domingo, 10 de julio de 2011

Controles de auditoría de sistemas

Los controles de la auditoria de sistemas son el grupo de disposiciones metódicas que sirven de ayuda para vigilar las funciones y actitudes que poseen las empresas y así poder llevar a cabo la verificación de que todo se realice conforme a los programas instalados, las ordenes impartidas y los principios admitidos.
Estos controles que utiliza la auditoría de sistemas de dividen en tres calificaciones; la primera de ellas es el control preventivo, que se encargan de reducir la frecuencia con la que ocurren todas las situaciones de riesgo para el sistema, como por ejemplo los sistemas de claves de acceso; los controles de detección que detectan los errores una vez que los mismos ocurrieron, y por lo general son los controles más importantes que posee la auditoria de sistemas ya que gracias a ellos se puede evaluar la eficiencia de los controles preventivos y además nos permiten conocer los errores que se produjeron para poder modificarlos o corregirlos. La tercer clasificación de los controles de la auditoría de sistemas son los controles correctivos, son los encargados de corregir cualquier tipo de error o desperfecto que se presente en el sistema. En conclusión podemos decir que la auditoria de sistemas es una de las herramientas fundamentales de las que requiere una empresa, ya que gracias a la misma se pueden evitar errores que pueden resultar muy graves para cualquier departamento que este a cargo de la administración o gerencia de la empresa. Debemos tener en cuenta que en la actualidad el 99% de las empresas, ya sean PyMES o grandes empresas, se manejan mediante un sistema totalmente controlado mediante la informática, por lo que un pequeño error puede llegar a dañar mucho tiempo dedicado a un determinado trabajo.

Ejemplo Informe Auditoria De Sistemas


INFORME DE AUDITORÍA

Empresa………………..

Julio 2009

INFORME DE LOS AUDITORES INDEPENDIENTES

1 – Proceso Auditado
Sistema Informático   de la empresa……………………

1.1 – Objetivo del proceso
Facilitar a toda el área de   sistemas   las herramientas informáticas necesarias para el desarrollo de las actividades, así también velar por la calidad del servicio (Hardware, Software e Internet) y el uso adecuado de los recursos.

1.2 – Alcance del proceso
Aplica a las actividades desarrolladas en el área de sistemas, como apoyo a los procesos de entrega y recepción de los recursos destinados a la institución.
En la parte Administrativa soporta el Sistema Integrado de Información.

1.3 – Responsable del proceso

Este proceso es responsabilidad del Director de Programas ubicado en Quito con el apoyo del Soporte Técnico   de Sistemas ubicado en la ciudad de Ambato.

1.4 – Procedimientos que integran el proceso

    ✓ Soporte Informático
    ✓ Contrato de adquisición de equipos y software.
    ✓ Normas y disposiciones referentes al sistema de cómputo

2 – Personal auditado

(Manolo Fabara, Jefe del Soporte Técnico del Sistema)
Visión Mundial Del Ecuador   Oficina Regional 1 Tungurahua

3 – Auditores
Santiago Núñez
Omar Freire (Auditor Acompañante)

4– Objetivo

  Verificar la conformidad y eficacia del proceso de Sistemas   de Visión Mundial Del Ecuador   Oficina Regional 1 Tungurahua, las cuales deben estar reguladas de acuerdo a las normas implantadas desde   World   Vision Mundial   enviadas desde Estados Unidos al jefe de Sistemas en Quito bajo los requisitos del Reglamento Interno de Patrocinio y demás requisitos reglamentarios establecidos para la entidad.

5.- Metodología

5.1 – Reunión de apertura
La reunión de apertura, se llevó a cabo el día 25 de septiembre de 2008 a las 9.30 a.m, en las instalaciones de Visión Mundial Del Ecuador   Oficina Regional 1 Tungurahua.

auditoria

FINES DE LA AUDITORIA DE SISTEMAS:
1. Fundamentar la opinión del auditor interno (externo) sobre la confiabilidad de los sistemas
de información.
2. Expresar la opinión sobre la eficiencia de las operaciones en el área de TI.

Similitudes y diferencias con la auditoría tradicional:
Similitudes:

  • No se requieren nuevas normas de auditoría, son las mismas.
  • Los elementos básicos de un buen sistema de control contable interno siguen siendo
    los mismos; por ejemplo, la adecuada segregación de funciones.
  • Los propósitos principales del estudio y la evaluación del control contable interno son la
    obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y

    extensión de las pruebas futuras de auditoría.
Diferencias:
  • Se establecen algunos nuevos procedimientos de auditoría.
  • Hay diferencias en las técnicas destinadas a mantener un adecuado control interno
    contable.
  • Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable.
    Una diferencia significativa es que en algunos procesos se usan programas.
  • El énfasis en la evaluación de los sistemas manuales esta en la evaluación de
    transacciones, mientras que el énfasis en los sistemas informáticos, está en la
    evaluación del control interno.
 ASPECTOS DEL MEDIO AMBIENTE INFORMATICO QUE AFECTAN EL ENFOQUE
DE LA AUDITORIA Y SUS PROCEDIMIENTOS.

  • Complejidad de los sistemas.
  • uso de lenguajes.
  • metodologías, son parte de las personas y su experiencia.
  • Centralización.
  • departamento de sistemas que coordina y centraliza todas las operaciones relaciones
    los usuarios son altamente dependientes del área de sistemas.
  • Controles del computador.
Controles manuales, hoy automatizados (procedimientos programados) .
  • Confiabilidad electrónica.
  • debilidades de las máquinas y tecnología.
  • Transmisión y registro de la información en medios magnéticos, óptico y otros.
  • almacenamiento en medios que deben acceder a través del computador mismo.
  • Centros externos de procesamiento de datos.
  • Dependencia externa.
RAZONES PARA LA EXISTENCIA DE LA FUNCION DE A.S.
1. La información es un recurso clave en la empresa para:
  • Planear el futuro, controlar el presente y evaluar el pasado.
2. Las operaciones de la empresa dependen cada vez más de la sistematización.
3. Los riesgos tienden a aumentar, debido a:
  • Pérdida de información
  • Pérdida de activos.
  • Pérdida de servicios/ventas.
4. La sistematización representa un costo significativo para
  • la empresa en cuanto a: hardware, software y personal.
5. Los problemas se identifican sólo al final.
6. El permanente avance tecnológico.

REQUERIMIENTOS DEL AUDITOR DE SISTEMAS
1. Entendimiento global e integral del negocio, de sus puntos claves, áreas críticas,
entorno económico, social y político.
2. Entendimiento del efecto de los sistemas en la organización.
3. Entendimiento de los objetivos de la auditoría.
4. Conocimiento de los recursos de computación de la empresa.
5. Conocimiento de los proyectos de sistemas.
RIESGOS ASOCIADOS AL AREA DE TI:
Hardware
- Descuido o falta de protección: Condiciones inapropiadas, mal
manejo, no observancia de las normas.
- Destrucción.
Software:
- uso o acceso,
- copia,
- modificación,
- destrucción,
- hurto,
- errores u omisiones.
Archivos:
- Usos o acceso,
- copia, modificación, destrucción, hurto.
Organización:
- Inadecuada: no funcional, sin división de funciones.
- Falta de seguridad,
- Falta de políticas y planes.
Personal:
- Deshonesto, incompetente y descontento.
Usuarios:
- Enmascaramiento, falta de autorización, falta de conocimiento de su función.









OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS:

1. Participación en el desarrollo de nuevos sistemas:
  • evaluación de controles
  • cumplimiento de la metodología.
2. Evaluación de la seguridad en el área informática.
3. Evaluación de suficiencia en los planes de contingencia.
  • respaldos, preveer qué va a pasar si se presentan fallas.
4. Opinión de la utilización de los recursos informáticos.
  • resguardo y protección de activos.
5. Control de modificación a las aplicaciones existentes.
  • fraudes
  • control a las modificaciones de los programas.
6. Participación en la negociación de contratos con los proveedores.
7. Revisión de la utilización del sistema operativo y los programas
  • utilitarios.
  • control sobre la utilización de los sistemas operativos
  • programas utilitarios.

8. Auditoría de la base de datos.
  • estructura sobre la cual se desarrollan las aplicaciones...
9. Auditoría de la red de teleprocesos.
10. Desarrollo de software de auditoría.
Es el objetivo final de una auditoría de sistemas bien implementada, desarrollar software capaz de estar ejerciendo un control continuo de las operaciones del área de procesamiento de datos.
AUDITORIA DE SISTEMAS DE INFORMACIÓN
Definición de auditoría:
Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos y eventos de carácter económico; con el fin de determinar el grado de correspondencia entre esas afirmaciones y los criterios establecidos, para luego comunicar los resultados a las personas interesadas.
 La auditoría se clasifica en Auditoría Financiera y Operativa.
La auditoría financiera efectúa un examen sistemático de los estados financieros, los registros y las operaciones correspondientes, para determinar la observancia de los principios de contabilidad generalmente aceptados, de las políticas de la administración y de la planificación
La auditoría operativa cae dentro de la definición general de auditoría y se define:
"un examen sistemático de las actividades de una organización (ó de un segmento estipulado de las mismas) en relación con objetivos específicos, a fin de evaluar el comportamiento, señalar oportunidades de mejorar y generar recomendaciones para el mejoramiento o para potenciar el logro de objetivos".
 Auditoría de Sistemas:
Se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de los sistemas de información. La auditoría de sistemas es una rama especializada de la auditoría que promueve y aplica conceptos de auditoría en el área de sistemas de información.
La auditoría de los sistemas de información se define como cualquier auditoría que abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de procesamiento de la información, incluidos los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa