Documente Academic
Documente Profesional
Documente Cultură
Sección: 1430233
Auditoría Informática
Profesor: Autores:
Contenido.................................................................................................2
Introducción..............................................................................................4
UNIDAD I..................................................................................................5
FUNDAMENTACIÓN DE LA AUDITORÍA............................................5
Historia de la auditoría......................................................................5
Alcance..............................................................................................5
Finalidad de la auditoría....................................................................6
Normas de auditoría..........................................................................7
Riesgos en auditorías......................................................................23
Unidad II.................................................................................................24
Unidad III................................................................................................29
2
El auditor.............................................................................................29
Rol de auditor..................................................................................30
Pruebas...........................................................................................36
Tipos de pruebas.............................................................................36
Conclusión..............................................................................................38
Referencia Bibliográfica..........................................................................39
3
Introducción
Para que una empresa pueda conocer sus puntos débiles, esta debe
investigar lo que está pasando internamente en cada una de sus áreas. La
auditoría interna es una herramienta que permite generar los informes que se
necesitan para lograr descubrir las falencias de la empresa.
4
UNIDAD I
FUNDAMENTACIÓN DE LA AUDITORÍA
Historia de la auditoría
Alcance
5
Definir el alcance es un punto crucial en el proceso de auditoría, debido a
que permite delimitar con precisión el límite de las responsabilidades que pueda
tener una determinada área en la producción general de la organización.
Finalidad de la auditoría
6
El control interno según el COSO
Por medio del COSO se puede llevar el control interno de una empresa en
diferentes ámbitos:
Tener una visión general del riesgo, así como de los planes de contingencia
que puedan mitigarlos.
Propone la administración de los riesgos de tal forma que pase a ser parte
de la cultura grupal de la organización.
Normas de auditoría
GAAS
7
1 Normas generales
a La auditoría debe ser realizada por una persona o personas que cuenten
con capacitación técnica adecuada y la competencia como auditor.
8
c Las revelaciones informativas en los estados financieros deben
considerarse razonablemente adecuadas a no ser que se indique otra cosa
en el informe.
9
la misma. Esto implica que, sobre los miembros, que forman el comité de
auditores, recae la responsabilidad confirmar la independencia.
6. Prohibición de préstamos personales a directores y ejecutivos.
7. Transparencia de la información de acciones y opciones, de la compañía en
cuestión, que puedan tener los directivos, ejecutivos y empleados claves de la
compañía y consorcios, en el caso de que posean más de un 10% de acciones
de la compañía. Asimismo, estos datos deben estar reflejados en los informes
de las compañías.
8. Endurecimiento de la responsabilidad civil, así como las penas, ante el
incumplimiento de la Ley. Se alargan las penas de prisión, así como las multas
a los altos ejecutivos que incumplen y/o permiten el incumplimiento de las
exigencias en lo referente al informe financiero.
DNAI
10
COSO
Objetivos
Objetivo
11
establecimiento de un marco técnico normativo para la evaluación de la gestión
pública y el ejercicio de la actividad del auditor.
Ámbito de Aplicación
Finalidad
12
Normas relativas al auditor
Formación
13
3. El funcionamiento, organización y características del Sector Público.
Experiencia
Actualización
Independencia
Imparcialidad
14
Apariencia de imparcialidad
El auditor no sólo debe ser imparcial, sino que debe evitar cualquier actitud o
situación que permita a terceros dudar de su independencia.
Ausencia de incompatibilidad
Diligencia profesional
15
Supervisión
El trabajo efectuado por todas las personas a todos los niveles, así como los
juicios por ellas formulados y los informes emitidos, deben ser críticamente
supervisados.
Delimitación de la responsabilidad
16
Limitaciones de alcance
Secreto profesional
Finalidad de la información
Los datos relativos a los entes fiscalizados obtenidos por los auditores en el
ejercicio de sus funciones no deberán ser utilizados para fines distintos de la
propia fiscalización.
Conservación de la información
17
Seguridad de los sistemas
18
Vulnerabilidad de los sistemas
De ellos los más críticos son los datos, el hardware y el software. Es decir,
los datos que están almacenados en el hardware y que son procesados por las
aplicaciones software.
Incluso de todos ellos, el activo más crítico son los datos. El resto se puede
reponer con facilidad y los datos, sabemos que dependen de que la empresa
tenga una buena política de copias de seguridad y sea capaz de reponerlos en el
estado más próximo al momento en que se produjo la pérdida. Esto puede
suponer para la empresa, por ejemplo, la dificultad o imposibilidad de reponer
dichos datos con lo que conllevaría de pérdida de tiempo y dinero.
Clasificación:
19
1. Diseño
a. Debilidad en el diseño de protocolos utilizados en las redes.
b. Políticas de seguridad deficientes e inexistentes.
2. Implementación
a. Errores de programación.
b. Existencia de “puertas traseras” en los sistemas informáticos.
c. Descuido de los fabricantes.
3. Uso
a. Mala configuración de los sistemas informáticos.
b. Desconocimiento y falta de sensibilización de los usuarios y de los
responsables de informática.
c. Disponibilidad de herramientas que facilitan los ataques.
d. Limitación gubernamental de tecnologías de seguridad.
Vulnerabilidades conocidas
20
Vulnerabilidad de Cross Site Scripting (XSS).
Las ventanas engañosas son las que dicen que eres el ganador de tal o cual
cosa, lo cual es mentira y lo único que quieren es que el usuario de información.
Hay otro tipo de ventanas que si las sigues obtienen datos del ordenador para
luego realizar un ataque.
21
comunicación que se utiliza en cada plataforma, no es solo una página de
información sino de comunicación.
Sus elementos deben tener unos buenos canales de comunicación entre los
usuarios, así como también la capacidad de recibir archivos de parte del usuario y
una base de datos para guardarlos, también debe permitir el movimiento de
información de una manera ordenada en forma de links.
Pudiendo destacar que las plataformas comerciales que son las que
necesitan del pago de una licencia y las de Software libre que son plataformas que
se adquieren gratuitamente.
Riesgos en auditorías.
22
23
Unidad II
La clasificación según el autor Carlos Muñoz Razo (2002) está integrada por
la siguiente estructura:
24
desempeño de las actividades, operaciones, y funciones que se realizan en la
empresa y sus áreas administrativas. Administración, operación, funciones.
25
2. Auditoría con la computadora: se realiza también a las actividades del propio
centro de sistemas y a sus componentes.
3. Auditoría sin la computadora: están orientados a la evaluación tradicional del
comportamiento y validez de las transacciones económicas, administrativas y
operacionales de un área de cómputo, pero sin el uso directo de éstos.
4. Auditoría a la gestión informática: se realiza también con el fin de verificar el
cumplimiento de las funciones y actividades asignadas a los funcionarios,
empleados y usuarios de las áreas de sistematización.
5. Auditoría al sistema de cómputo: se enfoca únicamente a la evaluación del
funcionamiento y uso correcto del equipo informático, hardware, software y
periféricos asociados.
6. Auditoría alrededor de la computadora: métodos y procedimientos de acceso y
procesamiento de datos, la emisión y almacenamiento de resultados, las
actividades de planeación y presupuestación.
7. Auditoría de la seguridad de sistemas computacionales: revisión de los planes
de contingencia y medidas de protección para la información.
8. Auditoría a los sistemas de redes: revisión de las operaciones, actividades y
funciones que permiten compartir las bases de datos, instalaciones, software y
hardware de un sistema de red.
9. Auditoría integral a los centros de cómputo: evaluación exhaustiva, sistemática
y global que se realiza por medio de un equipo multidisciplinario de auditores,
de todas las actividades y operaciones de un centro de sistematización.
10.Auditoría ISO-9000 a los sistemas computacionales: realizada únicamente por
auditores especializados y certificados en las normas y procedimientos ISO-
9000, aplicando exclusivamente los lineamientos, procedimientos e
instrumentos establecidos por esta asociación.
11.Auditoría outsourcing: evaluar la calidad en el servicio de asesoría o
procesamiento externo de información que proporciona una empresa a otra.
12.Auditoría ergonómica de sistemas computacionales: evaluar la correcta
adquisición y uso del mobiliario, equipo y sistemas, a fin de proporcionar el
bienestar, confort y comodidad que requieren los usuarios de los sistemas
computacionales de la empresa.
26
POR ÁREAS DE ESPECIALIZACIÓN ESPECÍFICAS
27
1. Realizar una evaluación independiente de las actividades, áreas o funciones
especiales de una institución, con el propósito de proponer objetivamente el
uso razonable de sus operaciones y obtener mejores resultados a través de
una adecuada toma de decisiones por parte de las autoridades y el personal
competente.
2. Hacer una revisión especializada y autónoma, según su área de
profesionalización, del aspecto contable, financiero y operacional de las
distintas áreas de la empresa.
3. Determinar y valorar el cumplimiento de los planes, programas, políticas,
normas y lineamientos que regulan la actuación de los empleados y
funcionarios de una institución, así como evaluar las actividades que se
desarrollan en sus áreas y unidades administrativas.
4. Uso de herramientas y sistemas tecnológicos como apoyo de sus labores con
el fin de agilizar los procesos y la presentación de resultados en corto tiempo.
Por ende, exige el continuo estudio y profesionalización del auditor.
28
Unidad III
El auditor
29
Principio de confianza. El auditor debe ser confiable, tanto de hechos y
palabra.
Principio de criterio propio. El auditor NO debe dejarse influir por las opiniones
o instrucciones de otros, debe de actuar según su propia opinión.
Principio de discreción. Debe de ser reservado tanto en hechos y palabras, no
hablar de más.
Principio de economía. No debe inducir a gastos innecesarios.
Principio de capacitación continua. Este obligado a seguirse preparando dentro
de su rubro.
Principio de fortalecimiento y respeto a su profesión. Debe de cuidar el valor de
sus trabajos y conclusiones.
Principio de Independencia. Debe de ser autónomo, autosuficiente y no
depender de otros para realizar su tarea.
Principio de información suficiente. El auditor debe de brindar información
suficiente, clara y precisa en sus resultados.
Principio de Integridad Moral. El auditor debe de ser íntegro y evitar participar
en actos de corrupción personal y a terceros
Rol de auditor
Podemos dar a entender que el rol del auditor es de vital importancia ya que
debe de ser una persona muy capacitada que cuenten con los conocimientos,
experiencia, actitudes y aptitudes necesarios para realizar este tipo de trabajo, a
fin de cumplirlo tal y como lo demandan las empresas y la sociedad.
30
Personal involucrado y conformación
También se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite la información o bien se efectúe alguna entrevista
de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto
de vista de la dirección general, sino también el del personal dentro de la empresa
o el sistema.
31
Normas para la capacitación del Auditor
32
normas, primero deben ser reguladas por algún organismo especializado, el cual
previamente las estudia, explica y, ya debidamente comprobadas, las difunde y
establece. Estas normas se pueden aplicar en los siguientes puntos:
1 Entrevistas
2 Cuestionario
3 Encuestas
4 Observación
5 Inventarios
6 Muestreo
7 Experimentación
1 Examen
2 Inspección
3 Confirmación
4 Comparación
5 Revisión documental
o Técnicas especiales para la auditoría de sistemas
6 Guías de evaluación
7 Ponderación
8 Simulación
9 Evaluación
33
10 Diagrama del círculo de sistemas
11 Diagramas de sistemas
12 Matriz de evaluación
13 Programas de verificación
14 Seguimiento de programación
34
d Análisis riesgos/amenazas/impacto y controles informáticos disponibles y
recomendados.
4 Conocimiento del sistema de información utilizado
a Descripción del sistema de información
b Módulos del sistema
c Reportes generados
Pruebas
Son los instrumentos y medios con los que el auditor pretende obtener la
evidencia de auditoría. Se encuentran muy relacionadas con los procedimientos
de auditoría.
Tipos de pruebas
35
Las pruebas de cumplimiento
Las pruebas de cumplimiento son las que tratan de obtener evidencia sobre
el cumplimiento y aplicación correcta de los procedimientos de control interno
existentes.
36
Conclusión
37
Referencia Bibliográfica
38