Tabla herramientas de evaluación de evidencias.pdf
Transcript of Tabla herramientas de evaluación de evidencias.pdf
Curso: Introducción A La Auditoria Informática: Conceptualización
Tutor: Giovanny Zambrano Londoño
Alumno: Isaac Valuis Olortegui Ayala
Unidad Didáctica 3: Normas y Métodos de Auditoria
Nombre De La Actividad: Tabla Herramientas De Evaluación De Evidencias
ÍNDICE
INTRODUCCIÓN
INFORMACIÓN ADICIONAL
HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA
INFORMÁTICA
CONCLUSIONES
BIBLIOGRAFÍAS Y WEBGRAFÍAS
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
INTRODUCCIÓN
A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más
poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización
empresarial, los Sistemas de Información de la empresa.
La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y
estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la
misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado
el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona
propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende,
debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado
la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad, antes de realizarse la auditoría,
ya se habían detectado fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de
evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere
a todo aquel que tiene la virtud de oír.
Por otra parte, el diccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un
principio esta definición carece de la explicación del objetivo fundamental que persigue todo auditor:
evaluar la eficiencia y eficacia.
Si consultamos el Boletín de Normas de auditoría del Instituto mexicano de contadores nos dice: " La
auditoría no es una actividad meramente mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevado a cabo son de carácter indudable."
De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que
no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar
la eficacia y eficiencia de una sección o de un organismo.
Los principales objetivos que constituyen a la auditoría Informática son el control de la función
informática, el análisis de la eficiencia de los Sistemas Informáticos que comporta, la verificación del
cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión
de los recursos materiales y humanos informáticos.
El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa
pone en juego para disponer de un eficiente y eficaz Sistema de Información. Claro está, que para la
realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio
sentido, ya que una Universidad, un Ministerio o un Hospital son tan empresas como una Sociedad
Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma
rápida y eficiente con el fin de obtener beneficios económicos y de costes.
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
Herramienta ó Técnica Seleccionada para la Evaluación de Evidencia aplicable en la Auditoría
Informática:
CUESTIONARIOS
Las auditorías informáticas se materializan recabando información y documentación de todo tipo.
Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr
toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en
hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar
solicitando la cumplimentación de cuestionarios pre impresos que se envían a las personas concretas
que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables
oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su
fondo y su forma.
Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a
su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de
información es una de las bases fundamentales de la auditoría.
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
INFORMACIÓN ADICIONAL
Las técnicas son los procedimientos que se usan en el desarrollo de un proyecto de auditoría
informática. Estas son algunas de las técnicas más comunes y aceptadas:
Análisis y diseño estructurado
Gráficas de Pert
Gráficas de Gantt
Documentación
Programación estructurada
Modulación de datos y procesos
Entrevistas
Las herramientas son el conjunto de elementos que permiten llevar a cabo las acciones definidas en
las técnicas. Las herramientas utilizadas son: cuestionarios, entrevistas, checklist, trazas y software
de interrogación.
Los cuestionarios es la herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización, que piensa ser auditado.
El auditor debe realizar una tarea de campo para obtener la información necesaria, basado en
evidencias o hechos demostrables. Inicia su trabajo solicitando que se cumplimenten los cuestionarios
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
enviados a las personas correspondientes, marcadas por el auditor. Los cuestionarios no tienen que
ser los mismos en casode organizaciones distintas, ya que deben ser específicos para cada situación.
La fase de cuestionarios puede omitirse si el auditor ha podido recabar la información por otro
medio. La segunda herramienta a utilizar es la entrevista, en la que llega a obtener información más
específica que la obtenida mediante cuestionarios, utilizando el método del interrogatorio, con
preguntas variadas y sencillas, pero que han sido convenientemente elaboradas.
La tercera herramienta que se utiliza es el checklist, conjunto de preguntas respondidas en la mayoría
de las veces oralmente, destinados principalmente a personal técnico. Por estos motivos deben ser
realizadas en un orden determinado, muy sistematizadas, coherentes y clasificadas por materias,
permitiendo que el auditado responda claramente.
Existen dos tipos de filosofía en la generación de checklists:
De rango: las preguntas han de ser puntuadas en un rango establecido (por ejemplo de 1 a 5, siendo 1
la respuesta más negativa y 5 la más positiva) Binaria: las respuestas sólo tienen dos valores (de ahí
su nombre) cuya respuesta puede ser Si o No.
La primera filosofía permite una mayor precisión en la evaluación, aunque depende, claro está, del
equipo auditor. Los binarios, con una elaboración más compleja, deben ser más precisos. No existen
checklists estándares, ya que cada organización y su auditoría tienen sus peculiaridades.
La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software, que permiten conocer
todos los pasos seguidos por la información, sin interferir el sistema. Además del uso de las trazas, el
auditor utilizará, los ficheros que el próximo sistema genera y que recoge todas las actividades que
se realizan y la modificación de los datos, que se conoce con el nombre de log. El log almacena toda
aquella información que ha ido cambiando y como ha ido cambiando, de forma cronológica.
En los últimos años se ha utilizado el software de interrogación para auditar ficheros y bases de datos
de la organización. Las herramientas de productividad permiten optimizar recursos en el desarrollo
del proyecto. Las más comunes son:
Procesadores de datos: incluye la documentación, entrevistas, los cuestionarios,…
Diagramas: flujo, de organización,…
Gráficas: de estadísticas, de tiempo,…
Productos CASE para el modelo de datos, procesos, …
Impresoras y ordenadores
Protocolos de seguridad informática…
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
HERRAMIENTAS Y TÉCNICAS PARA LA AUDITORÍA
INFORMÁTICA
Cuestionarios Entrevistas
Checklist Trazas Y/O
Huellas
Log Software De
Interrogación
Son para
personas
concretas.
No se sigue un
plan, ni métodos
estrictos de cuestionamiento.
Preguntas muy
estudiadas y
flexibles.
Se utilizan
para comprobar la
ejecución de
las
validaciones de datos
previstas.
Historial que
informa que fue
cambiando y cómo fue cambiando
(Información).
Se orientan
principalmente hacia
lenguajes que
permiten la
interrogación de ficheros y bases de
datos
de la empresa auditada.
Son diferentes y
específicos para
cada situación.
Se sigue un método
preestablecido y
busca algo
concreto.
Deben ser contestadas
oralmente.
No deben modificar
en absoluto el
Sistema.
Permite analizar cronológicamente
que es lo que
sucedió con la
información que está en el
Sistema o que existe
dentro de la base de datos.
El auditor informático copia
en su propia PC la
información más
relevante para su Trabajo.
Cuidadosos en
su fondo y
forma.
Es más personal y se obtiene más
información.
Algunas preguntas se
deben repetir.
Pueden omitirse
si ya se tiene la
información
requerida por
estos.
Tiene el concepto
de interrogatorio.
Las hay
de 2 tipos: * De rango.
Preguntas con
un valor preestablecido
para su
valoración.*
Binario. Preguntas de si
o no.
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala
CONCLUSIONES
La Auditoria es un Proceso de evaluación de eficiencia y eficacia, el cual abarca una gran paleta de
Herramientas pasos y normas para su ejecución y presentación. Ya que se rige a reglas, normas y
parámetros para que su error o fallas sean mínimas y fácilmente detectables a los procesos de
evaluación de la evidencias son indispensable para determinar y probar fallas de eficiencia y eficacia
con mayor detalle y mayor comprensión.
BIBLIOGRAFIA WEBGRAFÍAS
http://blog.iedge.eu/tecnologia-sistemas-informacion/seguridad-informatica-2/
http://www.deguate.com/infocentros/gerencia/mercadeo/mk17.htm
http://www.gestiopolis.com/recursos/documentos/fulldocs/fin/nagas.htm
http://www.gestiopolis.com/recursos/experto/catsexp/pagans/fin/46/clasnormaaudit.htm
http://www.slideshare.net/joseaunefa/herramientas-y-tcnicas-para-la-auditoria- informtica
http://es.wikipedia.org/wiki/Auditor%C3%ADa_inform%C3%A1tica
http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml
Sistemas de Información Introducción a la Auditoria Informática: Conceptualización Isaac Valuis Olortegui Ayala