M. Sc. Miguel Cotaña Mier Lp, Septiembre 2015

GABINETE DE AUDITORIA DE

SISTEMAS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA DE CONTADURÍA PÚBLICA

1

MODULO IV

4.1. Conceptos básicos 2

3

Es la cienciaque estudia eltratamientoautomático yracional de lainformación.

INFORMATICA

4

La tecnología informática, traducida enhardware, software, sistemas deinformación, redes, bases de datos,telecomunicaciones, es unaherramienta estratégica que brindarentabilidad y ventajas competitivas alos negocios.

5

La informática, es el campo que seencarga del estudio y aplicaciónpráctica de la tecnología, modelos deproceso, métodos, técnicas yherramientas relacionadas con losordenadores y el manejo de lainformación por medios electrónicos.

Es garantía de confiabilidad,oportunidad, integridad y veracidad.

6

Es la actividad consistente en laemisión de una opinión profesionalsobre si el objeto que es sometido aanálisis presenta adecuadamente larealidad que pretende reflejar y/ocumple con las condiciones que lehan sido prescritas.

AUDITORIA

7

Controles mínimos: Es empírico concontroles simples y sin procedimientosescritos ni formales;Procedimientos empíricos: Existendocumentos internos y métodos empíricospara detectar fallas o errores;Procedimientos técnicos: Se basan enestándares generalmente aceptados;Procedimientos de fiabilidad:Probabilidad de que un sistema funcionarácomo se espera en un periodo, dadas ciertascondiciones.

AUDITORIA por su alcance VERTICAL

8

Seguridad física: Cuida y protege bienesde la organización;Seguridad de datos: Protege datos einformación de la organización, garantizasu integridad y exactitud;Seguridad de procedimientos:garantiza que el personal se adhieretotalmente a las normas y procedimientosestablecidos.

AUDITORIA por su alcance HORIZONTAL

9

El auditor de sistemas informáticosdebe considerar 3 pasos, antes dellevar adelante el trabajo derevisión:

1. Planificar y Ejecutar: unenfoque de auditoria que respondade manera adecuada a los riesgospresentes en los SIautomatizados;

Pasos de la Auditoria

10

La planificación de la auditoriacontempla 3 etapas:

Planificación

11

ESTRATEGIA

Identificar el negocioprincipal;

Riesgos inherentes;Conocer ambiente SI dela entidad;

Conocer estructura;Conocer el ambiente decontrol;

Leer material deantecedentes (informesde análisis y anuales).

Trabajar en módulos;Planificar por áreasfuncionales y asignarresponsabilidades agrupos de trabajo;

Entrevistar a losgerentes claves paraentender los problemasdel negocio.

12

PLANIFICACION

Realizar una planificación a corto ylargo plazo de auditoria a un áreafuncional;

Considerar factores de riesgoinherente y de control y agregarvalor;

Obtener información adicional deriesgos en Hw, Sw y RecursosHumanos;

13

Entender la misión, visión, objetivos,procesos de negocio;

Identificar políticas, estándares,procedimientos y estructura de laorganización;

Llevar a cabo una revisión del controlinterno;

Establecer el alcance y los objetivosde la auditoria;

Asignar recursos de personal a laauditoria y considerar loscompromisos logísticos.

14

PROGAMAS DE

TRABAJO

En función del análisis e informaciónrequerida se definen el conjunto de:Actividades;Acciones yTareas.

que serán aplicados y se elaboran losprogramas de trabajo.

15

2. Conocimiento de la TI: tenerconocimiento necesario ysuficiente en TIC´s, NTIC´s yconcentrarse en aquellos aspectosque puedan ser relevantes desdela perspectiva de la auditoria y delos procesos de negocio de laorganización;

3. Identificar expectativas: delárea funcional auditada respecto alservicio que será prestado.

16

La informática es utilizada en todoproceso contable;Es un nuevo condicionante para elauditor: ha de trabajar ante y conelementos de TI;Los libros o soporte de los documentosfinancieros se encuentranmaterializados en los archivoselectrónicos;

17

El auditor financiero (AF) ve alteradoel objeto de su actividad. Ahora estaen soporte magnético;La auditoria financiera sigue siendoauditoria y financiera, con ladiferencia de que en su objeto, elmismo de siempre, es decir, en lainformación financiera, se haintroducido la TI;

18

El AF, puede acceder directamente a los archivoselectrónicos y proceder a su análisis de formatambien electrónica;El AF, ha de aplicar procedimientos que utilizantécnicas asistidas por computador;El AF, utilizando medios electrónicos incrementaen velocidad, eficiencia y seguridad;El AF, en la ejecución de su trabajo destacan lainspección, observación, averiguación,confirmación, calculo y análisis.

19

Es el proceso de recoger, agrupar yevaluar evidencias para determinar si unsistema informatizado salvaguarda losactivos, mantiene la integridad de losdatos y utiliza los recursos en formaeficiente.

Mario G. Piattini

AUDITORIA INFORMATICA

20

Evalúa y comprueba los controles yprocedimientos informáticos, desarrollando yaplicando técnicas de auditoria, incluyendo eluso de software.En muchos casos ya no es posible verificarmanualmente, por lo que deberá emplearsoftware de auditoría y otras técnicas asistidaspor ordenador.Es responsable de revisar e informar a la altaDirección, sobre el diseño y funcionamiento delos controles implantados y sobre la fiabilidadde la información suministrada.

FUNCIONES DEL AUDITOR INFORMATICO

21

Participar en las revisiones durante ydespués del análisis, diseño,realización, implantación yexplotación;

Revisar y juzgar los controlesimplantados, para verificarcumplimiento de la alta gerencia;

Revisar y emitir opinión sobre el nivelde eficacia, utilidad, fiabilidad yseguridad de los equipos einformación.

22

Es el proceso de evaluar la eficiencia yeficacia del área de:

Procesamiento Automático de Datos;

Utilización correcta de recursos;

Desarrollo de sistemas;

Infraestructura;

Telecomunicaciones.

AUDITORIA DE SISTEMAS

23

El A.S.I., tiene la capacidad dedefinir el marco de trabajo, accionesy tareas y los procesos, métodos yherramientas que serán necesariaspara la realización de la auditoria demanera óptima y cumpliendo lasnormas de auditoria de sistemas yel Código de Ética Profesional.

24

En función a los relevamientosiniciales y considerando el objetivode la revisión, los riesgosidentificados y los controlesexistentes, el ASI, podrá definir eltipo y las pruebas a aplicar, asícomo las características de laevidencia necesaria que sustente eltrabajo realizado.

25

Buscar una mejor relación costo-beneficio delos sistemas computarizados diseñados eimplementados por el PAD;

Incrementar la satisfacción de los usuarios;

Asegurar una mayor integridad, confiabilidady confidencialidad de la informaciónmediante la recomendación de seguridadesy controles;

Seguridad de personal, datos, hardware,software e instalaciones;

OBJETIVOS DE LA A.S.I.

26

Minimizar existencias de riesgos en el uso detecnologías de información;

Orientar en decisiones de inversión y gastosinnecesarios;

Aplicación correcta de modelos de control;

Capacitación y educación sobre controles enlos sistemas de información.

27

Aumento considerable e injustificado delpresupuesto del PAD;

Falta total o parcial de seguridades físicas ylógicas que garanticen la integridad delpersonal, equipos e información;

Descubrimiento de fraudes efectuados conel ordenador;

Falta de una planificación informática;

JUSTIFICATIVOS PARA EFECTUAR A.S.I.

28

Organización que no funcionacorrectamente, falta de políticas, objetivos,normas, metodología, asignación de tareas yadecuada administración del recursohumano;

Descontento general de los usuarios porincumplimiento de plazos y mala calidad delos resultados;

Falta de documentación o documentaciónincompleta de sistemas para mantenimiento.

29

El trabajo de auditores se enmarcan: Responsabilidad; Autoridad; Independencia; Relacion organizacional; Etica Profesional; Competencia; Planificacion; Preparacion de informe; Actividades para el seguimiento.

30

La Asociación de Auditoria y Control deSistemas de Información (ISACA), guía laconducta de los ASI:

Soportar la implementación de, yfomentar el cumplimiento de, lasnormas, los procedimientos y loscontroles apropiados para los SI;

Ejecutar sus deberes con objetividad,debida diligencia y atención profesional,en conformidad con las normas ymejores prácticas;

CODIGO DE ETICA

31

Servir en el interés de los accionistas enuna forma legal y honesta, y al mismotiempo mantener altos estándares deconducta y de carácter, y no dedicarse aactos que puedan desacreditar laprofesión;

Mantener la privacidad y confidencialidadde la información obtenida en el cursode sus funciones a menos que laautoridad legal requiera su revelación;

32

Mantener competencias y acordaremprender únicamente actividades queellos puedan razonablemente realizar concompetencia profesional;

Informar a las partes apropiadas sobre losresultados del trabajo realizado,revelando todos los hechos significativosde los que ellos tengan conocimiento;

Soportar la educación profesional de losaccionistas para aumentar sucomprensión de la seguridad y el controlde SI.

MODULO IV

4.2 La Auditoria en Informática y su Entorno 33

34

La Auditoria en Informática es unproceso de evaluación y control en eluso de recursos tecnológicos para ellogro de las estrategias.Por lo tanto, debe contemplar elentendimiento del entorno del negociocomo parte de las actividadesprimarias.

35

Es el conjunto de característicasdominantes del mercado en cada unade las ramas o criterios relacionadoscon la tecnología informática, mismasque definen el rumbo de ésta en granparte de los negocios.

36

TECNOLOGIA INFORMATICA

proveedoresespecialidades

métodos

redesproyectos

personal

infraestructura

La informática como herramienta del AF, fortalece el

desarrollo personal en su actividad diaria.

37

El entorno de la Informática es una delas disciplinas con mayor ritmo decrecimiento:

Hardware;Software;Telecomunicaciones;Métodos, metodologías centradosen el usuario;

Herramientas CASE;Herramientas CAAT´s.

38

La finalidad principal del auditor esevaluar y dar seguimiento oportuno alconjunto de proyectos de auditoria eninformática que serán ejecutados en unplazo determinado con el fin de apoyardirecta o indirectamente las estrategiasde negocio, considerando factoresinternos y externos de la organización.

OBJETIVOS DE LA A.I.

MODULO IV

Organización 39

40

I) Formalizar la AI a través de:

a) Cursos de acción que justifiquen eldesarrollo de la función de AI;

b) Presentar a la alta gerencia eldocumento de justificación;

c) Aprobación del proceso por la altagerencia;

d) Difusión de la AI en las áreasfuncionales;

e) Desarrollo del proceso de AI.

ESTRATEGIAS PARA IMPLANTAR A.I.

41

II) Proporcionar un proceso de AI permanente:

a) Que la seguridad, políticas yprocedimientos de los recursos de TIsean eficientes y confiables;

b) Verificación del uso TI que requiere yjustifica cada área funcional;

c) Existencia de un proceso de V&V;

d) Elaboración y desarrollo formal de unproceso de planeación;

e) Uso formal de métodos, procesos yherramientas por parte del personal.

42

I) Lograr que la alta dirección, las áreasfuncionales y el personal tomen conciencia de lanecesidad de contar con una función de AI;

II)Formalizar procedimientos que contemplela divulgación de la función de AI;

III)Llevar a cabo reuniones de coordinación;

IV)Ejecutar de manera formal y oportuna;

V) Investigar, analizar, actualizar y formalizarla metodología de AI;

VI)Capacitar al personal de AI.

CURSOS DE ACCION

43

La alta gerencia de cualquierorganización tiene que estar conscientede que la función de auditoria se debeejercer con independencia personaljerárquica.

La función de AI debe ubicarse en unnivel organizacional que le asegure laindependencia y soporte requerido

ESTRUCTURA ORGANIZACIONAL

44

La Gerencia Nacional de Informática yTelecomunicaciones de Impuestos, es laencargada de dirigir, coordinar y supervisar lasactividades de análisis, diseño, desarrollo, controlde calidad, implantación y mantenimiento desistemas informáticos y procesar datos einformación generados por los distintos procesostributarios, garantizando la disponibilidad yseguridad de las bases de datos.

46

47

48