jueves, 22 de febrero de 2018

AUDITORIA Y SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN


LIC. EN INFORMÁTICA EMPRESARIAL

OCTAVO CUATRIMESTRE

DOCENTE:
Higareda Cisneros Nicolás

MATERIA:
Auditoria en Informática

PRESENTA:
Judith Irais Martínez Sánchez


AUDITORIA Y SEGURIDAD EN TECNOLOGÍAS DE INFORMACIÓN




Universidad de Londres Querétaro, febrero de 2018














UNIDAD 1. ESTÁNDARES DE AUDITORÍA, CONTROL Y SEGURIDAD DE TECNOLOGÍA DE
INFORMACIÓN (TI)Y PRÁCTICAS DE CONTROLES.

  •  Título de auditoria.


Colocar un título, como "Informe de auditoria financiera de empresa independiente ". El título del documento debe ser simple y fácil. Además, debe incluir la palabra "independiente" porque informa a todos los lectores que fue creado por una tercera parte imparcial. Inmediatamente seguido al título, la introducción de un informe de auditoria es una declaración concisa de un párrafo. Se debe incluir el nombre de la firma a informar, así como también las fechas que cubre la auditoria. En la mayoría de los casos, estas fechas abarcan el año fiscal de la empresa.

  • Independencia

Independencia Profesional

La independencia del auditor está completamente ligada a la ética profesional. El IMCP destaca que es un requisito a cumplir en el marco de las normas personales del Contador Público. Se puede decir que un auditor es independiente cuando sus juicios se fundan en elementos objetivos; y no es independiente cuando su juicio u opinión está influida por consideraciones de orden subjetivo. En pocas palabras, el auditor debe ser independiente al emitir su opinión sin tener ninguna presión política, religiosa, o familiar por mencionar algunas; además de no relacionar sentimientos personales o interés del grupo al que pertenece.

  • Relación organizativa


La auditoria organización tiene como objetivo evaluar la eficacia de la organización y de su estructura para determinar con precisión las opciones más apropiadas para aumentar la eficacia de sus operaciones, actividades y procesos.
La auditoria organizacional ofrece una visión completa de la complejidad y el potencial de la organización, estableciendo prioridades sobre la base de las fortalezas y debilidades identificadas. 
  • Ética y normas profesionales


La ética profesional del auditor, se refiere a la responsabilidad del mismo para con el público, hacia los clientes y colegas y los niveles de conducta máximos y mínimos que debe poseer.
El auditor debe observar las normas generales y técnicas de la profesión y luchar constantemente por mejorar su competencia y la calidad de sus servicios.
Las normas generales y técnicas son reglas de conducta que exigen la observancia de las normas relacionadas con la realización del trabajo. Así, las primeras indican que un miembro a quien mediante otro contador solicite consejo profesional sobre una cuestión técnica contable o de auditoria, debe consultar con el otro contador antes de proporcionar ese consejo a fin de asegurarse de que el miembro conoce todos los datos y hechos disponibles.
  •  Idoneidad


Demostrar que la(s) persona(s) asignada(s) como auditor(es) reúnan todas las condiciones para llevar a cabo dicha función; es decir, que deben tener las competencias y los conocimientos necesarios para desarrollar el proceso de auditoria en la organización.

  • Planificación

 De conformidad con la normativa de auditoria vigente, el proceso de la auditoria comprende las fases de: planificación, ejecución del trabajo y comunicación de resultados.


La planificación de la auditoría comprende el desarrollo de una estrategia global para su administración, al igual que el establecimiento de un enfoque apropiado sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría que deben aplicarse. El planeamiento también permitirá que el equipo de auditoría pueda hacer uso apropiado del potencial humano disponible. El proceso de la planificación permite al auditor identificar las áreas más importantes y los problemas potenciales del examen, evaluar el nivel de riesgo y programar la obtención de la evidencia necesaria para examinar los distintos componentes de la entidad auditada. El auditor planifica para determinar de manera efectiva y eficiente la forma de obtener los datos necesarios e informar acerca de la gestión de la entidad, la naturaleza y alcance de la planificación puede variar según el tamaño de la entidad, el volumen de sus operaciones, la experiencia del auditor y el nivel organizacional.

La planificación es la primera fase del proceso de la auditoría y de su concepción dependerá la eficiencia y efectividad en el logro de los objetivos propuestos, utilizando los recursos estrictamente necesarios. La planificación será cuidadosa y creativa, positiva e imaginativa, considerará alternativas y seleccionará los métodos más apropiados para realizar las tareas, por tanto, esta actividad recaerá en los miembros más experimentados del grupo.

  • Ejecución del trabajo de auditoria


Los elementos fundamentales relativos a la ejecución del trabajo de auditoría, son los relacionados con la acumulación y evaluación de evidencia lo suficientemente que permita al auditor estructurar su opinión relativa a los estados financieros.

A si mismo se debe comprender y evaluar si el control interno ofrece la confiabilidad y su previa planificación en cuanto al desarrollo del examen, son:
El auditor debe de planear la auditoria de modo de que el trabajo se desempeñe de una manera efectiva. Planear una auditoria implica establecer las estrategias generales de auditoria para el trabajo y desarrollar un plan de auditoria, para reducir el riesgo a un nivel aceptable bajo.

El Auditor debe obtener una evidencia adecuada en grado suficiente mediante la inspección, observación, indagación, confirmación para contar una base que nos permita dar una operación de los Estados Financieros sujetos al examen.
  •   Informes

El informe de auditoría, es la forma en que se concreta el trabajo realizado por el auditor durante el período de visita al cliente y el tiempo de trabajo en oficina. El informe de Auditoría en su preparación, como factores relevantes, debe considerar lo siguiente:
·  La información financiera debe haber sido preparada utilizando principios de contabilidad generalmente aceptados.
·         Estos principios deben haber sido aplicados uniformemente.
·         Se refiere a la presentación razonable de la situación financiera, los resultados y el flujo de efectivo.
·         Hacer referencia a otros auditores en el informe de auditoría, cuando corresponda.
·         Información financiera comparativa

  •  Actividades de seguimiento


El auditor de sistemas de información deberá solicitar y evaluar la información apropiada con respecto a hallazgos, conclusiones y recomendaciones relevantes anteriores para determinar si se han implementado las acciones apropiadas de manera oportuna.


  • Bibliografias

  1. https://pyme.lavoztx.com/pasos-para-escribir-un-informe-de-auditora-4582.htm
  2. https://www.ccpm.org.mx/colegio/2012/marzo/images/ensayo_universitario/archivos/KARLA%20CRISTINA%20GARCIA%20GONZALEZ.pdf
  3. https://www.aiteco.com/administracion-publica/auditoria-organizacional/
  4. http://auditoriadesistemascontaduriaucc.blogspot.mx/2012/03/etica-del-auditor-la-etica-profesional.html
  5. https://www.acuacar.com/Portals/0/COLMENA%20PRESENTACION1.pdf
  6. http://www.contraloria.gob.ec/documentos/normatividad/MGAG-Cap-V.pdf
  7. https://prezi.com/6xptwbxmh4-m/normas-relativas-a-la-ejecucion-del-trabajo/
  8. https://blogauditoria.files.wordpress.com/2009/11/informe-de-auditoria.pdf
Publicado por en No hay comentarios:

sábado, 3 de febrero de 2018

Tarea 1. Auditoria en Sistemas


LIC. EN INFORMÁTICA EMPRESARIAL


OCTAVO CUATRIMESTRE

DOCENTE:
Higareda Cisneros Nicolás

MATERIA:
Auditoria en Informática

PRESENTA:
Judith Irais Martínez Sánchez
Federico Gonzáles Engaví
Laura López Padilla

Auditoria en Sistemas



Universidad de Londres Querétaro, febrero de 2018

INTRODUCCIÓN


La dificultad en el manejo de grandes volúmenes de información, la necesidad de disponer de información integra, oportuna, segura y confiable, que dio origen a la revolución informática, la cual ha generado una creciente dependencia para las empresas y usuarios en general, que se benefician diariamente de ella con el registro y procesamiento de operaciones; por consiguiente surge la necesidad de ejercer control en éste campo y es a través de la auditoria de sistemas la encargada de estudiar, analizar y asesorar todo lo relacionado al control del área de sistemas y los recursos involucrados en su desarrollo.
La auditoría de sistemas de información es muy compleja y por tanto es necesario contar con ciertas habilidades que te permitan a provechar al máximo este tipo de auditorías y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con la práctica la habilidad necesaria para realizar una correcta auditoría de sistemas de información.

ANTECEDENTES


El origen de la Auditoria, empieza como una necesidad social, proveniente del desarrollo de la economía. Cuando la civilización occidental logro su paso de la Edad Media al periodo del Renacimiento, no se veían grandes transacciones de dinero, pero se dio inicio entre los reinos al préstamo de dinero, el cual tomo gran importancia, creando así, la necesidad de poder contar con una persona que fuera imparcial y pudiera dar fe de la transacción.

No solo en ese medio fue notorio su origen, después de la Segunda Guerra Mundial, el ejército tuvo que afrontar una serie de cambios tanto tecnológicos, como de procesos, que necesitaron de revisiones paulatinas, que ofrecieran la certeza de una buena implementación y de correctos estándares de seguridad que brindaran confiabilidad en el momento de su aplicación o uso, fue por ello que a pesar de no saber realmente como se desarrollaba, adaptaron la metodología de auditorías de contadores a sus procesos.

Lo anterior, demuestra que la auditoria empezó como aquella necesidad de control para evitar errores, desfalcos o previniendo que algunas personas se apropiaran de riquezas que no les pertenecían, sin embargo por el año de 1862, fue donde por primera vez, aparece la profesión de Auditor o la actividad de Auditoria, bajo la supervisión de la Ley Británica de Sociedades Anónimas, fue a partir de este momento a principios del siglo XX, que la Profesión de Auditoria fue tomando posición e importancia dentro del desarrollo de la economía de los países.



SITUACIÓN ACTUAL


Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Es indispensable tomar en cuenta que, para hacer una adecuada planeación de la auditoria en sistemas de información, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

 

CUESTION RETROSPECTIVA


·         Requerimiento de las NIA
En la actualidad, el auditor externo como parte de sus procedimientos de auditoría en cumplimiento con las Normas Internacionales de Auditoría (NIA), lleva a cabo procedimientos sobre los sistemas de TI, para lo cual se auxilia de expertos en el conocimiento de tecnologías de información, utilizando, en algunos casos, ciertos softwares que le sirven para manipular y analizar Bases de Datos (BD) con el objeto de obtener evidencia de auditoría suficiente y adecuada sobre los controles generales de los sistemas TI, de la seguridad de los mismos y del procesamiento de datos en los diferentes procesos de lo entidad (inventarios y costo de ventas, cuentas por cobrar y ventas, cuentas por pagar, nóminas, proceso contable de cierre, etcétera).
Para llevar a cabo su trabajo el auditor externo entenderá los sistemas de TI para identificar los riesgos de errores materiales en la información financiera y establecer los procedimientos de auditoria de TI que mitiguen los mismos. Para su evaluación tomará en cuenta cómo se procesa la información en los sistemas para obtener los diferentes reportes que se emiten, tal como se muestra en la gráfica siguiente:
·         Requerimientos futuros para los auditores
Hoy el International Auditing and Assurance Standards Board (IAASB) está trabajando en emitir normatividad para la auditoría de datos analíticos Audit Data Analytics (ADA). Se estima que en el mes de junio de 2016 se emita un documento para su auscultación, y que sea pronunciado para su uso en 2017.
A continuación, se presenta una síntesis de los aspectos relevantes del proyecto ADA.
El auditor cuando realice una auditoría de conformidad con las NIA, deberá auditar los datos analíticos (ADA), con el propósito de:
·         Descubrir y analizar los patrones de transacciones de los diferentes procesos que generan registros contables.
·         Identificar anomalías y comportamientos fuera de los patrones.
·         Extraer información que le sea útil de los datos relacionados con la materia objeto de una auditoría a través del análisis y visualización del procesamiento de datos para el propósito de planeación o realización de la auditoría, y así tener:
·         Una cobertura mejorada de su trabajo.
·         Un enfoque mejorado del riesgo y perspectiva de los ADA.
·         Un apoyo al escepticismo profesional en cuanto al uso de tecnología.
El auditor será requerido a aplicar las NIA sobre ADA a las áreas clave, considerando los siguientes procedimientos:
·         Aplicar estándares de procedimientos analíticos y de evaluación de riesgos.
·         Definir lo que constituye evidencia de auditoría (pruebas de auditoría electrónica).
·         Cuantificar la evidencia de auditoría; poblaciones enteras vs. muestreo.
·         Validar los datos de la BD en cuanto a integridad de datos y transacciones y exactitud en la aplicación de patrones (por ejemplo: ventas y precios aprobados de venta).
·         Evaluar los controles sobre TI (por ejemplo: gestión del cambio, gestión de los procesos de acceso, etcétera).
·         Cumplir con ciertos requisitos de documentación (por ejemplo: evaluación de controles generales, seguridad de los sistemas de información tecnológica o efectuar pruebas sobre las transacciones automatizadas).
·         Controlar las pruebas que lleve a cabo. Naturaleza y relevancia, por ejemplo, corroborar universos de transacciones con ciertos patrones, como ventas o validar datos clave de las ADA (por ejemplo, precios de venta autorizados o clientes vigentes y al corriente en sus pagos).

IMPORTANCIA DE LAS AUDITORIAS EN SISTEMAS



Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo, por lo que respecta a la tecnología de información, es decir, software, hardware, sistemas de información, investigación tecnológica, etc. Esta representa una herramienta estratégica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado, en ámbito de los sistemas de información y tecnologías un alto porcentaje de las empresas tienen problemas en el manejo y control, tanto de los datos como de los elementos que almacenan, procesan y distribuyen.
El propósito de la revisión de la auditoria en informática, es el verificar que los recursos, es decir, información, energía, dinero, equipo, personal, programas de computo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.
Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente en informática, se ha mostrado interés por llegar a la misma meta sin importar el costo y los problemas de productividad.

ESTANDARES DE LA AUDITORIA EN SISTEMAS


1.      Directrices Gerenciales de COBIT , desarrollado por la information Systems Audit and Control Association (ISACA):

ü  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

2.      The Management of the Control of data Information Tecnology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):

ü  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: Administración general, gerentes de sistemas, dueños, gerentes de sistemas, dueños, agentes usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento de control, en términos de objetivos estándares y técnicas mínimas a considerar.

3.      Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):

ü  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

4.      SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el (CICA):

ü  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de información es confiable.

5.      Modelo de Evolución de Capacidades de Software (CMM), desarrollado por el instituto de ingeniería de Software (SEI):

ü  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT:

6.      Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnologías de Información (ITRB):

ü  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estrategia de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

7.      Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE - CMM), desarrollado por la agencia de seguridad nacional (NSA).

ü  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las practicas generalmente aceptadas observadas en las organizaciones.

CONCLUSIÓN


Las auditorias informáticas nos permiten de manera oportuna y completa, presentar los resultados a la alta gerencia para la toma de decisiones
Los auditores tienen un gran reto como estar capacitados constantemente y especializados, para así cumplir con los requerimientos técnicos como de software que Audit Data Analytics pueda pedir. El auditor del siglo XXI debe empaparse de todos los nuevos recursos tecnológicos que las empresas están utilizando en la actualidad para controlar y registrar sus transacciones. Por ello, las auditorías de las ADA son un reto muy importante para el profesional que lleva a cabo auditoría.


BIBLIOGRAFIA

  • Alonso Tamayo. (2001). auditoria de sistemas una visión práctica. En auditoria de sistemas una visión practica (109). Colombia: universidad nacional de Colombia .
  • Revista Contaduría Pública www.contaduriapublica.org.mx  del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
  • Enrique Hernández Hernández. (1993). auditoria en informática un enfoque metodológico. 1993, de UANL Sitio web: http://eprints.uanl.mx/6977/1/1020073604.PDF
  • http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
  • http://repository.unimilitar.edu.co/bitstream/10654/13537/1/Importancia%20de%20las%20Auditorias.pdf




Publicado por en 1 comentario:
Suscribirse a: Entradas (Atom)