Embed Size (px)
Citation preview
IMPACTO DE LA TECNOLOGÍA INFORMÁTICA SOBRE LA AUDITORÍA
Universidad Tecnólogica de PanamáSistemas de Información y AuditoriaProf. Cristian Hernández
Integrantes: - Katherine Miranda- Lionel E Mendoza- Iván Chacón
ANTECEDENTES DE AUDITORIA.
• Expansión del comercio y sus operaciones obliga a establecer un mecanismos de control.
• Con este crecimiento es necesario un encargado de evaluar la veracidad y confiabilidad de las operaciones, surgiendo en ese momento el acto de auditar.
• El término auditor apareció a finales del siglo XVIII, en Inglaterra durante el reinado de Eduardo I.
Antecedentes de la Auditoría en Sistemas.• Surge de las empresas e instituciones
que tomaron conciencia de que la información que mantiene es vital para su propio progreso.
• Son elevados a la categoría de sistemas críticos.
• Por su naturaleza crítica, el enfoque de auditoría debe adoptar una perspectiva que se adecúe absolutamente a estos sistemas.
Antecedentes de la Auditoría en Sistemas.Años 50:• La introducción de las máquinas de
proceso de datos.• Sustituyen a los empleados en las
tareas repetitivas en el cálculo de nóminas y facturas de clientes.
• El auditor se limitaba a verificar la corrección de los datos de salida frente a los datos de entrada.
• Este tipo de auditoría se suele denominar auditoría alrededor del ordenador.
Antecedentes de la Auditoría en Sistemas.
Década de los 60:• Propugnaron un cambio en el enfoque, en
base a los resultados de baja calidad obtenidos en las auditorías de áreas de proceso de datos a través de ordenadores.
• Este cambio consistía fundamentalmente en la adaptación de los criterios para la evaluación del control interno, en los sistemas organizativos, financieros y contables, al centro de proceso de datos, concretamente, a la sala del ordenador. Esta etapa se suele denominar auditoría del ordenador.
Antecedentes de la Auditoría en Sistemas.A finales de los años 70:• comunicaciones entre ordenadores
en tiempo real. • la auditoría a través del ordenador.
En este enfoque se estudia también el tratamiento lógico de la información a través de los programas y las aplicaciones que los integran.
Antecedentes de la Auditoría en Sistemas.Inicio de los 80:• Aplicación de técnicas de tratamiento
de la información por medio de ordenadores.
• El auditor de sistemas de información empieza a ser también experto en el uso de lenguajes informáticos que le sirven para escribir, compilar y ejecutar programas para la consecución de pruebas y obtención de evidencia.
• Surge de este modo la denominada auditoría con el ordenador.
Antecedentes de la Auditoría en Sistemas.En la misma década de los 80:• se empieza a aplicar los principios
básicos de la auditoría operativa a la auditoría de los sistemas de información, dando lugar a la auditoría operativa de proceso de datos, que se centra principalmente en la eficacia y eficiencia del tratamiento automático de los datos.
IMPACTO DEL DESARROLLO TECNOLÓGICO EN AUDITORÍAAspectos que han inducido la necesidad de cambio en la función de auditoría. • Aspectos como la dinámica de los
mercados.• la automatización de los procesos.• el volumen y velocidad de las
operaciones.• la creciente disminución de
documentos impresos.• el manejo de terminología cada vez
más compleja.
IMPACTO DEL DESARROLLO TECNOLÓGICO EN AUDITORÍAAuditorías donde las herramientas utilizadas deben permitir identificar:• Mallas funcionales cada vez más
complejas, • las materias críticas a priorizar,• contribuir con medidas preventivas
que aseguren su correcto funcionamiento.
• Establecer esquemas de monitoreo que detecten oportunamente.
IMPACTO DEL DESARROLLO TECNOLÓGICO EN AUDITORÍAEquilibrio entre herramientas analíticas y de prueba al evaluar proceso:- Técnicas de evaluación de riesgos,- Flujogramación, - Planillas electrónicas, - Procesadores de texto, - Software para análisis de datos,
planificación de tareas, - Software especializado para revisión
de ambientes computacionales.
VENTAJAS DE LA AUDITORÍA ASISTIDA POR LA INFORMÁTICA.• Utilización de la computadora en la
ejecución de la auditoria.• Se amplía la cobertura del examen.• Se reduce el tiempo• Se minimiza el costo de las pruebas y
procedimientos de muestreo.
CONCEPTO DE AUDITORÍA TRADICIONAL• La auditoría no es más que el
proceso que comprende las tareas de revisión, evaluación y análisis ciertos procesos, dependiendo el área al que se aplique, donde el auditor debe estar encaminado a la búsqueda de fallas existentes, y a la vez buscar soluciones para estos problemas
DEFINICIÓN DE AUDITORIA DE SISTEMAS DE INFORMACIÓN • La Auditoría de Sistemas de
Información es el proceso de recoger y evaluar las evidencias para determinar la seguridad de los sistemas informáticos, la salvaguarda de los activos, la integridad de los datos y conseguir los objetivos de la organización con eficacia y con consumo de recursos eficiente.
OBJETIVOS DE LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN
La auditoría de los sistemas de información abarca la revisión y evaluación de todos los aspectos (o de cualquier porción de ellos) de los sistemas automáticos de información, incluidos los procedimientos no automáticos relacionados con ellos y sus interfaces.
OBJETIVOS GENERALES• Participación en el desarrollo de
nuevos sistemas:– Evaluación de controles– Cumplimiento de la metodología.
• Evaluación de la seguridad en el área informática.
• Evaluación de suficiencia en los planes de contingencia.– Respaldos, proveer qué va a pasar si se
presentan fallas.
• Control de modificación a las aplicaciones existentes.– Fraudes– Control a las modificaciones de los
programas.• Revisión de la utilización del sistema
operativo y los programas utilitarios, base de datos, red de teleprocesos, etc.
• Asegurar una mayor integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
OBJETIVOS GENERALES
OBJETIVOS ESPECIFICOS
Salvaguarda de los activosIntegridad de los datosEfectividad del sistemaEficiencia del sistema
Salvaguarda de los activos
• Los activos de un sistema informático incluyen hardware software, personal, ficheros de datos, documentación del sistema y suministros.
• Debido a que los activos pueden ser dañados o robados, la localización donde se encuentre el ordenador y los sistema de control interno son objetivos especialmente alto de revisión.
Integridad de los datos • Si no se mantiene la integridad de los
datos, una organización no tiene una verdadera representación de sí misma.
• La integridad solo se puede conseguir a un coste y sus beneficios obtenidos deben superar al coste de los procedimientos de control que se necesiten.
• El valor de un dato es una función de agregación del valor que tiene para cada uno de los usuarios del dato.
Efectividad del sistema
• Un sistema de informático efectivo es aquel que consigue sus objetivos.
• Normalmente se realiza después de que un sistema ha estado funcionando cierto tiempo. Esta evaluación provee información para decidir si continuar con el sistema, modificarlo o eliminarlo.
• Implica el conocimiento de las necesidades de los usuarios y que entiendan y acepten el proceso.
Eficiencia del sistema
• Un sistema eficiente es el que utiliza un mínimo de recursos para conseguir sus objetivos.
• La eficiencia de un sistema informático es especialmente importante cuando dicho sistema no tiene excesiva capacidad de rendimiento sea hardware, software o en tiempos de respuesta.
CAMBIOS EN LAS FUNCIONES DE LA AUDITORÍA • Los auditores han de ser
competentes e independientes para evaluar las actividades de una organización y los estándares o criterios establecidos.
• El Proceso Electrónico de Datos ha impactado en las dos funciones básicas de la auditoría: la recopilación de las evidencias, la evaluación de las evidencias.
Recopilación de las evidencias• Los auditores tienen que evaluar un
conjunto de controles tecnológicos, variado y complejo, que no existía en un sistema manual. Por ejemplo, una operación precisa y completa de un dispositivo de disco.
• La continua evolución de los controles tecnológicos hace más difícil recoger la evidencia de forma manual, por lo que los auditores también necesitan sistemas de PED para poder recoger la evidencia.
Evaluación de las evidencias• Rastrear las consecuencias de la
debilidad o de la fortaleza del control a través del sistema. En un entorno compartido, esto puede ser una tarea difícil, por ejemplo, una utilizada por múltiples usuarios ubicados en distintas localizaciones
• La responsabilidad de los auditores es asegurar que estos controles son suficientes para mantener la salvaguarda de los activos, la integridad de los datos y la efectividad y la eficiencia del sistema y que, dichos controles, funcionan.
OBJETIVO PRINCIPAL
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin de lograr mayor eficiencia operacional y administrativa.
IMPORTANCIA DE LA AUDITORÍA EN SISTEMAS
La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad.
Además debe evaluar todo (informática, organización de centros de información, hardware y software)
FACTORES QUE LLEVAN A UNA ORGANIZACIÓN
HACIA LA AUDITORÍA DE SISTEMAS
Auditoría y Control de los SSII
ORGANIZACIONES
Privacidad Fraude Informático
Toma de decisiones incorrectas
Altos costes de
los errores
Evolución de la
tecnología
Valor Hardware, software y personal
Costes por pérdidas de
datos
Toma de decisiones incorrectas
• La importancia de la exactitud de los datos depende del tipo de decisiones que se tomen en una organización.
• Los datos inexactos pueden acarrear costosas investigaciones o procesos fuera de control sin detectar.
Altos costes de los errores informáticos
Los sistemas informáticos realizan muchas funciones críticas.
Controlan robots, monitorizan las condiciones de un paciente durante una operación, calculan y pagan intereses en cuentas de inversión, dirigen el rumbo de un barco.
La evolución controlada del uso de las tecnologías de la información
El auditor de sistemas debe verificar que existan los controles necesarios en las aplicaciones tecnológicas implementadas en las organizaciones.
Costes organizacionales por pérdida de los datos• Los datos de una organización son un
recurso crítico necesario para que esta continúe operando.
• Los datos suministran a las organizaciones una imagen de sí mismas, su entorno, su historia y su futuro. Si esta imagen es precisa, se incrementa la habilidad de una organización para adaptarse y sobrevivir en un entorno cada vez más cambiante.
Valor del hardware, software y del personal• La perdida intencionada o no del
hardware puede causar interrupciones considerables.
• Si el software se corrompe o destruye, puede que la organización no pueda continuar las operaciones.
• El personal siempre es un recurso muy valioso, particularmente en el entorno informático debido al alto nivel de cualificación requerido.
Privacidad• Aunque antes también se recogían
datos sensibles, la posibilidad del procesamiento automático de estos datos hace que la gente se pregunte si se está protegiendo la privacidad de los datos personales y de las organizaciones.
• Otra responsabilidad es que los datos solo sean utilizados para el único propósito para el que hayan sido recogidos.
Fraude Informático
Una definición de fraude informático puede ser cualquier incidente asociado con la tecnología informática en el que una víctima sufre o puede sufrir pérdidas y un causante intencionadamente gana o puede ganar.
Fundamentos de la Auditoría• Los auditores se han dado cuenta de que la
tecnología ha impactado su habilidad para la
realización de la función de dar una clara
prueba
• La alta dirección considera que los sistemas
informáticos son recursos valiosos que
necesitan ser controlados como cualquier otro
recurso valioso dentro de una organización.
Auditoria de
Sistemas
Auditaría Tradicional
Gestión de Sistemas
Ciencias de la
informática
Ciencias del comportamiento
Fundamentos de la Auditoría
La auditoría tradicional La auditoría tradicional aporta un importante
bagaje de conocimientos y experiencia en
control interno. Estas actividades deben
estar sujetas a principios de control interno
tales como segregación de funciones,
personal competente y de confianza, etc. La
aplicación de estos principios incrementa la
integridad de los datos antes de que se
introduzcan en un sistema informático y en
la consiguiente distribución de la los datos
de salida una vez procesado los datos.
Gestión de sistemasLa historia de la informática muestra
espectaculares desastres en la implantación
de los sistemas informáticos. Muchos
investigadores se han dedicado a conseguir
mejores formas de desarrollar e
implementar sistemas de información, se
han introducido técnicas de dirección de
proyectos en el área de los sistemas de
información, cada vez más se recalca la
utilización de estándares y generación de
documentación.
Tecnología de la información
El conocimiento técnico de alto nivel de los
especialistas en tecnología produce, a la vez,
beneficios y problemas a los auditores de SSII.
Por una parte, permite al auditor estar más
confiado acerca de la fiabilidad de cierto
componente de un SI. Por otra parte, si se
abusa del conocimiento técnico, puede ser muy
difícil para el auditor detectar el abuso.
Ciencias del comportamientoHay estudios que han demostrado que la
principal razón de que fallen los sistemas
informáticos es la ignorancia de los
problemas del comportamiento de las
personas involucradas en el desarrollo e
implementación de los sistemas. Los
auditores de SSII deben conocer las
condiciones que llevan a problemas de
comportamiento y al posible fallo del
sistema.
CONCLUSIÓN• Los avances en la Tecnología de Informática
impactan todos los aspectos de la operación de la empresa.
• La Auditoría de Informática tiene como reto adaptar su esquema de trabajo ante estos cambios, y debe contribuir con sus evaluaciones de gestión y control interno a determinar la eficacia y eficiencia de las operaciones de la entidad.
• Con los nuevos cambios de la ciencia y la técnica, la auditoría ha sido beneficiada por estos, lo que ha conllevado a una mayor eficiencia en los controles que se practican en las diferentes organizaciones.
