Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Integrantes:
Guevara Yalitza C.I 13.498102
Yuraima Aray C.I. _________
Salazar Leomar C.I 10.064.560
Javier Arias C.I. 10.937.451
El tigre, 02/11/2014
HISTORIA
Existe la evidencia de que alguna especie de auditora se practic en tiempos
remotos. El hecho de que los soberanos exigieran el mantenimiento de las
cuentas de su residencia por dos escribanos independientes, pone de manifiesto
que fueron tomadas algunas medidas para evitar desfalcos en dichas cuentas. A
medidas que se desarrollo el comercio, surgi la necesidad de las revisiones
independientes para asegurarse de la adecuacin y finalidad de los registros
mantenidos en varias empresas comerciales. La auditora como profesin fue
reconocida por primera vez bajo la Ley Britnica de Sociedades Annimas de
1862 y el reconocimiento general tuvo lugar durante el perodo de mandato de la
Ley "Un sistema metdico y normalizado de contabilidad era deseable para una
adecuada informacin y para la prevencin del fraude". Tambin reconoca "Una
aceptacin general de la necesidad de efectuar una versin independiente de las
cuentas de las pequeas y grandes empresas".
Desde 1862 hasta 1905, la profesin de la auditora creci y floreci en Inglaterra,
y se introdujo en los Estados Unidos hacia 1900. En Inglaterra se sigui haciendo
hincapi en cuanto a la deteccin del fraude como objetivo primordial de la
auditora.
En 1912 Montgomery dijo:
En los que podra llamarse los das en los que se form la auditoria, a los
estudiantes se les enseaban que los objetivos primordiales de sta eran:
La deteccin y prevencin de fraude.
La deteccin y prevencin de errores; sin embargo, en los aos siguientes
hubo un cambio decisivo en la demanda y el servicio, y los propsitos
actuales son:
El cerciorarse de la condicin financiera actual y de las ganancias de una
empresa.
La deteccin y prevencin de fraude, siendo ste un objetivo menor.
Este cambio en el objetivo de la auditora continu desarrollndose, no sin
oposicin, hasta aproximadamente 1940. En este tiempo "Exista un cierto grado
de acuerdo en que el auditor poda y debera no ocuparse primordialmente de la
deteccin de fraude". El objetivo primordial de una auditora independiente debe
ser la revisin de la posicin financiera y de los resultados de operacin como se
indica en los estados financieros del cliente, de manera que pueda ofrecerse una
opinin sobre la adecuacin de estas presentaciones a las partes interesadas.
Paralelamente al crecimiento de la auditora independiente en lo Estados Unidos,
se desarrollaba la auditora interna y del Gobierno, lo que entr a formar parte del
campo de la auditora. A medida que los auditores independientes se apercibieron
suficientes?
La indefinicin de los alcances de la auditora compromete el xito de la misma.
Para una mejor productividad empresarial, los responsables de los sistemas,
que usan los distintos departamentos o reas de negocio, deben conocer los
riesgos derivados de una inadecuada gestin de sistemas y los beneficios
generados por una gestin ptima.
Evaluar la fiabilidad
Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad
Revisar la seguridad de los entornos y sistemas.
Analizar la garanta de calidad de los Sistemas de Informacin
Analizar los controles y procedimientos tanto organizativos como
operativos.
Verificar el cumplimiento de la normativa y legislacin vigentes
Elaborar un informe externo independiente.
Utilizacin de estndares ISACA, OSSTMM, ISO/IEC 17799 y CIS
La auditora informtica, tanto externa como interna, debe ser una actividad exenta
de cualquier contenido o matiz "poltico" ajeno a la propia estrategia y poltica
general de la empresa. La funcin auditora puede actuar de oficio, por iniciativa
del propio rgano, o a instancias de parte, esto es, por encargo de la direccin o
cliente.
SNTOMAS DE NECESIDAD DE UNA AUDITORA INFORMTICA:
Las empresas acuden a las auditoras externas cuando existen sntomas bien
perceptibles de debilidad. Estos sntomas pueden agruparse en clases:
Sntomas de descoordinacin y desorganizacin:
Seguridad Lgica
Seguridad Fsica
Confidencialidad
Los datos son propiedad inicialmente de la organizacin que los genera.
Los datos de personal son especialmente confidenciales.
Continuidad del Servicio. Es un concepto an ms importante que la
Seguridad. Establece las estrategias de continuidad entre fallos mediante
Planes de Contingencia Totales y Locales.
Centro de Proceso de Datos fuera de control. Si tal situacin llegara a
percibirse, sera prcticamente intil la auditora. Esa es la razn por la
cual, en este caso, el sntoma debe ser sustituido por el mnimo indicio.
Planes de Contingencia:
Por ejemplo, la empresa sufre un corte total de energa o explota, Cmo sigo
operando en otro lugar? Lo que generalmente se pide es que se hagan Backups
de la informacin diariamente y que aparte, sea doble, para tener un Backup en la
empresa y otro afuera de sta. Una empresa puede tener unas oficinas paralelas
que posean servicios bsicos (luz, telfono, agua) distintos de los de la empresa
principal, es decir, si a la empresa principal le provea telfono Telecom, a las
oficinas paralelas, Telefnica. En este caso, si se produce la inoperancia de
Sistemas en la empresa principal, se utilizara el Backup para seguir operando en
las oficinas paralelas. Los Backups se pueden acumular durante dos meses, o el
tiempo que estipule la empresa, y despus se van reciclando.
Autenticidad:
Permiten verificar la identidad:
Passwords.
Firmas digitales.
Exactitud:
Aseguran la coherencia de los datos:
Validacin de campos.
Validacin de excesos.
Totalidad:
Evitan la omisin de registros as como garantizan la conclusin de un
proceso de envi:
Conteo de registros.
Cifras de control
Redundancia:
Evitan la duplicidad de datos:
Cancelacin de lotes.
Verificacin de secuencias
Privacidad:
Aseguran la proteccin de los datos:
Compactacin.
Encriptacin.
Existencia:
Aseguran la disponibilidad de los datos:
Bitcora de estados.
Mantenimiento de activos
Proteccin de Activos:
Destruccin o corrupcin de informacin o del hardware:
Extintores.
Passwords.
Efectividad:
Aseguran el logro de los objetivos:
Encuestas de satisfaccin.
Medicin de niveles de servicio.
Eficiencia:
Aseguran el uso ptimo de los recursos:
Programas monitores.
Anlisis costo-beneficio.
Dgito autoverificador.
Consiste en incluir un dgito adicional a una codificacin, el mismo que es
resultado de la aplicacin de un algoritmo o formula, conocido como MODULOS,
que detecta la correccin o no del cdigo. Tal es el caso por ejemplo del decimo
dgito de la cdula de identidad, calculado con el modulo 10 o el ultimo dgito del
RUC calculado con el mdulo 11.
Utilizar
software
de
seguridad
(Plataformas)
en
los
microcomputadores.
El software de seguridad permite restringir el acceso al microcomputador, de tal
modo que solo el personal autorizado pueda utilizarlo.
Controles de Preinstalacin
Controles de Organizacin y Planificacin
Controles de Sistemas en Desarrollo y Produccin
Controles de Procesamiento
Controles de Operacin
Controles de uso de Microcomputadores
Controles de Preinstalacin
Hacen referencia a procesos y actividades previas a la adquisicin e instalacin de
un equipo de computacin y obviamente a la automatizacin de los sistemas
existentes.
Objetivos:
Garantizar que el hardware y software se adquieran siempre y
cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
Garantizar la seleccin adecuada de equipos y sistemas de
computacin.
Asegurar la elaboracin de un plan de actividades previo a la
instalacin
Acciones a seguir:
Acciones a seguir:
La unidad informtica debe estar al mas alto nivel de la pirmide
administrativa de manera que cumpla con sus objetivos, cuente
con el apoyo necesario y la direccin efectiva.
Las funciones de operacin, programacin y diseo de sistemas
deben estar claramente delimitadas.
Deben existir mecanismos necesarios a fin de asegurar que los
programadores y analistas no tengan acceso a la operacin del
computador y los operadores a su vez no conozcan la
documentacin de programas y sistemas.
Controles de Procesamiento:
Los controles de procesamiento se refieren al ciclo que sigue la
informacin desde la entrada hasta la salida de la informacin, lo que
conlleva al establecimiento de una serie de seguridades para:
Asegurar que todos los datos sean procesados.
Garantizar la exactitud de los datos procesados.
Garantizar que se grabe un archivo para uso de la gerencia y con
fines de auditora.
Asegurar que los resultados sean entregados a los usuarios en
forma oportuna y en las mejores condiciones.
Acciones a seguir:
Validacin de datos de entrada previo procesamiento debe ser
realizada en forma automtica: clave, dgito autoverificador,
totales de lotes, entre otros.
Preparacin de datos de entrada debe ser responsabilidad de
usuarios y consecuentemente su correccin.
Recepcin de datos de entrada y distribucin de informacin
de salida debe obedecer a un horario elaborado en
coordinacin con el usuario, realizando un debido control de
calidad.
Adoptar acciones necesaria para correcciones de errores.
Analizar conveniencia costo-beneficio de estandarizacin de
formularios, fuente para agilitar la captura de datos y
minimizar errores.
Los procesos interactivos deben garantizar una adecuada
interrelacin entre usuario y sistema.
Planificar el mantenimiento del hardware y software, tomando
Controles de Operacin:
Abarcan todo el ambiente de la operacin del equipo central de
computacin y dispositivos de almacenamiento, la administracin de
la cintoteca y la operacin de terminales y equipos de comunicacin
por parte de los usuarios de sistemas on line.
Los controles tienen como fin:
Prevenir o detectar errores accidentales que puedan ocurrir en el
Centro de Cmputo durante un proceso.
Evitar o detectar el manejo de datos con fines fraudulentos por
parte de funcionarios del PAD.
Garantizar la integridad de los recursos informticos.
Asegurar la utilizacin adecuada de equipos acorde a planes y
objetivos.
Acciones a seguir:
El acceso al centro de cmputo debe contar con las
seguridades necesarias para reservar el ingreso al personal
autorizado.
Implantar claves o password para garantizar operacin de
consola y equipo central (mainframe), a personal autorizado.
Formular polticas respecto a seguridad, privacidad y
proteccin de las facilidades de procesamiento ante eventos
como: incendio, vandalismo, robo y uso indebido, intentos de
violacin y como responder ante esos eventos.
Mantener un registro permanente (bitcora) de todos los
procesos realizados, dejando constancia de suspensiones o
cancelaciones de procesos.
Los operadores del equipo central deben estar entrenados
para recuperar o restaurar informacin en caso de destruccin
de archivos.
Los backups no deben ser menores de dos (padres e hijos) y
deben guardarse en lugares seguros y adecuados,
preferentemente en bvedas de bancos.
Se deben implantar calendarios de operacin a fin de
establecer prioridades de proceso.
Todas las actividades del Centro de Computo deben normarse
mediante manuales, instructivos, normas, reglamentos, entre
otros.
El proveedor de hardware y software deber proporcionar lo
siguiente:
Manual de operacin de equipos.
Manual de lenguaje de programacin.
Manual de utilitarios disponibles.
Manual de Sistemas operativos.
Las instalaciones deben contar con sistema de alarma por
presencia de fuego, humo, as como extintores de
incendio, conexiones elctricas seguras, entre otras.
Instalar equipos que protejan la informacin y los
dispositivos en caso de variacin de voltaje como:
reguladores de voltaje, supresores pico, UPS, generadores
de energa.
Contratar plizas de seguros para proteger la informacin,
equipos, personal y todo riesgo que se produzca por casos
fortuitos o mala operacin.
Ejemplo: Existe una Aplicacin de Seguridad que se llama SEOS, para Unix, que
lo que hace es auditar el nivel de Seguridad en todos los servidores, como ser:
accesos a archivos, accesos a directorios, que usuario lo hizo, si tena o no tena
permiso, si no tena permiso porque fall, entrada de usuarios a cada uno de los
servidores, fecha y hora, accesos con password equivocada, cambios de
password, entre otros. La Aplicacin lo puede graficar, tirar en nmeros, puede
hacer reportes, entre otros.
La seguridad informtica se la puede dividir como rea General y como rea
Especifica (seguridad de Explotacin, seguridad de las Aplicaciones, entre otros.).
As, se podrn efectuar auditoras de la Seguridad Global de una Instalacin
Informtica Seguridad General- y auditoras de la Seguridad de un rea
informtica determinada Seguridad Especifica -.
Con el incremento de agresiones a instalaciones informticas en los ltimos aos,
se han ido originando acciones para mejorar la Seguridad Informtica a nivel
fsico. Los accesos y conexiones indebidos a travs de las Redes de
Comunicaciones, han acelerado el desarrollo de productos de Seguridad lgica y
la utilizacin de sofisticados medios criptogrficos.
El sistema integral de seguridad debe comprender:
Elementos administrativos.
Definicin de una poltica de seguridad
Organizacin y divisin de responsabilidades
Seguridad fsica y contra catstrofes (incendio, terremotos, entre otros.)
Prcticas de seguridad del personal
Elementos tcnicos y procedimientos
Sistemas de seguridad (de equipos y de sistemas, incluyendo todos los
elementos, tanto redes como terminales.
Aplicacin de los sistemas de seguridad, incluyendo datos y archivos
El papel de los auditores, tanto internos como externos
Planificacin de programas de desastre y su prueba.
La decisin de abordar una Auditora Informtica de Seguridad Global en una
empresa, se fundamenta en el estudio cuidadoso de los riesgos potenciales a los
que est sometida. Se elaboran matrices de riesgo, en donde se consideran los
factores de las Amenazas a las que est sometida una instalacin y los
Impactos que aquellas puedan causar cuando se presentan. Las matrices de
riesgo se representan en cuadros de doble entrada <<Amenaza-Impacto>>, en
donde se evalan las probabilidades de ocurrencia de los elementos de la matriz.
Riesgo de Control:
Que es aquel que existe y que se propicia por falta de control de las
actividades de la empresa y puede generar deficiencias del Sistema de
Control Interno.
Riesgo de Deteccin:
Es aquel que se asume por parte de los auditores que en su revisin no
detecten deficiencias en el Sistema de Control Interno.
Riesgo Inherente:
Son aquellos que se presentan inherentes a las caractersticas del Sistema
de Control Interno.
Sin embargo, los Riesgos estn presentes en cualquier sistema o proceso que se
ejecute, ya sea en procesos de produccin como de servicios, en operaciones
financieras y de mercado, por tal razn podemos afirmar que la Auditora no est
exenta de este concepto.
En cada Subproceso, como suele llamrsele igualmente a las etapas de la misma,
el auditor tiene que realizar tareas o verificaciones, en las cuales se asumen
riesgos de que esas no se realicen de la forma adecuada, claro que estos Riesgos
no pueden definirse del mismo modo que los riesgos que se definen para el
control Interno.
El criterio del auditor en relacin con la extensin e intensidad de las pruebas,
tanto de cumplimiento como sustantivas, se encuentra asociado al riesgo de que
queden sin detectar errores o desviaciones de importancia, en la contabilidad de la
empresa y no los llegue a detectar el auditor en sus pruebas de muestreo. El
riesgo tiende a minimizarse cuando aumenta la efectividad de los procedimientos
de auditora aplicados.
El propsito de una auditora a los Estados Financieros no es descubrir fraudes,
sin embargo, siempre existe la posibilidad de obtener cifras errneas como
resultado de una accin de mala fe, ya que puede haber operaciones planeadas
para ocultar algn hecho delictivo. Entre una gran diversidad de situaciones, es
posible mencionar las siguientes:
Omisin deliberada de registros de transacciones.
Falsificacin de registros y documentos.
Proporcionar al auditor informacin falsa.
A continuacin se exponen algunas situaciones que pueden indicar la existencia
de errores o irregularidades.
Cuando el auditor detecte que los puestos clave como cajero, contador,
administrador o gerente, tienen un alto porcentaje de rotacin, existe la
posibilidad de que los procedimientos administrativos, incluidos los
contables, presenten fallas que pueden dar lugar a errores o
irregularidades.
BIBLIOGRAFA
http://auditoriaymantenimientodesistemas.blogspot.com/2010/10/auditoriay-mantenimiento-de-sistemas.html.
http://www.monografias.com/trabajos3/concepaudit/concepaudit.shtml.
http://www.eurosocialfiscal.org/uploads/documentos/20090915_110925_12Auditoria_de_Sistemas.ppt.