jueves, 29 de marzo de 2012

TIPOS DE AUDITORIA

ESPECIALIDAD EN LOS SISTEMAS DE INFORMACION



 
  AUDITORIA INFORMATICA

Es la revisión técnica, especializada y exhaustiva que se realiza a los sistemas computacionales, software e información utilizados en una empresa, sean individuales, compartidos o de redes, asi como sus instalaciones, telecomunicaciones, mobiliario, equipos periféricos y demás componentes.

Dicha revisión se realizara de tal manera a la gestión de informática, el aprovechamiento de sus recursos, las medidas de seguridad y los bienes de consumos necesarios para el funcionamiento del centro de cómputo.

El propósito fundamental es evaluar el uso adecuado de los sistemas para el correcto ingreso de los datos, el procesamiento adecuado de la información y la emisión oportuna  de sus resultados de la información, incluyendo la evaluación en el cumplimiento de las funciones, actividades y operaciones de funcionarios, empleados y usuarios involucrados con los servicios que proporcionan los sistemas computaciones a la empresa.





  AUDITORIA CON LA COMPUTADORA

Es la auditoria que se realiza con el apoyo de los equipos de cómputos y sus programas para evaluar cualquier tipo de actividades y operaciones no necesariamente

Computarizadas, pero si susceptibles de ser automatizadas; dicha auditoria se realizara también a las actividades del centro de sistemas y a sus componentes.

La principal característica de este  tipo de auditoria es que, sea en un caso o en otro caso, o en ambos, se aprovecha la computadora y sus programas para la evaluación de las actividades a realizar, de acuerdo a las necesidades concretas del auditor, utilizando en cada caso las herramientas especiales del sistema y las tradicionales de la propia auditoria.





AUDITORIA SIN LA COMPUTADORA

Es la auditoria cuyos métodos, técnicas y procedimientos están orientados únicamente a la evaluación tradicional del comportamiento y valides de la transacciones económicas, administrativas y operacionales de un área de computo, y en si de todos los aspectos que afectan a las actividades que se utilizan sistemas informáticos, pero dicha evaluación se realiza sin el uso de sistemas computacionales.

Es también la evaluación tanto la estructura de organización, funciones y actividades de funcionarios de personal de un centro de cómputo, así como a los perfiles de sus puestos,

Como el de los reportes, informes y bitácoras de los sistemas, de la existencia y aplicación de planes, programas y presupuestos en dichos centro así como del uso aprovechamientos informáticos para la realización de actividades, operaciones y tareas. Así mismo en la evaluación de los sistemas de actividad y prevención de contingencia de la adquisición y el uso hardware, software y personal informático, y en si en todo lo relacionado con el centro de cómputo, pero sin el uso directos computacionales.





AUDITORIA DE LA GESTION INFORMATICA

Es la auditoria cuya aplicación se enfoca exclusivamente a las revisiones de las funciones y actividades de tipo administrativo que se realizaran dentro de un centro de cómputo, tales como la planeación, organización, dirección  de dicho centro. Esta auditoria se realizara también con el fin de verificar el cumplimiento de las funciones  asignadas a los funcionarios, empleados y usuarios de las tareas de sistematización, así como para revisar y evaluar las evaluaciones de sistemas.

El uso y protección de los sistemas de procesamiento, los programas y la información.

Se aplica también para verificar  el correcto desarrollo, instalación, mantenimiento y explotación de los sistemas de computo así como sus equipos e instalaciones.

Todo esto se lleva a cabo con el propósito de dictaminar sobre la adecuada gestión administrativa de los sistemas computacionales de una empresa y del propio centro informático.





AUDITORIA ALREDEDOR DE LA COMPUTADORA

Es la revisión específica que se realiza a todo lo que está alrededor de un equipo, como son sus sistemas, actividades y funcionamiento.  Haciendo una evaluación de sus métodos y procedimientos de acceso y procesamiento de datos, la emisión y almacenamiento de datos, las actividades de planeación y presupuestario del equipo del centro de cómputo, los aspectos operacionales y financieros, la gestión administrativa de accesos al sistema, la atención a sus usuarios y el desarrollo de nuevos sistemas, las comunicaciones internas y externas, y en sí , a todos aquellos aspectos que contribuyan al buen funcionamiento de una área de sistematización.





 AUDITORIA DE SEGURIDAD DE SISTEMAS

Es la revisión exhaustiva, técnica y especializada que se realiza a todo lo relacionado con la seguridad de un sistema de cómputo, sus áreas y personal así como a las actividades, funciones y acciones preventivas y correctivas que contribuyan a salvaguardar la seguridad de sus equipos computacionales las bases de datos, redes, instalaciones y usuarios de los sistemas.

Es también la revisión de los planes de contingencia y medida de protección para la información, los usuarios y los propios sistemas computacionales, en si para todos aquellos aspectos que contribuyen a la protección y salvaguardar en el buen funcionamiento del área de sistematización, sistemas de redes o computadoras personales, incluyendo la prevención y erradicación de los virus informáticos.



AUDITORIA  A LOS SISTEMAS DE REDES

Es la revisión exhaustiva, específica y especializada que se realiza a los sistemas de redes de una empresa considerando en la evaluación los tipos de redes, arquitectura, topología, su protocolo de información las conexiones, accesos, privilegios, administración y demás aspectos que repercuten en su instalación, administración, funcionamiento y aprovechamiento.

Es también la revisión del software institucional de los recursos informáticos e información de las operaciones, actividades y funciones que permiten compartir las bases de datos, instalaciones,  software y hardware de un sistema de red.

ETICA DEL AUDITOR

ETICA DEL AUDITOR


La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.


  • Independencia, integridad y objetividad:

  • El auditor debe conservar la integridad y la objetividad y, cuando ejerce la contaduría pública, ser de aquellos a quienes sirve.
    Los conceptos de la ética profesional, sección ET 52-02 define la independencia como: "La capacidad para actuar con integridad y objetividad". Objetividad es la posibilidad de mantener una actitud en todas las cuestiones sometidas a la revisión del auditor.
    El auditor debe expresar su opinión imparcialmente, en atención a hechos reales comprobables, según su propio criterio y con perfecta autonomía y, para tal fin, estar desligado a todo vínculo con los dueños, administradores e intereses de la empresa u organización que audite. Su independencia mental y su imparcialidad de criterio y de opinión deben serlo, no solamente de hecho, sino en cuanto a las apariencias también, por lo cual el auditor debe evitar cualquier entredicho que lo pueda vincular a situaciones que permitan dudar de tales cualidades.
    • Normas Generales y Técnicas:
    El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente por mejorar su competencia y la calidad de sus servicios.
    Las normas generales y técnicas son de conducta que exigen la observancia de las normas relacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestión técnica contable o de auditoria, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles.
    • Responsabilidades con los clientes:
    público debe ser imparcial y franco con sus clientes y servirles lo mejor que pueda, con interés profesional por los intereses de ellos, consecuente con sus responsabilidades para con el público y todo esto lo pondrá de manifiesto a través de independencia, integridad y objetividad.
    Una responsabilidad fundamental del contador público es la que se refiere a la confidencialidad y al conflicto de intereses. La regla 301 (sección ET 301.01) dice que un miembro "...no revelará información confidencial alguna obtenida en el de un profesional, a menos que el cliente dé su consentimiento".
    • Necesidad de confidencialidad:
    Tanto el sentido común como el concepto de independencia requieren que sea el auditor, no el cliente, quien decida qué información necesita el auditor para practicar una auditoria efectiva. En esa decisión no debe influir la creencia, de parte del cliente, de que cierta información es confidencial. Una auditoria eficiente y efectiva requiere que el cliente ponga en el auditor la confianza necesaria para ser sumamente franco al proporcionar información.
    • Confidencialidad y privilegio:
    Con las excepciones indicadas, las comunicaciones entre el cliente y el auditor son confidenciales; es decir, el auditor no debe revelar la información contenida en la comunicación sin el permiso del cliente. Normalmente, sin embargo, esa información no es "privilegiada". La información es privilegiada si el cliente puede impedir que un tribunal o dependencia del gobierno tenga acceso a ella mediante un citatorio u orden de comparecencia.
    • Información Confidencial:
    Los auditores y su personal tienen iguales responsabilidades que la administración en cuanto al de la información confidencial: no utilizarla para provecho personal, ni revelarla a quienes pudieran hacerlo. Esas responsabilidades están claramente comprendidas en las estipulaciones generales del código de ética profesional.
    • Conflicto de intereses:
    El temor de algunos clientes de que sus secretos les sean comunicados a los competidores es tan grande que se niegan a contratar a auditores entre cuyos clientes figure un competidor. Otros quedan satisfechos con la seguridad de que el personal encargado de su trabajo no tenga contacto con el personal del competidor. El precio de obtener tan alto grado de confidencialidad es la pérdida de los beneficios de una experiencia en el ramo que pueden aportar los auditores familiarizados con más de una empresa dentro del mismo giro. La experiencia indica que el riesgo de que se filtre información que tenga valor competitivo es sumamente bajo.
    • Responsabilidades con los colegas:
    Aunque no hay actualmente reglas de conducta específicas que gobiernan la responsabilidad de un contador público con sus colegas, los conceptos de ética profesional establecen el principio fundamental de cooperación y buenas relaciones entre los miembros de la profesión. La sección ET 55.01 expresa que un contador debe "tratar con sus colegas en forma de que no disminuya su reputación y bienestar". Además, al ofrecer sus servicios, no tratará de desplazar a otro contador en forma que lo desacredite. De manera que, si bien la competencia entre auditores es fuerte, sus acciones deben estar gobernadas por la cortesía profesional debida a los colegas.
    Responsabilidad legal
    Son muchas las responsabilidades generales por la profesión derivadas de estipulaciones legales. Amanera de síntesis se trata de dar una idea de este tema a continuación:
    • Responsabilidad ante los clientes:
    El auditor tiene una relación contractual "de carácter derivado" con su cliente; en esta circunstancia es claro, de acuerdo con el derecho común, que el profesional es responsable ante su cliente por negligencia en grado simple y, en consecuencia, también lo será por negligencia en grado grave o por fraude. Por muchos años los auditores han tenido buen cuidado de hacer saber claramente a sus clientes que una auditoria normal de estados financieros no lleva la intención de descubrir desfalcos e irregularidades similares y así, el no hacerlo no puede ser motivo para demandarlo según la "Responsabilidad por fraudes y actos ilegales".
    • Responsabilidad ante terceras personas:
    El problema de la responsabilidad ante terceras personas, conceptualmente, es equilibrar el derecho que razonablemente tiene el auditor de protegerse contra reclamaciones de personas desconocidas (y algunas veces innumerables), de quienes el auditor no tiene razón para sospechar que contarán con los resultados de su trabajo por un lado, y por el otro, lo que se considera como una importante política del Estado de proteger a todas esas terceras personas que confían en los estados financieros dictaminados contra los efectos adversos de la práctica profesional.
    Papel del T.S.U en Informática Dentro de la Auditoria
    El técnico superior en informática debe ser técnicamente idóneo, y tener las habilidades y los conocimientos necesarios para realizar el trabajo como auditor. Deberá planificar el trabajo de auditoria para satisfacer los objetivos y para cumplir con las normas aplicables de ética profesional. Debe recibir la supervisión apropiada para proporcionar la garantía de que se cumpla con los objetivos de la auditoria y que se satisfagan las normas aplicables de auditoria profesional. También deberá obtener evidencia suficiente, confiable, relevante y útil para lograr de manera eficaz los objetivos de la auditoria.
    Recomendaciones
    - El auditor debe realizar procedimientos diseñados a obtener suficiente y apropiada evidencia de auditoria, en que puedan todos los elementos hasta la fecha del informe del auditor que puedan requerir de ajustes o exposiciones en los estados financieros, hayan sido identificados. Ciertos eventos y transacciones que ocurren después de cada fin de año, deben ser examinados como parte del trabajo normal de verificación de auditoria.
    - Además debe de llevar acabo una revisión completamente documentada, de eventos subsecuentes la cual tiene como objetivo de obtener una seguridad razonable, de que todos los eventos importantes han sido identificados y expuestos o registrados en los estados financieros.
    - La revisión debe ser actualizada a una fecha lo mas cercanamente posible a la fecha del informe de auditoria, hablando con la gerencia y realizando pruebas futuras de ser necesario.
    - Todos los procedimientos de auditoria emprendidos y las conclusiones alcanzadas deben estar completamente documentadas las hojas de trabajo deben incluir notas, detalladas de reuniones, incluyendo quien estaba presente, los asuntos discutidos y el resto de las discusiones

    PROCESO DE AUDITORIA

    SISTEMA DE INFORMACIÓN

    CONCEPTO


    Un sistema de información (SI) es un conjunto de elementos orientados al tratamiento y administración de datos e información, organizados y listos para su uso posterior, generados para cubrir una necesidad u objetivo. Dichos elementos formarán parte de alguna de las siguientes categorías:
    • personas
    • datos
    • actividades o técnicas de trabajo
    • Recursos materiales en general (generalmente recursos informáticos y de comunicación, aunque no necesariamente).
    Todos estos elementos interactúan para procesar los datos (incluidos los procesos manuales y automáticos) y dan lugar a información más elaborada, que se distribuye de la manera más adecuada posible en una determinada organización, en función de sus objetivos.
    Habitualmente el término se usa de manera errónea como sinónimo de sistema de información informático, en parte porque en la mayor parte de los casos los recursos materiales de un sistema de información están constituidos casi en su totalidad por sistemas informáticos. Estrictamente hablando, un sistema de información no tiene por qué disponer de dichos recursos (aunque en la práctica esto no suela ocurrir). Se podría decir entonces que los sistemas de información informáticos son una subclase o un subconjunto de los sistemas de información en general.

    ETAPAS DEL SISTEMA DE INFORMACION

    • Etapa 1: Organización del equipo de estudio de sistemas. No puede exagerarse la importancia que tiene el equipo de estudio. Debe ser grande e incluir a representantes de los principales campos funcionales de la organización.
    • Etapa 2: Establecimiento de los objetivos del equipo de estudio de la organización. La participación en el establecimiento de objetivos de quienes deben ayudar a alcanzarlos es esencial. Una vez se hayan tomado debidamente en consideración los objetivos a largo plazo de la organización, pueden desarrollarse las metas a corto plazo que permitan alcanzar esos objetivos, siendo interpretadas por el equipo de estudio para convertirlas en requisitos del sistema de información para la administración.
    • Etapa 3: Investigación de las necesidades de información de la organización. Se requiere de un estudio que de respuesta a las necesidades actuales y, a corto y largo plazo. Dicha investigación deberá cubrir los siguientes campos:
    - Revisión del alcance general de las actividades de registro, procesamiento, transporte, y almacenamiento de información de la organización. - Compilación de las necesidades de la administración en lo que se refiere a la información para la resolución de problemas y la toma de decisiones. - Determinar del cuadro de tiempo de la obtención de información, su procesamiento y su entrega. - Identificación de todos y cada uno de los canales de retroalimentación dentro de los subsistemas y entre los subsistemas de la organización. - Inventario del personal y del equipo de procesamiento de información, dentro de la organización. - Inventario de todos los informes y las formas que se utilizan en la actualidad, se piensa emplear o pueden requerirse eventualmente. - Compilación de datos sobre la eficiencia y el costo del sistema actual y predicción de los costos probables de los sistemas existentes y los posibles. - Preparación de especificaciones generales sobre las necesidades de información de la organización, de acuerdo con la oportunidad y los elementos identificables de datos, subsistema por subsistema. - Identificación de entradas y salidas de subsistemas definibles, dentro de la organización y de todos los subsistemas organizativos que se enfrenten al ambiente exterior. - Preparación de medidas provisionales de realización para elementos de subsistemas y los subsistemas mismos.
    • Etapa 4: Establecimiento del programa y los objetivos del estudio. Dichos estudios serán modulares en lo referente a sus conceptos. Esta filosofía modular evitará las grandes complicaciones de todos los planes grandiosos –el tratar de hacer demasiado en un espacio de tiempo excesivamente breve.
    • Etapa 5: Análisis de los procedimientos existentes de información. Mediante gráfica de flujos, diagramas y simplificaciones de trabajo, deberá evaluarse si los elementos y los subsistemas contribuyen o no eficientemente a los objetivos de la organización.
    • Etapa 6: Desarrollo de las especificaciones mejoradas de funcionamiento para el sistema. Debe desarrollarse el nuevo sistema de información para la administración satisfaciendo los requisitos y superando las limitaciones que se hayan especificado previamente.
    • Etapa 7: Diseño del sistema mejorado de información. Conforman esta etapa las siguientes actividades: - Utilización de gráficas de flujo de sistemas, diagramas de flujo del proceso y gráficas de distribución, para describir las etapas generales de procesamiento de la información. - Descripción de la entrada, la salida, los requisitos de archivo, las etapas de procesamiento, los requisitos de comprobación y la documentación para todos los programas de computadoras y los procedimientos de hombres y máquinas que se requieran. - Bosquejo de los procedimientos necesarios para asegurar las posibilidades de mantenimiento, la compatibilidad y las posibilidades de ampliación de los métodos y los procedimientos que constituyen el sistema de información para la administración.
    • Etapa 8: Evaluación y selección del equipo de procesamiento de datos con el nuevo sistema de información para la administración.
    • Etapa 9: Lista detallada de los procedimientos de funcionamiento del sistema de información.
    • Etapa 10: Aplicación de la conversión al nuevo sistema de información para la administración.



    miércoles, 28 de marzo de 2012

    AUDITORIA DE SISTEMAS INTRODUCCION

    AUDITORIA DE SISTEMAS INTRODUCCION



    A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial , los Sistemas de Información de la empresa.
    La Informática hoy, está subsumida en la gestión integral de la empresa, y por eso las normas y estándares propiamente informáticos deben estar, por lo tanto, sometidos a los generales de la misma. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma. Por ende, debido a su importancia en el funcionamiento de una empresa, existe la Auditoría Informática.
    La natura leza especializada de la auditoría de los sistemas de información y las habilidades necesarias para llevar a cabo este tipo de auditorías, requieren el desarrollo y la promulgación de  Normas Genera les para la  Auditoría de los Sistemas de Información .
    La auditoría de los sistemas de información se define como cualquier auditoría
    que abarca la revisión y evaluación de todos los aspectos (o de cua lquier porción de ellos) de los sistemas automáticos de procesamiento de la información , incluidos los  procedimientos no automáticos relacionados con el los y las interfaces correspondientes.
    El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase "Tiene Auditoría" como sinónimo de que, en dicha entidad , antes de realizarse la auditoría, ya se habían detectado fallas.
    El concepto de aud itoría es mucho más que esto. La pa labra auditoría proviene del latín auditorius, y de esta proviene la pa labra aud itor, que se refiere a todo aquel que tiene la virtud de oír.
    Por otra parte, el d iccionario Español Sopena lo define como: Revisor de Cuentas colegiado. En un principio esta defin ición carece de la explicación del objetivo fundamental que persigue todo auditor: evaluar la eficiencia y eficacia.
    El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información . Claro está, que para la realización de una auditoría informática eficaz, se debe entender a la empresa en su más amplio sentido, ya que una Universidad , un Ministerio o un Hospital son tan empresas como una Sociedad Anónima o empresa Pública. Todos utilizan la informática para gestionar sus "negocios" de forma rápida y eficiente con el fin de obtener beneficios económicos y reducción de costos.
    Por eso, al igual que los demás órganos de la empresa (Balances y Cuentas de Resultados, Tarifas, Sueldos, etc.), los Sistemas Informáticos están sometidos al control correspondiente, o al menos debería estarlo. La importancia de llevar un control de esta herramienta se puede deducir de varios aspectos. He aquí algunos:
    • Las computadoras y los Centros de Proceso de Datos se convirtieron en blancos apetecibles no solo para el espiona je, sino para la del incuencia y el terrorismo. En este caso interviene la Aud itoría Informática de Seguridad .
    • Las  computadoras  creadas  para  procesar  y  difundir  resultados  o información elaborada pueden producir resu ltados o información errónea si dichos datos son , a su vez, erróneos. Este concepto obvio es a veces olvidado por las mismas empresas que term inan perd iendo de vista la naturaleza y calidad de los datos de entrada a sus Sistemas Informáticos, con la posibilidad de que se provoque un efecto cascada y afecte a Aplicaciones  independientes.  En  este  caso  interviene  la  Auditoría Informática de Datos.
    • Un Sistema Informático mal diseñado puede convertirse en una herramienta harto peligrosa para la empresa: como las maquinas obedecen ciegamente a las órdenes recibidas y la model ización de la empresa está determinada por las computadoras que materializan los Sistemas de Información , la gestión y la organización de la empresa no puede depender de un Software y Hardware mal  diseñados. 

    CLASES  DE AUDITORIAS






     Más información del tema: clic aquí