1.

AUDITORIA EN AMBIENTE INFORMTICO

Consiste en la revisin y evaluacin de los controles, sistemas, procedimientos de informtica, de los equipos de cmputo, su utilizacin, eficiencia y seguridad, de la organizacin que participa en el procesamiento de la informacin, a fin de que por medio de conocimientos profesionales se logre una utilizacin ms eficiente y segura de la informacin que servir para la adecuada toma de decisiones. Mediante una revisin adecuada del sistema de proc esamiento electrnico de datos y el uso de formatos bien diseados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para el control del cliente.

PROCESAMIENTO ELECTRNICO DE DATOS

Al evaluar la informacin automtica, el auditor debe revisar varios documentos, como diagramas de flujo y documentos de programacin, para lograr un mejor entendimiento del sistema y los controles que se disearon en el sistema de procesamiento electrnico de datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatizacin del proceso, y algunos que sustituyen aquellos que en los mtodos manuales se basaron en juicios humanos y la divisin de labores. Muchos de los controles en ambientes informticos, pueden combinarse en los programas de computadoras con el proceso manual.

CARACTERSTICAS QUE DISTINGUEN AL PROCESAMIENTO CON COMPUTADORA DEL PROCESAMIENTO MANUAL

y

y y y y

El sistema Procesamiento Electrnico de Datos (PED) puede producir una pista o huella de transacciones para fines de auditoria que tan solo sea aplicable por un breve periodo,(ventas por telfono). Con frecuencia existe menos evidencia documental de los procedimientos del control del sistema computarizado que en sistemas manuales. La informacin dentro de los sistemas manuales es visible. la menor participacin humana en el PED puede ocultar errores que si pueden observarse con los sistemas manuales. La informacin de los sistemas manuales puede ser mas vulnerable a desastres fsicos, manipulacin no autorizada y mal funcionamiento mecnico.

OBJETIVOS DE LA AUDITORA INFORMTICA:

La Auditora del Sistema de Informacin en la empresa, a travs de la evaluacin y control que realiza, tiene como objetivo fundamental mejorar la rentabilidad , la seguridad y la eficacia del sistema mecanizado de informacin en que se sustenta. Los aspectos relativos al control de la Seguridad de la Informacin tienen tres lneas bsicas en la auditoria del sistema de informacin:
y

Aspectos generales relativos a la seguridad: En este grupo de aspectos habra que considerar, entre otros: la seguridad operativa de los programas, seguridad en suministros y funciones auxiliares, seguridad contra radiaciones, atmsferas agresivas, agresiones y posibles sabotajes, seguridad fsicos de las instalaciones, del personal informtico, etc. Aspectos relativos a la confidencialidad y seguridad de la informacin: Estos aspectos se refieren no solo a la proteccin del material, el logicial, los soportes de la

informacin, sino tambin al control de acceso a la propia informacin (a toda o a parte de ella, con la posibilidad de introducir modificaciones en la misma).
y

Aspectos jurdicos y econmicos relativos a la seguridad de la informacin: En este grupo de aspectos se trata de analizar la adecuada aplicacin del sistema de informacin en la empresa en cuanto al derecho a la intimidad y el derecho a la informacin, y controlar cada vez ms frecuentes delitos informticos que se cometen en la empresa.

Definicin de auditora: Se define como un proceso sistemtico que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carcter econmico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas. La auditora se clasifica en Auditora Financiera y Operativa. La auditora financiera efecta un examen sistemtico de los estados financieros, los registros y las o peraciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las polticas de la administracin y de la planificacin La auditora operativa cae dentro de la definicin general de auditora y se define: "un examen sistemtico de las actividades de una organizacin ( de un segmento estipulado de las mismas) en relacin con objetivos especficos, a fin de evaluar el comportamiento, sealar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos". Auditora de Sistemas: Se encarga de llevar a cabo la evaluacin de normas, controles, tcnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la informacin que se procesa a travs de los sistemas de informacin. La auditora de sistemas es una rama especializada de la auditora que promueve y aplica conceptos de auditora en el rea de sistemas de informacin. La auditora de los sistemas de informacin se define como cualquier auditora que abarca la revisin y evaluacin de todos los aspectos (o de cualquier porcin de ellos) de los sistemas automticos de procesamiento de la informacin, incluidos los procedimientos no automticos relacionados con ellos y las interfaces correspondientes. El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnologa informtica con el fin de lograr mayor eficiencia operacional y administrativa OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS: 1. Participacin en el desarrollo de nuevos sistemas:

y y

evaluacin de controles cumplimiento de la metodologa.

2. Evaluacin de la seguridad en el rea informtica. 3. Evaluacin de suficiencia en los planes de contingencia.

respaldos, preveer qu va a pasar si se presentan fallas.

4. Opinin de la utilizacin de los recursos informticos.

resguardo y proteccin de activos.

5. Control de modificacin a las aplicaciones existentes.

y y

fraudes control a las modificaciones de los programas.

6. Participacin en la negociacin de contratos con los proveedores. 7. Revisin de la utilizacin del sistema operativo y los programas

y y y

utilitarios. control sobre la utilizacin de los sistemas operativos programas utilitarios.

8. Auditora de la base de datos.

estructura sobre la cual se desarrollan las aplicaciones...

9. Auditora de la red de teleprocesos. 10. Desarrollo de software de auditora. Es el objetivo final de una auditora de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del rea de procesamiento de datos.

FINES DE LA AUDITORIA DE SISTEMAS: 1. Fundamentar la opinin del auditor interno (externo) sobre la confiabilidad de los sistemas de informacin. 2. Expresar la opinin sobre la eficiencia de las operaciones en el rea de TI.

Similitudes y diferencias con la auditora tradicional: Similitudes:

y y

No se requieren nuevas normas de auditora, son las mismas. Los elementos bsicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregacin de funciones. Los propsitos principales del estudio y la evaluacin del control contable interno son la obtencin de evidencia para respaldar una opinin y determinar la base, oportunidad y extensin de las pruebas futuras de auditora.

Diferencias:

y y y

Se establecen algunos nuevos procedimientos de auditora. Hay diferencias en las tcnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. El nfasis en la evaluacin de los sistemas manuales esta en la evaluacin de transacciones, mientras que el nfasis en los sistemas informticos, est en la evaluacin del control interno.

ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE DE LA AUDITO RIA Y SUS PROCEDIMIENTOS.

y y y y y

Complejidad de los sistemas. uso de lenguajes. metodologas, son parte de las personas y su experiencia. Centralizacin. departamento de sistemas que coordina y centraliza todas las operaciones relaciones los usuarios son altamente dependientes del rea de sistemas. Controles del computador.

Controles manuales, hoy automatizados (procedimientos programados) .

y y y y y y

Confiabilidad electrnica. debilidades de las mquinas y tecnologa. Transmisin y registro de la informacin en medios magnticos, ptico y otros. almacenamiento en medios que deben acceder a travs del computador mismo. Centros externos de procesamiento de datos. Dependencia externa.

RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S. 1. La informacin es un recurso clave en la empresa para:

Planear el futuro, controlar el presente y evaluar el pasado.

2. Las operaciones de la empresa dependen cada vez ms de la sistematizacin. 3. Los riesgos tienden a aumentar, debido a:

y y

Prdida de informacin Prdida de activos.

Prdida de servicios/ventas.

4. La sistematizacin representa un costo significativo para

la empresa en cuanto a: hardware, software y personal.

5. Los problemas se identifican slo al final. 6. El permanente avance tecnolgico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS 1. Entendimiento global e integral del negocio, de sus puntos claves, reas crticas, entorno econmico, social y poltico. 2. Entendimiento del efecto de los sistemas en la organizacin. 3. Entendimiento de los objetivos de la auditora. 4. Conocimiento de los recursos de computacin de la empresa. 5. Conocimiento de los proyectos de sistemas. RIESGOS ASOCIADOS AL AREA DE TI: Hardware - Descuido o falta de proteccin: Condiciones inapropiadas, mal manejo, no observancia de las normas. - Destruccin. Software: - uso o acceso, - copia, - modificacin, - destruccin, - hurto, - errores u omisiones. Archivos: - Usos o acceso, - copia, modificacin, destruccin, hurto. Organizacin: - Inadecuada: no funcional, sin divisin de funciones. - Falta de seguridad, - Falta de polticas y planes. Personal: - Deshonesto, incompetente y descontento. Usuarios: - Enmascaramiento, falta de autorizacin, falta de conocimiento de su funcin.

El Auditor y el Procesamiento de Datos (PED)

12/03/2007 Hugo R. Gonzlez B.

Los profesionales (auditores) inmersos en el proceso e lectrnico de datos (PED),deben aclarar lo que se espera de ellos, tomando las siguientes medidas: # En cuanto al riesgo. Pensar en el riesgo no significa simplemente considerar como parte de la revisin de un sistema o de la auditora de alguna funcin del PED. El riesgo debe ser una primera preocupacin d 1 auditor y evaluar no slo lo que haga sino cundo lo haga. El auditor no slo debe reconocer problemas sino tambin convencer y alentar a la administracin a tornar la accin correctiva oportuna.

# Evaluar controles dentro de un sistema nuevo. El auditor debe evaluar los controles dentro de sistemas nuevos antes de que sean operacionales. Debera tener una vinculacin estrecha con el diseo del sistema y el personal de PED, y trabajar con los comits que dirigen las principales gestiones en el desarrollo de los sistemas. El auditor debe estar presente en estas reuniones no slo por su propia educacin sino tambin para fomentar en los usuarios y diseadores una conciencia de la necesidad de controles.

# Aplicar tcnicas de auditora avanzadas. El auditor debe usar tcnicas avanzadas para realizar procedimientos de auditora. Debera saber suficiente sobre tcnicas de anlisis operacional a fin de determinar cules instrumentos analticos puede pedir pr estados al ingeniero, al matemtico, as como a los propios tcnicos del PED. Al tratar con el riesgo, conceptos tales como el anlisis cuantitativo, la teora de decisin, la probabilidad, y el anlisis de redes son importantes para la auditoria.

# Dotar de apoyo tcnico a los auditores. El auditor debe trabajar con los tcnicos del PED para ayudarse y entenderse con sistemas automatizados, a identificar procedimientos manuales que puedan automatizarse y a interpretar documentacin tcnica. La esperanza de que los auditores trabajen con aquellos faltos de entrenamiento especializado es crtica, porque algn da todos los auditores lo sern de PED.