Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

DEFINICIÓN Y PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA

No description
by

Sixto Ronquillo

on 21 March 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of DEFINICIÓN Y PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA

DEFINICIÓN Y PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA


DEFINICIÓN DE
AUDITORÍA
INFORMÁTICA
PLANEACIÓN O PLANIFICACIÓN
DE LA AUDITORÍA
INFORMÁTICA
AUDITORÍA INFORMÁTICA
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, y cumple con las leyes y regulaciones establecidas.

Estudia los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen con determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.


CAMPOS DE ACCIÓN DE LA AUDITORÍA INFORMÁTICA
Algunos campos de aplicación son las siguientes:

Se usan las computadoras para la resolución de cálculos matemáticos,
recuentos numéricos, etc; algunas de estas operaciones:
Resolución de ecuaciones.
Análisis de datos de medidas experimentales, encuestas etc.
Análisis automáticos de textos.
Aplicaciones técnicas: Usa la computadora para facilitar diseños de ingeniería
y de productos comerciales, trazado de planos, etc.
Algunas de estas operaciones:

Análisis y diseño de circuitos de computadora.
Cálculo de estructuras en obras de ingeniería.

Minería.
Cartografía.
Documentación e información:
Se usan para el almacenamiento de grandes cantidades de datos y la recuperación controlada de los mismos en bases de datos. Ejemplos de este campo de aplicación son:
_Documentación científica y técnica.
_Archivos automatizados de bibliotecas.
_ Bases de datos jurídicas.
Gestión administrativa
:

Automatiza las funciones de gestión típicas de una empresa.
Existen programas que realizan las siguientes actividades:
Contabilidad.
Facturación.
Control de existencias, Etc, Etc.
Inteligencia artificial:

Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo haría una persona inteligente. Aplicaciones como:
Reconocimiento de lenguaje natural.
Programas de juegos complejos (ajedrez).

Instrumentación y control
:

Instrumentación electrónica, electro medicina, robots industriales, entre otros.
La utilización de equipos de computación en las instituciones, ha tenido una repercusión importante en el trabajo del contador público, no sólo en lo que se refiere a los sistemas de información, sino también al uso de las computadoras en la auditoría. Al llevar a cabo auditorías donde existen sistemas computarizados, el profesional de la auditoría se enfrenta a problemas de muy diversa índole; uno de ellos, es la revisión de los procedimientos administrativos (Control Interno) establecidos en la empresa que audita, COMO LAS TÉCNICAS DE AUDITORÍA ASISTIDA POR COMPUTADORA QUE PUEDEN MEJORAR LA EFICIENCIA DE LA AUDITORÍA.
Las TAAC's pueden ser usadas en:

• Pruebas de detalles de transacciones y balances (Re-cálculos de intereses, extracción de vtas. por encima de cierto valor, desagio etc.)
• Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas.
• Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.
• Programas de muestreo para extractar datos.
• Pruebas de control en aplicaciones.
¿QUE HACE EL SOFTWARE DE AUDITORÍA?
La Auditoría de Software se refiere a la investigación y al proceso de entrevistas que determina cómo se adquiere, distribuye y usa el software en la organización.

PAQUETES DE SOFTWARE DE AUDITORÍA HOY DISPONIBLES
L
os problemas de calidad DE INFORMACIÓN no se aíslan en un departamento, sino que se extienden a través de varios departamentos en el entorno de negocio. De ahí que los software se podrían clasificar en :

TIPOS DE SOFTWARE

1.- SISTEMAS 2.- APLICACIÓN 3.- PROGRAMACIÓN

AUTOMATIZACIÓN
El software de auditoría es a menudo diseñado para automatizar muchos aspectos del proceso de auditoría para que los recursos de tiempo y de la empresa se puedan guardar
.

DIFERENTES MODALIDADES EN LA APLICACIÓN DE LOS PROGRAMAS DE AUDITORÍA
Existen diversas formas y modalidades de los programas de auditoria, pudiéndose clasificar:
A.
Desde el punto de vista del grado de detalle a que llegan.
B.
Desde el punto de vista de su relación con un trabajo concreto.
Tomando en consideración el grado de detalle a que llegan,
los programas de auditoria se clasifican en:
1.
Programas generales y
2
.
Programas detallados

IMPACTO DE LA TECNOLOGÍA (PED) EN:

LAS ORGANIZACIONES
Por tecnología de organización se entiende el conjunto de técnicas utilizadas en la transformación de insumos en productos.
EN LA PROFESIÓN DE CONTADURÍA PÚBLICA
El impacto de la tecnología en la profesión contable está fuera de toda duda. Las tecnologías de la información operan como motor del cambio que permite dar respuesta a las nuevas necesidades de información.
EN LA PROFESIÓN DE LA AUDITORÍA
Los avances tecnológicos que han de incorporarse ofrecen extraordinarias posibilidades para manejar gran cantidad de datos .Sin embargo, el tema fundamental pasa por convertir dichos datos en información valiosa para las organizaciones, para el manejo operativo, de control gerencial y para el planeamiento estratégico.

El trabajo de auditoría deberá incluir:
•La planeación de la auditoría
•El examen y la evaluación de la información
•La comunicación de los resultados y el seguimiento
1) Planeación
Deberá ser documentada e incluirá:

A) REVISIÓN PRELIMINAR - CONOC. DEL ENTE
El objetivo es obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Al terminar la revisión preliminar el auditor puede proceder al:
Diseño de la auditoría
. Puede haber problemas debido a la falta de competencia técnica para realizar la auditoría.
Realizar una
revisión detallada de los controles internos
de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de
pruebas sustantivas/cumplimiento
puedan reducir las consecuencias.

REVISIÓN DETALLADA
Los objetivos son de obtener información necesaria para tener un profundo entendimiento de los controles usados dentro del área de informática.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN.
Los auditores deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente:
-PRUEBAS DE CONTROLES DE USUARIO
. - Cumplimiento
El auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles de informática.
-PRUEBAS SUSTANTIVAS - Saldos y transacciones
El objetivo es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento de la información.
Pruebas para:
- identificar errores en el procesamiento o falta de seguridad o confidencialidad.
-asegurar la calidad de los datos.
-identificar inconsistencia de datos.
-comparar con los datos o contadores físicos.
-Confirmación de datos con fuentes externas.
-confirmar la adecuada comunicación.
-determinar falta de seguridad.
-determinar problemas de legalidad

EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer mas seguro el funcionamiento o el uso.
CONSIDERACIONES INMEDIATAS PARA LA AUDITORÍA DE LA SEGURIDAD

USO DE LA COMPUTADORA

Puede ser susceptible a:

 copia de programas de la organización para fines de comercialización (copia pirata).
 acceso directo o telefónico a bases de datos con fines fraudulentos

SISTEMA DE ACCESO

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a:

 Nivel de seguridad de acceso
 Empleo de las claves de acceso
 Evaluar la seguridad contemplando la relación costo, ya que a mayor tecnología de acceso mayor costo

CANTIDAD Y TIPO DE INFORMACIÓN

El tipo y la cantidad de información que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podrían producir que:

 la información este en manos de algunas personas
 la alta dependencia en caso de perdida de datos



PLAN DE SEGURIDAD IDEAL (O NORMATIVO)
Un plan de seguridad para un sistema de seguridad integral informático debe contemplar por lo menos:
 Asegurar la integridad y exactitud de los datos
 Permitir identificar la información que es confidencial
 Contemplar áreas de uso exclusivo
 Proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles
 Asegurar la capacidad de la organización para sobrevivir accidentes
 Proteger a los empleados contra tentaciones o sospechas innecesarias
 Contemplar la administración contra acusaciones por imprudencia

BENEFICIOS DE UN SISTEMA DE SEGURIDAD
Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organización trabajará sobre una plataforma confiable, que se refleja en los siguientes puntos:
 Aumento de la productividad.
 Aumento de la motivación del personal.
 Compromiso con la misión de la compañía.
 Mejora de las relaciones laborales.
 Ayuda a formar equipos competentes.
 Mejora de los climas laborales para los RR.HH/ Talento Humano

RECOPILACIÓN DE LA INFORMACIÓN ORGANIZACIONAL

 Una vez elaborada la planeación de la auditoría, la cual servirá como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditoría, se debe empezar la recolección de la información.
 Se procederá a efectuar la revisión sistematizada del área a través de la observación y entrevistas de fondo en cuanto a:


A)
Estructura Orgánica

B)
Se deberá revisar la situación de los recursos humanos.

C)
Entrevistas con el personal de procesos electrónicos.

D)
Se deberá conocer la situación presupuestal y financiera.

E)
Se hará un levantamiento del censo de recursos humanos y análisis de situación.
 F)
Por último, se deberá revisar el grado de cumplimiento de los documentos administrativos.

Estructura Orgánica
 Jerarquías (Definición de la autoridad lineal, funcional y de asesoría)
 Estructura orgánica
 Funciones
 Objetivos



Entrevistas con el personal de procesos electrónicos:

a)
Jefatura
b)

Análisis
c)
Programadores

d)
Operadores
e)
Capturistas
f)
Personal administrativo

Conocer la situación presupuestal y financiera en cuanto a:
 - Presupuesto  - Recursos financieros
 - Recursos materiales  - Mobiliario y equipo
Llevantamiento del censo de recursos humanos y análisis de situación en cuanto a:
 • Número de personas y distribución por áreas
 • Denominación de puestos
 • Salario  Capacitación • Conocimientos
 • Escolaridad  Experiencia profesional  Antigüedad
 Historial de trabajo  Salario y conformación
 Movimientos salariales
 Índice de rotación del personal
 Programa de capacitación (vigente y capacitación dada en el último año)
Revisar el grado de cumplimiento de los documentos administrativos.
 Normas y políticas  • Planes de trabajo  • Controles
 • Estándares • Procedimientos



3.4.- SITUACIÓN PRESUPUESTAL Y FINANCIERA.
La información financiera presupuestada está basada en diversos eventos e hipótesis que se espera ocurran en un futuro. Dicha información puede referirse a una cuenta, proyecto o estados financieros futuros de una entidad

3.4.1.- PRESUPUESTOS.
Es una herramienta de gestión conformada por un documento en donde se cuantifican pronósticos o previsiones de diferentes elementos de un negocio; permiten planificar, coordinar y controlar nuestras operaciones.

RECURSOS FINANCIEROS Y MATERIALES
Recursos financieros
Estos resultan fundamentales para el éxito o fracaso de una gestión administrativa, lo básico en su administración es lograr el equilibrio en su utilización.
La administración de recursos financieros supone un control presupuestal y significa llevar a cabo toda la función de tesorería (ingresos y egresos). Es decir, todas las salidas o entradas de efectivo deben estar previamente controladas por el presupuesto.
La administración financiera consiste en:
Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada unidad orgánica de la empresa que se trate, con el propósito de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o servicios.




THE END





Auditoría de Sistemas Automatizados
Ing. Com. Sixto Ronquillo B., Msc.
(AUDITORÍA III)
AUDITORÍA ASISTIDA POR COMPUTADORA (CAAT)
APLICACIÓN
OBJETIVOS
1.- Protección de activos
y seguridad de datos.

2.- Gestiona la eficacia y eficiencia.

3.- Alineamiento de la información a las áreas criticas del negocio para lograr los objetivos.

TIPOS DE AUDITORÍA INFORMÁTICA
1) Sistemas:
Revisión de los sistemas de información actuales, tanto a nivel hardware como software, con objeto de descubrir potenciales puntos de mejora y determinar en qué modo debería actuarse para mejorar tanto éstos como otros aspectos.

- Sistemas operativos - Software básico
- Software de teleprocesos - Tunning
- Optimización de los sistemas y subsistemas.
- Administración de base de datos - Investigación y desarrollo

2) Explotación:
Se preocupa de producir resultados informáticos de todo tipo, entre ellos la captura de la información, los sistemas hardware y recursos humanos de explotación, y otros.

3) Comunicaciones y redes:
Control de entrada de datos, planificación y recepción de aplicaciones, control y seguimiento de trabajos, operadores de centros de cómputo, control de red y centro de diagnosis.

PERSONAL

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están ligadas al sistema de información de forma directa y se deberá contemplar principalmente:

*contemplar la cantidad de personas con acceso operativo y administrativo
*conocer la capacitación del personal en situaciones de emergencia

MEDIOS DE CONTROL

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema.
También se debe observar con detalle el sistema ya que podría generar indicadores que pueden actuar como elementos de auditoría inmediata, aunque esta no sea una especificación del sistema.

RASGOS DEL PERSONAL

Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya que pueden surgir:

 Malos manejos de administración
 Malos manejos por negligencia
 Malos manejos por ataques deliberados



AUDITORÍA INFORMÁTICA
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.

Instrumento de control utilizado para asegurar el adecuado
USO, PROTECCIÓN y CONTROL
, de los elementos informáticos y su contribución a la
protección del patrimonio de la empresa
y
apoyo al logro de los objetivos Institucionales.
TIPOS DE AUDITORÍA INFORMÁTICA................
4) Desarrollo de proyectos:
Es una función de desarrollo, análisis y programación de sistemas y aplicaciones, las principales son: a) Estudio de viabilidad de la aplicación, b) definición lógica de la aplicación, c) Desarrollo técnico de la aplicación, d) Diseño de programas, e) Métodos de prueba, f) Documentación y g) equipo de programación.


5) Seguridad informática:
Abarca los conceptos de seguridad física y lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan, contemplando las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.

Generalidades sobre el riesgo
*
Probabilidad d que ocur
ra algo malo
*
No reconocer riesgos en sí, es el > riesgo
*
La falta de marcos referenciales de:costos,objetivos plazos.
*
Los riesgos constituyen problemas potenciales, y es fundamental tomar conciencia para combatirlos
*
En la empresa los riesgos on un asunto de gestión pudiendo manejarse:Aceptarce-reducirse-eleminarse.
*
Administrar un riesgo no significa adversión al riesgo.
Riesgos en la empresa
Los riesgos y problemas deben analizarse y resolverse en forma interdisciplinaria: No es necesario que todos sean expertos para integrar equipos de seguridad y/o auditoría informática. Existen cadenas causales de problemas en las cuales dbemos distinguir entre CAUSAS INMEDIATAS de CAUSAS PROFUNDAS O ESENCIALES. Ej: La mala gestión es una
causa esencial
de la existencias de altos riesgos y problemas.
GRADO DE
MANEJABILIDAD DE LOS R.I
Riesgo inevitable
Riesgo poco manejable
Riesgo Manejable
Riesgo muy manejable
Riesgo Eliminable
GRADO DE RIESGOS
INFOMÁTICOS
Riesgo Nulo
Riesgo Bajo
Riesgo Normal
Riesgo Alto
GRADO DE IMPACTO
DE PROBLEMAS
Impacto Nulo
Impacto Bajo
Impacto Medio
Impacto Grave
Impacto de Desastre
GRADO DE EFECTIVIDAD DE LAS MEDIDAS DE SEGURIDAD
Efectividad Total
Efectividad Alta
Efectividad Media
Efectividad Baja
Efectividad Nula
Ejemplo simple:
Por fallas en el programa, la impresión de los 10 primeros cheques, siempre se pierden:
RIESGO TOTAL: Siempre ocurre
RIESGO ELIMINABLE: Corregir el programa
EFECTIVIDAD TOTAL: No más errores
IMPACTO BAJO: En costo y en Efecto
Full transcript