Upload
maklg
View
1.403
Download
0
Embed Size (px)
Citation preview
Abril de 2011
Realizado y diseño Por:
Ángel Almérida
Marian Páez
Keyla Ortega
Luis Franco
Gladis Pérez
Sección: G-003-N
Ingeniería de Sistemas
La Auditoría es una función de dirección cuya finalidad es analizar y apreciar, con
vistas a las eventuales acciones correctivas, el control interno de las
organizaciones para garantizar la integridad de su patrimonio, la veracidad de su
información y el mantenimiento de la eficacia de sus sistemas de gestión.
Consiste en la revisión y evaluación de los controles, sistemas, procedimientos de
informática, de los equipos de cómputo, su utilización, eficiencia y seguridad, de la
organización que participa en el procesamiento de la información, a fin de que por
medio de conocimientos profesionales se logre una utilización más eficiente y
segura de la información que servirá para la adecuada toma de decisiones.
Mediante una revisión adecuada del sistema de procesamiento electrónico de
datos y el uso de formatos bien diseñados para su captura, el auditor puede lograr
un mejor conocimiento de los procedimientos para el control del cliente.
"una actividad independiente que tiene lugar
dentro de la empresa y que está encaminada a la revisión de operaciones
contables y de otra naturaleza, con la finalidad de prestar un servicio a la
dirección".
La auditoría interna se ocupando
fundamentalmente del sistema de control
interno, es decir, del conjunto de medidas,
políticas y procedimientos establecidos en
las empresas para proteger el activo,
minimizar las posibilidades de fraude,
incrementar la eficiencia operativa y optimizar la calidad de la información
económico-financiera.
Es desarrollada
por auditores externos independientes, los cuales centran su trabajo
principalmente en el análisis de los estados financieros u otra situación
determinada que desee revisar la empresa que solicita este servicio, así como en
la verificación muy general de sus operaciones en un ejercicio determinado.
1) Las Auditorías Financieras: las que se
hacen con el fin de asegurar el adecuado
registro de las transacciones, el
cumplimiento de los principios de
Contabilidad generalmente aceptados y
los planes y regulaciones contables y financieros, que obligan a la
organización.
2) Las Auditorías Verificativas o de Cumplimiento: tratan de asegurar a la
dirección de la organización, que sus políticas, programas y normas se
cumplen razonablemente en todo el ámbito de la misma.
3) La Auditoría Informática: evalúa y
comprueba los controles y procedimientos
informáticos más complejos, desarrollando y
aplicando técnicas mecanizadas de auditoría,
incluyendo el uso de software.
4) La Auditoría Operativa o de Gestión: es una revisión que comprende las
actividades, sistemas y controles dentro de la empresa para conseguir
economía, eficiencia, eficacia u otros objetivos.
5) La Auditoría Técnica o de Métodos: es una revisión de los métodos y
técnicas utilizadas en la realización de las operaciones de la empresa.
Como en cualquier otra actividad auditora, la auditoría de sistemas de
información
consta de las tres fases son las siguientes:
Planificación: El auditor determina la
forma más efectiva y eficiente de obtener la
evidencia necesaria para alcanzar los
objetivos de la auditoría de sistemas de
información y respaldar el informe de
auditoria.
Ejecución: El auditor de sistemas probará la
efectividad de los controles TI que sean
relevantes para los objetivos de la auditoría.
Informe: El auditor concluirá sobre
el efecto de cualquier debilidad
detectada en los controles TI
relacionados con los objetivos de
auditoría e informará sobre los
resultados de su auditoría.
El objetivo principal es ayudar a la dirección en el cumplimiento de sus funciones y
responsabilidades, proporcionándole análisis objetivos, evaluaciones,
recomendaciones y todo tipo de comentarios pertinentes sobre las operaciones
examinadas.
a) Verificar la confidencialidad o grado de racionabilidad de la información
contable y extracontable, generada en los diferentes niveles de la
organización.
b) Vigilar el buen funcionamiento del sistema de control interno (lo cual
implica su relevo y evaluación), tanto el sistema de control interno contable
como el operativo.
c) Determinar la razonabilidad de los estados financieros una información
suplementaria con la finalidad de emitir una opinión profesional.
d) Evaluación de los objetivos de las metas trazadas.
e) Comprobación del funcionamiento de la Administración
f) El control interno, de la evaluación de las metas trazadas
por organismos públicos.
g) Determinar el grado de confiabilidad de los estados
financieros.
h) Determinar las irregularidades en el manejo de los
recursos humanos.
i) Evaluación de la gestión empresarial, el cumplimiento de las medidas
de austeridad.
j) Evaluación contable y presupuestal si muestra confiabilidad.
K) Efectuar un seguimiento con las recomendaciones dadas.
1. Entendimiento global e integral del negocio, de sus puntos claves, áreas
críticas, entorno económico, social y político.
2. Entendimiento del efecto de los sistemas en la organización.
3. Entendimiento de los objetivos de la auditoría.
4. Conocimiento de los recursos de
computación de la empresa.
5. Conocimiento de los proyectos de
sistemas.
“La incertidumbre que ocurra un evento que podría tener un impacto en el
logro de los objetivos”.
Calidad.Costo.Oportunidad.
Requerimentos de Calidad
Efectividad y eficiência operacional.Confiabilidad de los reportes Financieros.Cumplimiento de leyes y regulaciones.
Requerim entos Financieros
Confidencialidad.Integridad.Disponibilidad.
Requerim entos de Seguridad
Los riesgos cuando se materializan, se denominan errores, irregularidades u
omisiones, los cuales pueden generar una pérdida monetaria, en la imagen de la
empresa o incumplimiento de normativa externa.
Riesgo Inherente: Riesgo inherente son aquellos riesgos propios de la
materia y/o componentes de ésta. Se entiende que una materia por su naturaleza
tiene riesgos que surgen por diversas fuentes, como los errores, irregularidades o
fallas que pudieran ser importantes en forma individual o en conjunto con otros
riesgos. Los riesgos inherentes a la materia pueden tener o no controles
elaborados por la dirección para mitigar su probabilidad o su impacto.
Los riesgos inherentes a la materia bajo análisis pueden ser relativos al entorno,
ambiente interno, procesos, información, entre otros.
Riesgo de Crédito: Exposición a una pérdida real o el
costo de oportunidad como consecuencia del
incumplimiento de pago de una persona natural o
jurídica.
Riesgo Financiero: ocurrencia de un imprevisto por variaciones o cambios
en la economía local o internacional que podría afectar los descalces de
caja o posiciones asumidas por inversiones y su liquidez, como asimismo
los descalces globales de activos.
Riesgo Operacional: Se define como el riesgo de pérdida debido a la
inadecuación o fallas en los procesos, el personal y los sistemas internos o
bien a causa de acontecimientos externos (fraudes, daños activos
materiales, fallas en procesos,etc). Incluye riesgos legales y normativos.
Riesgo de Integridad de la Información;
Agrupa todos los riesgos asociados con la autorización, integridad, y exactitud de
las transacciones según se ingresan, se procesan, se resumen y se informan en
los sistemas computacionales de una organización, manifestándose en los
siguientes componentes de un sistema:
Interfaz usuaria; se refiere a si existen
restricciones que hagan que los
trabajadores de una organización estén
autorizados a desarrollar funciones de
negocio sobre necesidad del negocio y la
necesidad de lograr una segregación de
funciones razonable.
Procesamiento; se relacionan a la
existencia de controles que aseguran que el procesamiento de datos
se ha completado y realizado a tiempo.
Riesgos de Tecnología de la Información
Interfase: Los riesgos en esta área generalmente se relacionan con la
existencia de controles adecuados, preventivos o de detección, que
aseguren que los datos que han sido procesados y/o resumidos sean
transmitidos adecuada y completamente a otro sistema de aplicación que
se alimente de estos datos/información y sean procesados por dicho
sistema.
Administración del Cambio: Los riesgos en esta área pueden ser
generalmente considerados parte del Riesgo de Infraestructura, pero ellos
impactan significativamente sobre los sistemas de aplicación. Estos riesgos
están asociados con procesos inadecuados de administración del cambio
incluyendo tanto la participación y entrenamiento del usuario como el
roceso por el cual los cambios de cualquier aspecto del sistema de
aplicación son comunicados e implementados.
Error de Procesamiento; se refiere a si existen procesos
adecuados que aseguren que todas las excepciones de entrada y
procesamiento de datos que se capturan, son corregidas y
reprocesadas en forma precisa, íntegra y oportuna..
Datos; se relacionan a la existencia de controles de administración
de datos inadecuados que incluyen seguridad/integridad de los datos
procesados.
2. Riesgo de Acceso; puede ocurrir en cada uno o todos de los
siguientes cinco niveles:
Red, el riesgo en esta área está
generado por el riesgo de acceso
inapropiado a la red a pc´s y
servidores.
Ambiente de Procesamiento, el
riesgo se genera con el acceso
indebido al ambiente de procesamiento
a los programas y datos que están
almacenados en ese ambiente.
Sistemas de Aplicación, está dado por una inadecuada
segregación de funciones que podría ocurrir si el acceso a los
sistemas estuviese concedido a personas con necesidades de
negocio sin definiciones claras.
Acceso Funcional, dentro de aplicaciones (Código fuente)