Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2013
1
La funcion de la Auditoria en Sistemas
LA FUNCION DE LA AUDITORIA DE SISTEMAS
¿Qué es Auditoría?
La Auditoría es un proceso sistemático de obtención y evaluación objetiva de evidencias
respecto a afirmaciones o aseveraciones acerca de hechos y eventos económicos, para
determinar el grado de correspondencia entre tales aseveraciones y los criterios
establecidos, y comunicar los resultados a los usuarios interesados. Definición de
American Accounting Association (AAA) para varios tipos de auditoría incluyendo la
auditoría interna, auditoría externa y auditoría de computación.
2
La funcion de la Auditoria en Sistemas
los sistemas de información en general desde sus entradas, procedimientos,
controles, archivos, seguridad y obtención de información.
La auditoría en informática es de vital importancia para el buen desempeño de los
sistemas de información, ya que proporciona los controles necesarios para que los
sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo
(informática, organización de centros de Información, hardware y software).
- Administrativos
- Técnicos y
- Operativos
Verificar que los sistemas de información automatizados satisfaga los siete criterios de la
información de negocios requeridos por COBIT.
- Efectividad - Eficiencia
- Confidencialidad - Integridad
3
La funcion de la Auditoria en Sistemas
- Disponibilidad - Cumplimiento con leyes y Regulaciones
- Confiabilidad
Verificar que los controles utilizados en los sistemas de información protejan a las
organizaciones contra los riesgos que podrían afectarlas a través de sus recursos de
cómputo.
- Datos
La Auditoría de Sistemas evalúa y verifica que existan controles apropiados para proteger
a las organizaciones contra eventos indeseados (RIESGOS) que podrían afectarlas a
través de sus recursos de cómputo
- LOS EXISTENTES.
4
La funcion de la Auditoria en Sistemas
Enfoque Proactivo: Suscita acciones para prevenir errores, desviaciones e
irregularidades
Tangibles:
- Dirección de la Empresa
- La Gerencia de Sistemas (Organización y Métodos)
- Las Áreas de negocio y de soporte administrativo que manejan
operaciones críticas de las empresas que se soportan en
Tecnología de Información
Genera actitud positiva hacia los controles en los responsables del manejo de las
operaciones de la empresa para que asuman la responsabilidad de:
La función de auditoría debe ser gestionada y conducida en una forma que asegure que
las diversas tareas realizadas y logradas por el equipo de auditoría cumplirán los objetivos
de la función de auditoría, mientras se preserva la independencia y competencia de la
auditoría. Además, gestionar la función de auditoría debería asegurar a la alta dirección
6
La funcion de la Auditoria en Sistemas
las contribuciones al valor agregado respecto a la eficiente gestión de TI y al logro de los
objetivos del negocio.
Una vez establecido, este estatuto debería modificarse sólo si dicho cambio puede
realizarse y está completamente justificado.
Si los servicios de auditoría de SI son provistos por una firma externa, el alcance y los
objetivos de estos servicios deben ser documentados en un contrato formal o declaración
de trabajo entre la organización contratante y el proveedor del servicio.
7
La funcion de la Auditoria en Sistemas
conocimientos cuando se planifiquen las auditorías y se asigne personal para tareas
específicas de auditoría.
PLANEACION DE LA AUDITORÍA DE SI
8
La funcion de la Auditoria en Sistemas
6. Establecer el alcance y los objetivos de la auditoria.
7. Desarrollar el enfoque o la estrategia de auditoría.
8. Asignar recursos humanos a la auditoria
9. Considerar la logística del trabajo de la auditoria.
9
La funcion de la Auditoria en Sistemas
1. Identificar los requerimientos gubernamentales u otros externos relevantes que se
refieren a:
o Datos electrónicos, derechos de autor, comercio electrónico, firmas
digitales, etc.
o Prácticas y controles de sistemas computarizados
o La manera en que se almacenan las computadoras, los programas y los
datos
o La organización o las actividades de los servicios de información.
2. Documentar las leyes y regulaciones pertinentes
3. Determinar si la dirección de la organización y la función de SI han tomado en
consideración los requerimientos relevantes.
4. Revisar los documentos internos de la función del SI que se ocupan del
cumplimiento de las leyes aplicables a la industria.
5. Determinar el cumplimiento con los procedimientos establecidos que se ocupan de
estos requerimientos.
El auditor de SI debería entender los diversos tipos de auditorías que pueden efectuarse
interna o externamente, y los procedimientos de auditoría asociados con cada uno de
ellos:
10
La funcion de la Auditoria en Sistemas
serán alcanzados y que los eventos no deseados serán evitados o detectados y
corregidos de forma oportuna.
Se debe señalar que una revisión del tipo 2 SAS 70 es una variación más exhaustiva de
una revisión regular SAS 70, que a menudo se requiere en relación con revisiones
regulatorias.
Muchos otros países tienen su propio equivalente de este estándar. Una auditoría tipo
SAS 70 es importante porque significa que una organización de servicios ha pasado por
una auditoría profunda de sus actividades de control, que incluyen generalmente controles
de tecnología de información y procesos relacionados. Las revisiones de tipo SAS 70
proveen directrices que permiten a un auditor independiente (auditor de servicios) emitir
una opinión sobre la descripción de los controles de una organización de servicios a
través del informe de un auditor de servicios, en el que luego el auditor de SI de la entidad
que utiliza los servicios de la organización de servicios puede basarse.
11
La funcion de la Auditoria en Sistemas
cadena de custodia de evidencia electrónica para cumplir con los requerimientos
legales.
12
La funcion de la Auditoria en Sistemas
• Método y modalidades de comunicación de los resultados del trabajo de auditoría
Es importante entender que a menudo, a pesar que una parte o la totalidad del trabajo de
auditoría pudiera delegarse a un proveedor externo de servicios, la responsabilidad
profesional relacionada no es necesariamente delegada. Por consiguiente, es
responsabilidad del auditor de SI o de la entidad que emplea los servicios de proveedores
externos de servicios:
• Establecer un proceso de monitoreo para revisión regular del trabajo del proveedor
externo de servicios con respecto a planificación, supervisión, revisión y documentación.
Por ejemplo, la revisión de los papeles de trabajo de otros auditores o expertos de SI para
confirmar que el trabajo se planificó, supervisó, documentó y revisó apropiadamente y
para considerar la conveniencia y suficiencia de la evidencia de auditoría proporcionada; o
la revisión del informe de otros auditores o expertos de SI para confirmar que se hayan
cumplido el alcance especificado en el estatuto de auditoría, los términos de referencia o
la carta de compromiso, que se hayan identificado los supuestos significativos utilizados
por otros auditores o expertos de SI y que la gestión haya aceptado las conclusiones y los
hallazgos reportados.
Nota: El Alumno debe estar familiarizado con el Estándar de Auditoría de ISACA sobre
"Realización del Trabajo de Auditoría" (S6) y la Directriz de Auditoría de SI "Usando el
Trabajo de Otros Auditores" (G1) que se concentra en los Derechos de Acceso al Trabajo
de Otros Auditores o Expertos.
13
La funcion de la Auditoria en Sistemas
AUDITORIA A LOS SISTEMAS DE INFORMACION COMPUTARIZADOS Y A LOS
RECURSOS INFORMATICOS DE LA ORGANIZACION
Por el contrario, creemos que los trabajos de auditoría informática (a los recursos
informáticos de una empresa) son competencia de los profesionales en sistemas. En
estos casos, los contadores-auditores deben abstenerse de efectuar recomendaciones en
un campo que no es su especialidad e incumbencia. Recordemos que el objetivo de una
auditoría informática consiste en medir la eficiencia con que se utilizan los recursos
informáticos disponibles en una entidad: equipos, redes de comunicación de datos,
aplicaciones y desempeño del personal de sistemas.
Sin embargo, en la práctica no es fácil determinar qué actividades pertenecen a una clase
de trabajos de auditoría y cuáles a otra. Las zonas grises aparecen cuando se trata de
precisar el alcance de las tareas a realizar. Estas zonas grises pueden explicarse cuando
analizamos los métodos que se siguen para efectuar una auditoría al sistema de
información contable; en ellas, se privilegia la etapa de revisión del sistema de control
interno, base para las afirmaciones posteriores respecto a la exactitud, integridad y
correspondencia de los registros recuperados del sistema informático. Para efectuar la
etapa de revisión del sistema de control interno es necesario contar con conocimientos en
tecnologías de información ya que, entre otras cosas, se valida la efectividad de controles
propios del ambiente computacional: control de acceso al sistema, métodos de respaldos,
procedimientos para modificar los sistemas, funcionamiento de los controles
programados, etc. Para evaluar estos aspectos es necesario contar con la ayuda de
expertos informáticos.
14
La funcion de la Auditoria en Sistemas
En los últimos años ha comenzado a ofrecerse en nuestro país capacitación específica en
Auditoría de Sistemas de Información:
ISACA comenzó en 1967, cuando un pequeño grupo de personas con trabajos similares -
controles de auditoría en los sistemas computarizados que se estaban haciendo cada vez
más críticos para las operaciones de sus organizaciones
respectivas- se sentaron a discutir la necesidad de tener una fuente centralizada de
información y guía en dicho campo. En 1969, el grupo se formalizó, incorporándose bajo
el nombre de EDP Auditors Association (Asociación de Auditores de
Procesamiento Electrónico de Datos). En 1976 la asociación formó una fundación de
educación para llevar a cabo proyectos de investigación de gran escala para expandir los
conocimientos y el valor del campo de gobernación y control de TI.
....
En las tres décadas transcurridas desde su creación, ISACA se ha convertido en una
organización global que establece las pautas para los profesionales de gobernación,
control, seguridad y auditoría de información. Sus normas de auditoría
y control de SI son respetadas por profesionales de todo el mundo. Sus investigaciones
resaltan temas profesionales que desafían a sus constituyentes. Su certificación Certified
Information Systems Auditor (Auditor Certificado de Sistemas
de Información, o CISA) es reconocida en forma global y ha sido obtenida por más de
44.000 profesionales. Su nueva certificación Certified Information Security Manager
(Gerente Certificado de Seguridad de Información, o CISM) se concentra exclusivamente
en el sector de gerencia de seguridad de la información. Publica un periódico técnico líder
en el campo de control de la información, el Information Systems Control Journal
(Periódico de Control de Sistemas de Información).
15
La funcion de la Auditoria en Sistemas