditor tiene la virtud de oir y revisar cuentas, pero debe estar encaminado a un objetivo especfico, que es el de evaluar la eficiencia y eficacia con que se esta operando para que, por medio del sealamiento de cursos alternativos de accin, se tomen decisiones que permitan corregir los errores, en caso de que existan, o bien mejorar la forma de actuacin. Eficacia es: virtud, actividad, fuerza para poder obrar mientras que eficiencia es:virtud y facultad para lograr un efecto determinado, es decir es el poder lograr lo planeado con los menores recursos posibles mientras que eficacia es lograr los objetivos. La auditoria no es una actividad meramente mecnica que implique la aplicacin de ciertos procedimientos cuyos resultados, una vez llevados a cabo, son de carcter indudable. La auditoria requiere el ejercicio de un juicio profesional, slido y maduro, para juzgar los procedimientos que deben seguirse y estimar los resultados obtenidos. As como existen normas y procedimientos especficos para la realizacin de auditorias contables, debe haber tambin normas y procedimientos para la realizacin de auditorias en informtica como parte de una profesin. Estas pueden estar basadas en las experiencias de otras profesiones, pero con algunas caractersticas propias y siempre guindose por el concepto de que la auditoria debe ser mas amplia que la simple deteccin de errores, y que adems la auditora debe evaluar para mejorar lo existente, corregir errores y proponer alternativas de solucin

EGM

Pgina 1 de 5

Auditoria de Sistemas IS-547 Ingeniera de Sistemas La auditora puede definirse como el examen comprensivo y constructivo de la estructura organizativa de una empresa de una institucin o departamento gubernamental; o de cualquier otra entidad y de sus mtodos de control, medios de operacin y empleo que d a sus recursos humanos y materiales. Conceptualmente la auditora, toda y cualquier auditora, es la actividad consistente en la emisin de una opinin profesional sobre si el objeto sometido a anlisis presenta adecuadamente la realidad que pretende reflejar y/o cumple las condiciones que le han sido prescritas. Podemos descomponer este concepto en los elementos fundamentales que a continuacin se especifican:

1. Contenido 2. Condicin 3. Justificacin 4. Objeto 5. Finalidad

: : : : :

una opinin profesional sustentada en determinados procedimientos una determinada informacin obtenida en un cierto soporte determinar si presenta adecuadamente la realidad o sta responde a las expectativas que le son atribuidas, es decir, su fiabilidad.

Clase Financiera Informtica Gestin Cumplimiento

Objeto a evaluar Cuentas anuales Sistemas de aplicacin, recursos informticos, planes de contingencia, etc. Direccin Normas establecidas

Finalidad Presentan realidad Operatividad eficiente y segn normas establecidas. Eficacia, eficiencia, econmica Las operaciones se adecuan a estas normas

En todo caso es una funcin que se acomete a posteriori, en relacin con actividades ya realizadas, sobre las que hay que emitir una opinin.
Auditoria Financiera: Consiste en una revisin exploratoria y critica de los controles

subyacentes y los registros de contabilidad de una empresarealizada por un contador publico, cuya

conclusin es un dictamen a cerca de la correccin de los estados financieros de la empresa. Auditoria interna: Proviene de la auditoria financiera y consiste en: una actividad de evaluacin que se desarrolla en forma independiente dentro de una organizacin, a fin de revisar la contabilidad, las finanzas y otras operaciones como base de un servicio protector y constructivo para la administracin. En un instrumento de control que funciona por medio de la medicion y evaluacin de la eficiencia de otras clases de control, tales como: procedimientos; contabilidad y demas

registros; informes financieros; normas de ejecucin etc. Auditoria de operaciones: Se define como una tcnica para evaluar sistemticamente de una funcion o una unidad con referencia a normas de la empresa, utilizando personal no especializado en el area de estudio, con el objeto de asegurar a la administracin, que sus objetivos se cumplan, y determinar que condiciones pueden mejorarse. A continuacin se dan algunos ejemplos de la autoridad de operaciones:

* Evaluacin del cumplimiento de polticas y procedimientos. * Revisin de practicas de compras.

Auditoria administrativa: Es un examen detallado de la administracin de un organismo social

realizado por un profesional de la administracin con el fin de evaluar la eficiencia de sus resultados, sus metas fijadas con base en la organizacin, sus recursos humanos, financieros, materiales, sus

metodos y controles, y su forma de operar. Auditoria fiscal: Consiste en verificar el correcto y oportuno pago de los diferentes impuestos y obligaciones fiscales de los contribuyentes desde el punto de vista fisico ( SHCP ), direcciones o tesorerias de hacienda estatales o tesorerias municipales.

EGM

Pgina 2 de 5

Auditoria de Sistemas IS-547 Ingeniera de Sistemas

Auditoria de resultados de programas: Esta auditoria la eficacia y congruencia alcanzadas en el

logro de los objetivos y las metas establecidas, en relacion con el avance del ejercicio presupuestal. Auditoria de legalidad: Este tipo de auditoria tiene como finalidad revisar si la dependencia o entidad, en el desarrollo de sus actividades, ha observado el cumplimiento de disposiciones legales que sean aplicables ( leyes, reglamentos, decretos, circulares, etc )

Auditoria integral: Es un examen que proporciona una evaluacin objetiva y constructiva acerca del grado en que los recursos humanos, financieros y materiales son manejados con debidas economias, eficacia y eficiencia.

La auditora se clasifica en Auditora Financiera y Operativa. La auditora financiera efecta un examen sistemtico de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las polticas de la administracin y de la planificacin La auditora operativa cae dentro de la definicin general de auditora y se define: Un examen sistemtico de las actividades de una organizacin ( de un segmento estipulado de las mismas) en relacin con objetivos especficos, a fin de evaluar el comportamiento, sealar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivo Qu es Auditora en Informtica? Auditora en Informtica es la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participan en el procesamiento de la informacin, a fin de que por medio del sealamiento de cursos alternativos se logre una utilizacin ms eficiente y segura de la informacin que servir para la adecuada toma de decisiones. Un conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema informtico , con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente y de acuerdo con la normativa informtica y general existente en cada empresa y para conseguir la eficacia exigida en el marco de la organizacin correspondiente. La auditoria informtica abarca conceptos tanto de auditoria como de consultora (no son trminos equivalentes y es preciso distinguirlos).

EFICACIA : VIRTUD, ACTIVIDAD y PODER PARA OBRAR EFICAZ : Activo, fervoroso, poderoso para obrar.

EFICIENCIA: VIRTUD y FACULTAD PARA LOGRAR UN EFECTO DETERMINADO. ACCION CON QUE SE LOGRA ESTE EFECTO. Aptitud, competencia, eficacia en el cargo que se ocupa o trabajo que se desempea. Econ: UTILIZACION RACIONAL DE LOS RECURSOS PRODUCTIVOS, ADECUANDOLOS CON LA TECNOLOGIA EXISTENTE. EFICIENTE : QUE TIENE EFICIENCIA. Bases sobre las que se sustenta la Auditora en SI En la actualidad los temas relativos a la auditora informtica cobran cada vez ms relevancia, debido a que la informacin se ha convertido en el activo ms importante de las empresas, representando su principal ventaja estratgica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creacin de sistemas de informacin, con el fin de obtener la mayor productividad y calidad posibles. Hoy, estamos inmersos en un profundo cambio, las empresas y organizaciones dependen de las pautas econmicas, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si las tendencias tecnolgicas y los entornos econmicos e industriales cambian, deben adaptarse rpidamente a las nuevas circunstancias para sobrevivir.

EGM

Pgina 3 de 5

Auditoria de Sistemas IS-547 Ingeniera de Sistemas Este cambio es muy rpido, est afectando al mundo entero, y su comprensin es fundamental para las organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologas de informacin. Aunque los avances tecnolgicos de los ltimos veinte aos han sido constantes y espectaculares, en los ltimos cinco se ha producido una verdadera revolucin tecnolgica de gran envergadura e impacto para la propia industria informtica, as como de consecuencias importantes para el resto de sectores. Cada vez, con mayor frecuencia, un mayor nmero de organizaciones considera que la informacin y la tecnologa asociada a ella representan sus activos ms importantes. Entonces, de igual modo que se exige para los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e informacin, son indispensables. Los directivos, por ende, deben establecer un sistema de control interno adecuado y tal sistema debe soportar debidamente los procesos del negocio. Haciendo eco de estas tendencias, la Organizacin ISACA (Information Systems Audit and Control Association), a travs de su Fundacin, public en diciembre de 1995 el COBIT, como resultado de cuatro aos de intensa investigacin y del trabajo de un gran equipo de expertos internacionales. Siendo est metodologa el marco de una definicin de estndares y conducta profesional para la gestin y el control de los SI, en todos sus aspectos, unificando diferentes estndares, mtodos de evaluacin y controles anteriores. Adicionalmente, esta metodologa aporta la orientacin hacia el negocio y est diseada no solo para ser utilizada por usuarios y auditores, sino tambin como una extensa gua para gestionar los procesos de negocios. Apertura interdisciplinaria de la Auditoria Toda entidad tiene que hacer frente a riesgos de la ms variada ndole, que le pueden afectar de las ms diversas formas posibles dentro de la actividad de la empresa. Las empresas deben determinar cules son los niveles de riesgo aceptables y tratar de evitar que sobrepasen esos lmites. Pero, antes de determinar los riesgos, hay que determinar los objetivos. Cada entidad debe determinar sus objetivos, sus puntos fuertes y dbiles y las oportunidades y amenazas del entorno. De esta manera obtendr un plan estratgico que identificar los factores de xito o condiciones para alcanzar sus objetivos. Los objetivos pueden clasificarse entre objetivos operacionales, objetivos relacionados con la informacin financiera y objetivos de cumplimiento. Una vez identificados los objetivos, podemos pasar a la identificacin y el anlisis de riesgos. La direccin debe identificar los riesgos existentes en todos los niveles de la empresa, hay muchos procedimientos para proceder a su identificacin pero no es relevante cul de ellos se use. Una vez identificados, la direccin debe realizar un anlisis de los factores que generan los riesgos, de manera que debe estimar la importancia de los mismos, evaluar la probabilidad de que se den y analizar cmo han de gestionarse (estableciendo medidas que tiendan a limitarlos o reducirlos). Hay que tener en cuenta que los cambios producidos en la economa, el sector de actividad, la reglamentacin y las actividades de las empresas hacen que un sistema de control interno que se considera eficaz en un contexto determinado quizs no lo ser en otro. El anlisis de riesgos es, por tanto, una actividad que debe renovarse de forma continuada. La direccin debe estar permanentemente alerta para detectar las circunstancias que van modificando el entorno y por consiguiente los riesgos a enfrentar. Las actividades de control, junto con ciertas actividades de gestin, nos ayudarn a evitar que los riesgos a los que est sujeta la entidad se lleguen a materializar y produzcan efectos negativos en sta. Las actividades de control se traducen en polticas (lo que debe de hacerse) y procedimientos (mecanismos concretos de control). El objeto sometido a estudio, sea cual sea su soporte, por un lado, y la finalidad con que se realiza el estudio, por otro, definen el tipo de auditora que se esta manejando. De esta manera podramos clasificar los tipos de auditoria segn la siguiente tabla: Modelo de metodologa COBIT, para la implementacin de la auditora en cualquier negocio. La misin y objetivo principal de COBIT es investigar, desarrollar, publicar y promocionar objetivos de control de TI internacionales, actualizados a la realidad actual para ser usados por los gerentes de negocios y auditores. COBIT ha sido desarrollado como estndares generalmente aplicables y aceptados para mejorar las prcticas de control y seguridad de las TI, que provean un marco de referencia para la administracin, los EGM Pgina 4 de 5

Auditoria de Sistemas IS-547 Ingeniera de Sistemas usuarios y los auditores de cualquier tipo. Bsicamente consta de 4 pasos, los cuales conforman el planeamiento y realizacin de una auditoria, ellos son: Resumen Ejecutivo El Resumen Ejecutivo se basa en una visin ejecutiva, la cual provee a la administracin un entendimiento de los principios y conceptos claves de COBIT, as como el marco que provee a la administracin con ms detalle y entendimiento de COBIT y define cuatro dominios con sus correspondientes procesos de TI, 34 en total. Antecedentes y Marco de Referencia El Marco describe en detalle los 34 Objetivos de Control de TI a un nivel macro, e identifica los requerimientos del negocio para la informacin e impactos preliminares de recursos de TI para cada objetivo de control. Los objetivos de control contienen declaraciones de los resultados deseados o propsitos a ser alcanzados para la implementacin de 302 objetivos de control especficos, a travs de los 34 Procesos de TI. Guas de Auditora Las Guas de Auditora, las cuales contienen pasos de auditora sugeridos, correspondientes a cada uno de los 34 Objetivos de Control macro para asistir a los auditores de sistemas de informacin en revisar los procesos de TI, junto a los 302 detalles de objetivos de control para proveer seguridad a la administracin y recomendar sus mejoras. Herramientas de Implementacin Las Herramientas de implementacin, las cuales contienen el conocimiento de la administracin y diagnstico de control de TI, una gua de implementacin. Esta nueva herramienta es diseada para facilitar la implementacin de COBIT y relacionar sesiones aprendidas desde organizaciones que rpidamente y exitosamente aplicaron COBIT en sus ambientes de trabajo.

Marco jurdico de lo que se viene denominando: nuevas tecnologas de informacin: De esa importancia creciente de la informacin nace la necesidad de que ese bien jurdico sea protegido por el derecho y aparezca regulado en el ordenamiento jurdico. Leyes peruanas

EGM

Pgina 5 de 5