Principios de la Auditoria

    La Auditoria Informática es un proceso llevado a cabo por profesionales especialmente capacitados para el efecto, y que consiste en recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos ya que esta lleva a cabo eficazmente los fines de la organización, utiliza eficientemente los recursos, cumple con las leyes y regulaciones establecidas.

     Permiten detectar de Forma Sistemática el uso de los recursos y los flujos de información dentro de una Organización y determinar qué Información es crítica para el cumplimiento de su Misión y Objetivos, identificando necesidades, falsedades, costes,VALOR y barreras, que obstaculizan flujos de información eficientes.

En si la auditoría informática tiene 2 tipos las cuales son:

AUDITORIA INTERNA: Es aquella que se hace desde dentro de la empresa; sin contratar a personas ajena, en el cual los empleados realizan esta auditoría trabajan ya sea para la empresa que fueron contratados o simplemente algún afiliado a esta.

AUDITORIA EXTERNA: Como su nombre lo dice es aquella en la cual la empresa contrata a personas de afuera para que haga la auditoría en su empresa. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.

Los mecanismos de control pueden ser en el área de Informática son:

· Directivos
· Preventivos
· Detección
· Correctivos
· Recuperación
· Contingencia

Característica De La Auditoria Informática
· La información de la empresa y para la empresa, siempre IMPORTANTE, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.

·   Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.

      Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.

· Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Principios La Auditoria Informática

Principio de beneficio del Auditado


· El auditor deberá conseguir la máxima eficiencia y rentabilidad de los medios informáticos de la empresa auditada

· El auditor deberá evitar estar ligado a determinados intereses

Principio de Calidad

· El auditor deberá prestar servicios con los medios a su alcance

· Libertad de utilización de los mismos

· Condiciones técnicas adecuadas

Principio de Capacidad
· El auditor debe estar plenamente capacitado para la realización de la auditoría encomendada

· Debe ser plenamente consciente del alcance de sus conocimientos y de su capacidad y aptitud para desarrollar la auditoría (sobreestima o subestima)

Principio de Cautela:

· El auditor debe evitar que el auditado se embarque en proyectos de futuro fundamentados en intuiciones sobre la evolución de las nuevas tecnología de la información

Principio de comportamiento Profesional

· Exige al auditor una seguridad en sus conocimientos técnicos y una clara percepción de sus carencias (acudiendo a expertos si necesario) dejando constancia de esa circunstancia y reflejando en forma diferenciada, en sus informes y dictámenes, las opiniones y conclusiones propias y las emitidas por los mismo

· Debe guardar un escrupuloso respeto por la política de la empresa que Audita

Principio de concentración en el Trabajo

· El auditor deberá evitar que un exceso de trabajo supere sus posibilidades de concentración y precisión en cada una de las tareas

· NuncaCOPIAR conclusiones de otros informes de auditorías pasadas por la acumulación de trabajo

Principio de Confianza:

· El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia en su actividad profesional

Principio de Criterio Propio:

· El auditor deberá actuar con criterio propio y no permitir que este este subordinado al de otros profesionales

Principio de Discreción:

· El auditor deberá mantener una cierta discreción en la divulgación de datos

Principio de economía:

· El auditor deberá proteger los derechos económicos del auditado evitando generar gastos innecesarios

Principio de Formación Continuada:

· Impone al auditor la obligación de estar en continua formación

Principio de Fortalecimiento y Respeto a la Profesión:

· Los auditores han de cuidar delVALOR de trabajo realizado y de las conclusiones obtenidas

Principio de Independencia

· El auditor debe exigir una total autónoma e independencia en su trabajo

Principio de Información Suficiente:

· Obliga al auditor aportar en forma clara, precisa e inteligible para el auditado la información

Principio de Integridad Moral:

· Obliga al auditor a ser honesto, leal y diligente en el desempeño de su misión, a ajustarse a las normas morales, de justicia y probidad, y a evitar participar en actos de corrupción personal o a terceras personas.

Principio de Legalidad:

· El auditor deberá evitar utilizar sus conocimientos para facilitar, a los auditados o a terceras personas, la contravención de la legalidad vigente

Principio de Libre Competencia:

· Exige que el ejercicio de la profesión se realice en el marco de la libre competencia

Principio de no discriminación:

· El auditor en su actuación antes, durante y después de la auditoría, deberá evitar inducir, participar o aceptar situaciones discriminatorias de ningún tip0

Principio de no Injerencia:

· El auditor deberá evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como despreciativos de la misma o provocar cierto desprestigio de su calificación profesional

Principio de Precisión:

· Exige del auditor la no conclusión de su trabajo hasta estar convencido de la viabilidad de sus propuestas

Principio de Secreto Profesional:

· La confidencia y la confianza son características esenciales de las relaciones entre el auditor y el auditado, e imponen al primero la obligación de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional

Principio de veracidad.

· El auditor en sus comunicaciones con el auditado deberá tener siempre presente la obligación de asegurar la veracidad de sus manifestaciones con los límites impuestos por los deberes de respeto, corrección y secreto

Principio de Servicio Público:

· Incitar al auditor a hacer lo que esté en su mano y sin perjuicio de los intereses de su cliente, para evitar daños sociales como los que pueden producirse en los casos en que, durante la ejecución de la auditoría, descubra elementos de software dañinos (virus) que puedan propagarse a otros sistemas informáticos diferentes al auditado.

Auditoria Informática y Auditoria de Sistemas de Información Similitudes Diferencias

No se requieren nuevas normas de auditoría,

Se establecen algunos nuevos son las mismas. procedimientos de auditoría.

Los elementos básicos de un buen sistema d

Hay diferencias en las técnicas control contable interno siguen siendo los destinadas a mantener un adecuado mismos; 

por ejemplo, la adecuada segregación control interno contable. de funciones.

Hay alguna diferencia en la manera de evaluación del control contable interno son la estudiar y evaluar el control interno obtención de evidencia para respaldar una contable. opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría.


El énfasis en la evaluación de los sistemas manuales esta en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno.

Características y Objetivos de la Auditoría Informática La Auditoría Informática se puede definir como “el conjunto de procedimientos y técnicas para evaluar y controlar un sistema informático con el fin de constatar si sus actividades son correctas y de acuerdo a las normativas informáticas y generales en la organización”. La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además tendrá que evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. Esta es de vitalIMPORTANCIA para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo: informática, organización de centros de información, hardware y software.

La Auditoría del Sistema de Información en la empresa

A través de laevaluación y control que realiza, tiene como objetivo fundamental mejorar larentabilidad, la seguridad y la eficacia del sistema mecanizado de información enque se sustenta. El alcance ha de definir con precisión el entorno y los límites en que va adesarrollarse la auditoría informática, se complementa con los objetivos de ésta. Elalcance ha de figurar expresamente en el Informe Final, de modo que quedeperfectamente determinado no solamente hasta que puntos se ha llegado, sinocuales materias fronterizas han sido omitidas.

Ejemplo:

¿Se someterán losregistros grabados a un control de integridad exhaustivo?

¿Se comprobará que loscontroles de validación de errores son adecuados y suficientes? La indefinición delos alcances de la auditoría compromete el éxito de la misma. Control de integridad de registros: Hay Aplicaciones que compartenregistros, son registros comunes.

Si una Aplicación no tiene integrado un registrocomún, cuando lo necesite utilizar no lo va encontrar y, por lo tanto, la aplicaciónno funcionaría como debería.

*Control de validación de errores: Se corrobora queel sistema que se aplica para detectar y corregir errores sea eficiente.

Características de la Auditoría Informática La información de la empresa y para la empresa, siempreIMPORTANTE, se haconvertido en un Activo Real de la misma, como sus Stocks o materias primas silas hay. Por ende, han de realizarse inversiones informáticas, materia de la que seocupa la Auditoría de Inversión Informática.

Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica deSistemas.

Cuando se producen cambios estructurales en la Informática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática. Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera.

Auditoria del área de Desarrollo de Proyectos de la Informática de una empresa

Es porque en ese desarrollo existen, además de ineficiencias, debilidades deorganización, o de inversiones, o de seguridad, o alguna mezcla de ellas.Síntomas de Necesidad de una Auditoría Informática Las empresas acuden a las auditorías externas cuando existen síntomasbien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:Síntomas de descoordinación y desorganización - No coinciden los objetivos de la Informática de la Compañía y de la propiaCompañía.- Los estándares de productividad se desvían sensiblemente de lospromedios conseguidos habitualmente. [Puede ocurrir con algún cambio masivode personal, o en una restructuración fallida de alguna área o en la modificaciónde alguna Norma importante]Síntomas de mala imagen e insatisfacción de los usuarios: - No se atienden las peticiones de cambios de los usuarios.


Ejemplos:cambios de Software en los terminales de usuario, refrescamiento de paneles,variación de los ficheros que deben ponerse diariamente a su disposición, etc.

- No se reparan las averías de Hardware ni se resuelven incidencias en plazos razonables. El usuario percibe que está abandonado y desatendido permanentemente.

- No se cumplen en todos los casos los plazos de entrega de resultados periódicos. Pequeñas desviaciones pueden causar IMPORTANTES desajustes en la actividad del usuario, en especial en los resultados de Aplicaciones críticas sensibles.Síntomas de debilidades económico-financieras:

- Incremento desmesurado de costes. Necesidad de justificación de Inversiones Informáticas (la empresa no está absolutamente convencida de tal.

Auditoria base de datos.

Seguridad física. Operaciones y planificación informática. Gestiónde la seguridad de los sistemas y de la continuidad empresarial a través de planesde contingencia de la información. Gestión de problemas y de cambios enentornos informáticos. Administración de datos. Comercio electrónico. Encriptaciónde datos. A estos conocimientos básicos se les deberá añadir una especialización enfunción de laIMPORTANCIA económica que distintos componentes financierospuedan tener en un entorno empresarial.

Así en un entorno financiero puedentener mucha importancia las comunicaciones y será necesario que alguien dentrode la función de auditoría informática tenga esta especialización, pero esto mismopuede no ser válido para un entorno productivo en el que las transacciones EDI pueden ser más IMPORTANTES.

El auditor informático debe conocer técnicas de gestión empresarial y sobretodo de gestión del cambio ya que las recomendaciones y soluciones que aporten deben estar en la línea de la búsqueda optima de la mejor solución para los objetivos empresariales que se persiguen y con los recursos que se tienen.
 El auditor informático debe tener siempre el concepto de calidad total.Como parte de un colectivo empresarial, bien sea permanentemente como auditor interno o puntualmente como auditor externo, el concepto de calidad total hará que sus conclusiones y trabajo sean reconocidos como un elemento valioso dentro dela organización y que los resultados sean aceptados en su totalidad. Esta aplicación organizativa debe hacer que la propia imagen del auditor informáticosea más reconocida de forma positiva por la organización

1 comentario: