Auditoría 1) Concepto Published on ciberconta.unizar.es (

Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Auditoría
1) Concepto
La popularización de los ordenadores y el impacto de las tecnologías de la comunicación ha supuesto cambios radicales en los métodos y procedimientos utilizados por los auditores. Está claro que en el marco de los negocios cada vez más electrónicos, los auditores
deben modificar sus formas de trabajar. Las típicas hojas amarillas y los gruesos legajos de papeles que caracetrizan la labor de los auditores, son reemplazados por aplicaciones informáticas de Auditoría Asistida por Ordenador que manejan documentos electrónicos
o documentación escaneada y por sofisticadas hojas de cálculo y bases de datos. La utilización de libros contables ha dejado de ser la práctica habitual, dando lugar a accesos directos a ficheros con información contable de los que el auditor extrae sus pruebas y realiza
sus análisis.
Auditoría sin papeles Fuente: Audinfor (http://www.audinfor.com [1])
Los papeles de trabajo son los archivos que guarda el auditor de los procedimientos aplicados, las pruebas realizadas, la informacion obtenida y las conclusiones pertinentes a las que se llegaron en la auditoria. El auditor emplea papeles de trabajo para
facilitar su examen y proporcionar un registro de la auditoria realizada.
La Norma de Auditoría 2.6.9. referente a los papeles de trabajo establece que: "Los papeles de trabajo son susceptibles de normalización, lo cual mejora la eficacia de su preparación y revisión" Dicha normalización conlleva una parametrización o
estandarización que el auditor ha de llevar a cabo.
Audinfor es una empresa fabricante de software de auditoría, especializada en la "Auditoría sin papeles". Su producto más conocido es Gesia 2000, Herramienta Tecnológica Integral para la realización, gestión y control de trabajos de auditoría.
Page 1 of 6
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
En su servidor podemos leer varios artículos sobre la auditoría sin papeles. Entre las ventajas destacamos:
Ahorro de espacio
Disponibilidad inmediata
Posibilidad de impresión
Vinculación entre archivos
Reducción de los posibles errores de cálculo
Utilización posterior en auditorías recurrentes
Automatismos de ciertas operaciones
Contribuye a homogeneizar sistemas de elaboración de la documentación
2) Auditoría informática
Cualquier problema en los sistemas de información repercute instantáneamente en la totalidad de la empresa y afecta al funcionamiento normal. Es decir, tareas como por ejemplo la contabilidad financiera dependen de lo que pasa en el ordenador.
Cuando una empresa decide instalar o poseer una infraestructura informática, la gestión de tales recursos debe buscar el cumplimiento de tres objetivos.
Disponer del nivel de servicio más apropiado para que los usuarios desempeñen adecuadamente sus responsabilidades. Por ejemplo, en una entidad financiera, que los cajeros tengan información en sus monitores de las cuentas corrientes, precios
de las divisas, sacar entradas para el cine, etc.
Reducir al máximo los riesgos derivados de la falta de seguridad y del uso inadecuado o fraudulento de la información. Por ejemplo, en la entidad financiera, que no se cuelge la red de conexiones interbancarias, etc.
Lograr una utilización eficiente de los recursos asignados a dicho centro de cálculo mediante las oportunas medidas de control.
¿Qué es?: La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.
¿Quién puede hacerla?: El conocimiento y experiencia que se exige a un auditor informático es relativo al diseño e implantación de sistemas de información, funcionamiento de un centro de cálculo y además ha de conocer los métodos administrativos y de gestión
propios del sector en el que opera la empresa. Además ha de conocer las prestaciones del hardware instalado.
Para verificar si se están aplicando las medidas de control más apropiadas para la salvaguarda e integridad de la información y de los sistemas en prevención de riesgos de fraude, pérdida, manipulación, fallos de servicio, etc., el papel de la auditoría informática es muy
importante.
La auditoría informática consiste en una revisión profunda y detallada de todos los elementos de que dispone una empresa en el área de sistemas de información.
2.1 "Check list" de Auditoría Informática
Page 2 of 6
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Para proyectar el desarrollo de la estrategia es necesario elaborar un plan de trabajo que permita medir el alcance de la auditoría en puntos clave y administrar eficientemente los recursos de tiempo personal que sean asignados.
Web recomendada: Un ejemplo de Check List de seguridad referido a las páginas web, Guía del Gobierno de Chile: (http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm [2]).
Se documentan las áreas de riesgo examinadas en esta auditoría, como por ejemplo:
PLANIFICACIÓN DE LA AUDITORIA
CENTRO DE CÁLCULO___________________________________
OBJETIVO GENERAL DEL TRABAJO A REALIZAR__________
______________________________________________________
______________________________________________________
______________________________________________________
ALCANCE DEL TRABAJO A REALIZAR (Áreas de Revisión)
Planificación y organización de sistemas.
Seguridad física y lógica
Plan de contingencias y documentación
Origen, captura y validación de datos
Procesamiento y actualización de datos
Salidas, utilización y control de resultados
Integridad y seguridad de los sistemas y de los datos
Terminales y comunicación de datos
AUDITORES ASIGNADOS.
Supervisor_______________________ Senior ________________
Junior_________________________________________________
DURACION ESTIMADA______ Horas____ Días____ Semanas___
FECHA INICIACION______ FECHA TERMINACION_________
Y para cada punto a analizar se dispone de un listado con los objetivos y procedimientos de auditoría. A modo de ejemplo, dado que los equipos informáticos deben estar en un local con temperatura adecuada, los objetivos y procedimientos de auditoría para el sistema
de aire acondicionado son:
C. SISTEMA DE AIRE ACONDICIONADO (TEMPERATURA, FILTRACION Y HUMEDAD)
Objetivo de Auditoría:
Verificar la suficiencia del sistema de aire acondicionado en cuanto a:
Temperatura
Ventilación
Filtración
Page 3 of 6
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Humedad
Protección
Respaldo
Procedimientos de Auditoría:
1. ¿Se usa el sistema exclusivamente para el centro de cálculo?
2. ¿Los revestimientos de los conductos y los filtros están hechos en materiales no combustibles?
3. ¿Se suministran reguladores de corrientes de aire contra incendio?
4. ¿El compresor está alejado del centro de cálculo?
5. ¿La torre de enfriamiento está suficientemente protegida?
6. ¿Existe un sistema de aire acondicionado de respaldo?
7. Las tomas de aire:
a. ¿Están cubiertas con mallas protectoras?
b. ¿Están ubicadas a mayor altura que el nivel de la calle?
c. ¿Están ubicadas para evitar que entren elementos contaminan tes o escombros?
2.2 Regulación internacional sobre Auditoría de Sistemas de Información
En materia de Auditoría de Sistemas de Información existen varias metodologías desde el enfoque de control a nivel internacional. Algunas de las más importantes para los profesionales de la contabilidad y la auditoría son ISACA (COBIT), COSO, AICPA (SAS)
y MARGERIT
A) ISACA-COBIT
La Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org [3]). Es la asociación lider en Auditoría de Sistemas, con 23.000 miembros en 100 países. ISACA propone la metodología COBIT ® (Control Objectives for Information and related
Technology). Es un documento dirigido a auditores, administradores y usuarios de sistemas de información, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la información financiera y el cumplimiento de
las leyes y regulaciones.
COBIT
COBIT (http://www.isaca.org/cobit.htm [4]). Objetivos de Control para la Información y Tecnologías Afines. El COBIT se desarrolla en los siguientes capítulos: planificación y organización, adquisición e implementación, desarrollo, soporte y control.
Planificación y organización
Po1 Definición de un plan estratégico
Po2 Definición de la arquitectura de información
Po3 Determinación de la dirección tecnológica
Po4 Definición de organización y relaciones
Po5 Administración de la inversión
Po6 Comunicación de las políticas
Po7 Administración de los recursos humanos
Po8 Asegurar el cumplimiento con los requerimientos Externos
Po9 Evaluación de riesgos
Po10 Administración de proyectos
Po11 Administración de la calidad
Adquisición e implementación
A11. Identificación de soluciones automatizadas
A12. Adquisición y mantenimiento del software aplicativo
A13. Adquisición y mantenimiento de la infraestructura tecnológica
A14. Desarrollo y mantenimiento de procedimientos
A15. Instalación y aceptación de los sistemas
A16. Administración de los cambios
Page 4 of 6
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Prestación y soporte
Ds1. Definición de los niveles de servicios
Ds2. Administrar los servicios de terceros
Ds3. Administrar la capacidad y rendimientos
Ds4. Asegurar el servicio continuo
Ds5. Asegurar la seguridad de los sistemas
Ds6. Entrenamiento a los usuarios
Ds7. Identificar y asignar los costos
Ds8. Asistencia y soporte a los clientes
Ds9. Administración de la configuración
Ds10. Administración de los problemas
Ds11. Administración de los datos
Ds12. Administración de las instalaciones
Ds13. Administración de la operación
Control
M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnología de la información.
M2. Obtener realización de las evaluaciones independientes
B) COSO
El Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Hace recomendaciones a los contables de gestión de cómo evaluar, informar e implementar sistemas de control, teniendo como
objetivo de control la efectividad y eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoración de riesgos, actividades de control, información y comunicación, y el
monitoreo.
C) AICPA-SAS
El American Institute of Certified Public Accountants da una guía a los auditores externos sobre el impacto del control interno en la planificación y desarrollo de una auditoría de estados financieros de las empresas, presentado como objetivos de control la información
financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoración de riesgo, actividades de control, información, comunicación y monitoreo.
D) MARGERIT
El Consejo Superior de Informática del Ministerio de Administraciones Públicas de España es el responsable de MARGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información). Es una metodología de análisis y gestión de riesgos de los
sistemas de información de las administraciones públicas, emitida en el año 1997 por el consejo superior de informática y recoge las recomendaciones de las directivas de la Unión Europea en materia de seguridad de sistemas de información, esta metodología presenta
un objetivo definido en el estudio de los riesgos que afectan los sistemas de información y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberían adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados.
Margerit desarrolla el concepto de control de riesgos en las guías de procedimientos, técnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.
Una "Guía de Seguridad Informática"
Ministerio de Administraciones públicas (https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=187&lang=es [5])
Esta publicación del Ministerio de Administraciones Públicas (MAP), recoge los requisitos fundamentales de la seguridad informática, de cara a garantizar la integridad, la confidencialidad y la disponibilidad de los Sistemas de Información.
En su contenido destacan lo siguientes apartados:
Gestión global de la seguridad de la información
Política de seguridad
Organización y planificación de la seguridad
Análisis y gestión de riesgos
Identificación y clasificación de activos a proteger
Salvaguardas ligadas al personal
Seguridad física
Autenticación
Confidencialidad
Integridad
Disponibilidad
Control de acceso
Acceso a través de redes
Firma electrónica
Protección de soportes de información y copias de respaldo
Desarrollo y explotación de sistemas
Page 5 of 6
Published on ciberconta.unizar.es (http://ciberconta.unizar.es/ecofin/drupal1)
Gestión y registro de incidencias
Plan de contingencias
Auditoría y control de seguridad
Source URL: http://ciberconta.unizar.es/ecofin/drupal1/auditoria
Links:
[1] http://www.audinfor.com/
[2] http://www.guiaweb.gob.cl/guia/checklists/seguridad.htm
[3] http://www.isaca.org/
[4] http://www.isaca.org/cobit.htm
[5] https://www.ccn-cert.cni.es/index.php?option=com_wrapper&view=wrapper&Itemid=1
87&lang=es
Page 6 of 6
Powered by TCPDF (www.tcpdf.org)