sábado, 3 de febrero de 2018

Tarea 1. Auditoria en Sistemas


LIC. EN INFORMÁTICA EMPRESARIAL


OCTAVO CUATRIMESTRE

DOCENTE:
Higareda Cisneros Nicolás

MATERIA:
Auditoria en Informática

PRESENTA:
Judith Irais Martínez Sánchez
Federico Gonzáles Engaví
Laura López Padilla

Auditoria en Sistemas



Universidad de Londres Querétaro, febrero de 2018

INTRODUCCIÓN


La dificultad en el manejo de grandes volúmenes de información, la necesidad de disponer de información integra, oportuna, segura y confiable, que dio origen a la revolución informática, la cual ha generado una creciente dependencia para las empresas y usuarios en general, que se benefician diariamente de ella con el registro y procesamiento de operaciones; por consiguiente surge la necesidad de ejercer control en éste campo y es a través de la auditoria de sistemas la encargada de estudiar, analizar y asesorar todo lo relacionado al control del área de sistemas y los recursos involucrados en su desarrollo.
La auditoría de sistemas de información es muy compleja y por tanto es necesario contar con ciertas habilidades que te permitan a provechar al máximo este tipo de auditorías y hacer que su uso sea el adecuado y obtener el beneficio de adquirir con la práctica la habilidad necesaria para realizar una correcta auditoría de sistemas de información.

ANTECEDENTES


El origen de la Auditoria, empieza como una necesidad social, proveniente del desarrollo de la economía. Cuando la civilización occidental logro su paso de la Edad Media al periodo del Renacimiento, no se veían grandes transacciones de dinero, pero se dio inicio entre los reinos al préstamo de dinero, el cual tomo gran importancia, creando así, la necesidad de poder contar con una persona que fuera imparcial y pudiera dar fe de la transacción.

No solo en ese medio fue notorio su origen, después de la Segunda Guerra Mundial, el ejército tuvo que afrontar una serie de cambios tanto tecnológicos, como de procesos, que necesitaron de revisiones paulatinas, que ofrecieran la certeza de una buena implementación y de correctos estándares de seguridad que brindaran confiabilidad en el momento de su aplicación o uso, fue por ello que a pesar de no saber realmente como se desarrollaba, adaptaron la metodología de auditorías de contadores a sus procesos.

Lo anterior, demuestra que la auditoria empezó como aquella necesidad de control para evitar errores, desfalcos o previniendo que algunas personas se apropiaran de riquezas que no les pertenecían, sin embargo por el año de 1862, fue donde por primera vez, aparece la profesión de Auditor o la actividad de Auditoria, bajo la supervisión de la Ley Británica de Sociedades Anónimas, fue a partir de este momento a principios del siglo XX, que la Profesión de Auditoria fue tomando posición e importancia dentro del desarrollo de la economía de los países.



SITUACIÓN ACTUAL


Actualmente la auditoria de los sistemas de información es definida como cualquier auditoria que abarque la revisión y evaluación de todos los aspectos de los sistemas automáticos de procesamiento de la información, incluyendo los procedimientos no automáticos relacionados con ellos y las interfaces correspondientes.
Es indispensable tomar en cuenta que, para hacer una adecuada planeación de la auditoria en sistemas de información, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

 

CUESTION RETROSPECTIVA


·         Requerimiento de las NIA
En la actualidad, el auditor externo como parte de sus procedimientos de auditoría en cumplimiento con las Normas Internacionales de Auditoría (NIA), lleva a cabo procedimientos sobre los sistemas de TI, para lo cual se auxilia de expertos en el conocimiento de tecnologías de información, utilizando, en algunos casos, ciertos softwares que le sirven para manipular y analizar Bases de Datos (BD) con el objeto de obtener evidencia de auditoría suficiente y adecuada sobre los controles generales de los sistemas TI, de la seguridad de los mismos y del procesamiento de datos en los diferentes procesos de lo entidad (inventarios y costo de ventas, cuentas por cobrar y ventas, cuentas por pagar, nóminas, proceso contable de cierre, etcétera).
Para llevar a cabo su trabajo el auditor externo entenderá los sistemas de TI para identificar los riesgos de errores materiales en la información financiera y establecer los procedimientos de auditoria de TI que mitiguen los mismos. Para su evaluación tomará en cuenta cómo se procesa la información en los sistemas para obtener los diferentes reportes que se emiten, tal como se muestra en la gráfica siguiente:
·         Requerimientos futuros para los auditores
Hoy el International Auditing and Assurance Standards Board (IAASB) está trabajando en emitir normatividad para la auditoría de datos analíticos Audit Data Analytics (ADA). Se estima que en el mes de junio de 2016 se emita un documento para su auscultación, y que sea pronunciado para su uso en 2017.
A continuación, se presenta una síntesis de los aspectos relevantes del proyecto ADA.
El auditor cuando realice una auditoría de conformidad con las NIA, deberá auditar los datos analíticos (ADA), con el propósito de:
·         Descubrir y analizar los patrones de transacciones de los diferentes procesos que generan registros contables.
·         Identificar anomalías y comportamientos fuera de los patrones.
·         Extraer información que le sea útil de los datos relacionados con la materia objeto de una auditoría a través del análisis y visualización del procesamiento de datos para el propósito de planeación o realización de la auditoría, y así tener:
·         Una cobertura mejorada de su trabajo.
·         Un enfoque mejorado del riesgo y perspectiva de los ADA.
·         Un apoyo al escepticismo profesional en cuanto al uso de tecnología.
El auditor será requerido a aplicar las NIA sobre ADA a las áreas clave, considerando los siguientes procedimientos:
·         Aplicar estándares de procedimientos analíticos y de evaluación de riesgos.
·         Definir lo que constituye evidencia de auditoría (pruebas de auditoría electrónica).
·         Cuantificar la evidencia de auditoría; poblaciones enteras vs. muestreo.
·         Validar los datos de la BD en cuanto a integridad de datos y transacciones y exactitud en la aplicación de patrones (por ejemplo: ventas y precios aprobados de venta).
·         Evaluar los controles sobre TI (por ejemplo: gestión del cambio, gestión de los procesos de acceso, etcétera).
·         Cumplir con ciertos requisitos de documentación (por ejemplo: evaluación de controles generales, seguridad de los sistemas de información tecnológica o efectuar pruebas sobre las transacciones automatizadas).
·         Controlar las pruebas que lleve a cabo. Naturaleza y relevancia, por ejemplo, corroborar universos de transacciones con ciertos patrones, como ventas o validar datos clave de las ADA (por ejemplo, precios de venta autorizados o clientes vigentes y al corriente en sus pagos).

IMPORTANCIA DE LAS AUDITORIAS EN SISTEMAS



Siempre ha existido la preocupación por parte de las organizaciones por optimizar todos los recursos con que cuenta la entidad, sin embargo, por lo que respecta a la tecnología de información, es decir, software, hardware, sistemas de información, investigación tecnológica, etc. Esta representa una herramienta estratégica que representa rentabilidad y ventaja competitiva frente a sus similares en el mercado, en ámbito de los sistemas de información y tecnologías un alto porcentaje de las empresas tienen problemas en el manejo y control, tanto de los datos como de los elementos que almacenan, procesan y distribuyen.
El propósito de la revisión de la auditoria en informática, es el verificar que los recursos, es decir, información, energía, dinero, equipo, personal, programas de computo y materiales son adecuadamente coordinados y vigilados por la gerencia o por quien ellos designen.
Durante años se ha detectado el despilfarro de los recursos o uso inadecuado de los mismos, especialmente en informática, se ha mostrado interés por llegar a la misma meta sin importar el costo y los problemas de productividad.

ESTANDARES DE LA AUDITORIA EN SISTEMAS


1.      Directrices Gerenciales de COBIT , desarrollado por la information Systems Audit and Control Association (ISACA):

ü  Las Directrices Gerenciales son un marco internacional de referencias que abordan las mejores prácticas de auditoría y control de sistemas de información. Permiten que la gerencia incluya, comprenda y administre los riesgos relacionados con la tecnología de información y establezca el enlace entre los procesos de administración, aspectos técnicos, la necesidad de controles y los riesgos asociados.

2.      The Management of the Control of data Information Tecnology, desarrollado por el Instituto Canadiense de Contadores Certificados (CICA):

ü  Este modelo está basado en el concepto de roles y establece responsabilidades relacionadas con seguridad y los controles correspondientes. Dichos roles están clasificados con base en siete grupos: Administración general, gerentes de sistemas, dueños, gerentes de sistemas, dueños, agentes usuarios de sistemas de información, así como proveedores de servicios, desarrollo y operaciones de servicios y soporte de sistemas. Además, hace distinción entre los conceptos de autoridad, responsabilidad y responsabilidad respecto a control y riesgo previo al establecimiento de control, en términos de objetivos estándares y técnicas mínimas a considerar.

3.      Estándares de administración de calidad y aseguramiento de calidad ISO 9000, desarrollados por la Organización Internacional de Estándares (ISO):

ü  La colección ISO 9000 es un conjunto de estándares y directrices que apoyan a las organizaciones a implementar sistemas de calidad efectivos, para el tipo de trabajo que ellos realizan.

4.      SysTrust – Principios y criterios de confiabilidad de Sistemas, desarrollados por la Asociación de Contadores Públicos (AICPA) y el (CICA):

ü  Este servicio pretende incrementar la confianza de la alta gerencia, clientes y socios, con respecto a la confiabilidad en los sistemas por una empresa o actividad en particular. Este modelo incluye elementos como: infraestructura, software de cualquier naturaleza, personal especializado y usuarios, procesos manuales y automatizados, y datos. El modelo persigue determinar si un sistema de información es confiable.

5.      Modelo de Evolución de Capacidades de Software (CMM), desarrollado por el instituto de ingeniería de Software (SEI):

ü  Este modelo hace posible evaluar las capacidades o habilidades para ejecutar, de una organización con respecto al desarrollo y mantenimiento de sistemas de información. Consiste en 18 sectores clave, agrupados alrededor de cinco niveles de madurez. Se puede considerar que CMM es la base de los principios de evaluación recomendados por COBIT, así como para algunos de los procesos de administración de COBIT:

6.      Administración de sistemas de información: Una herramienta de evaluación práctica, desarrollado por la Directiva de Recursos de Tecnologías de Información (ITRB):

ü  Este es una herramienta de evaluación que permite a entidades gubernamentales, comprender la implementación estrategia de tecnología de información y comunicación electrónica que puede apoyar su misión e incrementar sus productos y servicios.

7.      Ingeniería de seguridad de sistemas – Modelo de madurez de capacidades (SSE - CMM), desarrollado por la agencia de seguridad nacional (NSA).

ü  Este modelo describe las características esenciales de una arquitectura de seguridad organizacional para tecnología de información y comunicación electrónica, de acuerdo con las practicas generalmente aceptadas observadas en las organizaciones.

CONCLUSIÓN


Las auditorias informáticas nos permiten de manera oportuna y completa, presentar los resultados a la alta gerencia para la toma de decisiones
Los auditores tienen un gran reto como estar capacitados constantemente y especializados, para así cumplir con los requerimientos técnicos como de software que Audit Data Analytics pueda pedir. El auditor del siglo XXI debe empaparse de todos los nuevos recursos tecnológicos que las empresas están utilizando en la actualidad para controlar y registrar sus transacciones. Por ello, las auditorías de las ADA son un reto muy importante para el profesional que lleva a cabo auditoría.


BIBLIOGRAFIA

  • Alonso Tamayo. (2001). auditoria de sistemas una visión práctica. En auditoria de sistemas una visión practica (109). Colombia: universidad nacional de Colombia .
  • Revista Contaduría Pública www.contaduriapublica.org.mx  del Instituto Mexicano de Contadores Públicos www.imcp.org.mx
  • Enrique Hernández Hernández. (1993). auditoria en informática un enfoque metodológico. 1993, de UANL Sitio web: http://eprints.uanl.mx/6977/1/1020073604.PDF
  • http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf
  • http://repository.unimilitar.edu.co/bitstream/10654/13537/1/Importancia%20de%20las%20Auditorias.pdf




1 comentario: