U1 - apuntes Unidad 1 auditoria de sistemas año 2020 PDF

Preview

Summary

PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓNNOMBRE:CARRERA: Contador Auditor ASIGNATURA: Auditoría de sistemas PROFESOR: FECHA:ADMINISTRACIÓN Y NEGOCIOSContenidoPROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN .......................................................1 Introducción......................

Description

ADMINISTRACIÓN Y NEGOCIOS

PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN

NOMBRE: CARRERA: Contador Auditor ASIGNATURA: Auditoría de sistemas PROFESOR: FECHA:

Contenido PROCESO DE AUDITORÍA DE SISTEMAS DE INFORMACIÓN.......................................................1 1

Introducción..........................................................................................................................................3

2 Explique los distintos tipos de auditoría que se pueden llevar a cabo en una organización y cuáles son sus objetivos............................................................................................................................4 2.1 Explique, según el Manual de Preparación para el Examen CISA, cuáles son los estándares y directrices de ISACA para la auditoría de sistemas de información.........................5 2.2 Explique, en base a COBIT, cuáles son sus objetivos, dominios y procesos definidos para los sistemas de información.........................................................................................................6 2.3 Explique cómo aplica lo anterior, considerando un sistema de información utilizado en su empresa. Indique y explique el sistema de información al cual hará referencia.......................8 2.4 e) Explique qué pruebas sustantivas y de cumplimiento llevaría a cabo para realizar una auditoría al sistema de información identificado en el punto anterior..............................................8 3

Conclusión............................................................................................................................................9

4

Bibliografía (Norma APA).................................................................................................................10

2

1 Introducción

La auditoría de sistemas tiene como objetivo validar la integridad de la información y datos almacenados, Deberá comprender no sólo la evaluación de sistemas sino ver procedimientos, controles, archivos y obtención de información. Por otro lado, se analizará los estándares y directrices de ISACA para los sistemas de información. Siguiendo, con el modelo de COBIT, donde se analizará los objetivos, dominios y procesos de un sistema de información.

3

2

Explique los distintos tipos de auditoría que se pueden llevar a cabo en una organización y cuáles son sus objetivos

Existen distintos tipos de auditoría de los cuales se pueden dividir en dos partes: En función de lo que se audita: a) Auditoría administrativa: Tiene como objetivo principal determinar cuáles son las deficiencias o irregularidades que acontecen en las diversas dependencias de una empresa y así poder solventar el problema. b) Auditoría Operativa o de Gestión: Es aquella auditoría que se centra en evaluar el empleo de los recursos con los que cuenta una organización y si logran los objetivos definidos de manera eficiente y de calidad. c) Auditoría Financiera o Contable: Es un proceso el cual examina los estados financieros con tal de realizar una opinión profesional y ética según los reglamentos contables. d) Auditoría pública o Gubernamental: Es la revisión que llevan a cabo las entidades fiscalizadoras. e) Auditoría informática o de Sistemas: Tiene como objetivo mejorar la relación costobeneficio de los SI., incrementar la satisfacción y seguridad de los usuarios, garantizar la confidencialidad e integridad de a través de los SI, optimizar y agilizar la toma de decisiones, por último, minimizar la existencia de riesgos como virus o hackers. f)

Auditoría de Gestión medioambiental: Consiste en recopilar información sobre la empresa para controlar, planificar y rectificar actividades que perjudiquen al medioambiente cómo modificar procedimientos en caso de ineficiencia, identificar áreas de mejora, ejecutar medidas correctoras en caso de incumplimiento de objetivos y cumplir con los requisitos de las normas legales.

y quién lo audita: a) Auditoría Interna: Son llevadas a cabo por las mismas organizaciones para evaluar su propio rendimiento. Asimismo, verificar los diferentes procedimientos confirmando si la información contable representa la realidad económica de la empresa. b) Auditoría Externa: Evalúan las actividades de otra empresas u organizaciones.

4

2.1 Explique, según el Manual de Preparación para el Examen CISA, cuáles son los estándares y directrices de ISACA para la auditoría de sistemas de información. Los estándares de ISACA para la auditoría de sistemas de información se divide en varios pasos: 

Estatuto de la función de auditoría: Define la autoridad, el propósito, la independencia y las limitaciones de dicha función.



Estándar de Independencia organizacional e Independencia profesional.



Expectativa razonable: Los profesionales deben realizar la asignación de auditoría, revisar el alcance de la asignación e identificar cualquier restricción.



Cuidado profesional:

Deben tener integridad

y cuidado, mantener

el

escepticismo profesional y tomar medidas razonables para proteger la información obtenida. 

Competencia: Los profesionales deben demostrar aptitudes suficientes. Además, de adquirir habilidades y actualizar constantemente el conocimiento profesional.



Planificación de la asignación y Evaluación de riesgo en planificación.



Desempeño y supervisión.



Materialidad



Reportes.



Seguimiento.



Irregularidades y actos Ilegales

Las directrices proporcionan una guía para aplicar los estándares y determinar el correcto cumplimiento. 

Uso del trabajo de otros auditores



Requerimiento de Evidencia de Auditoría



Uso de técnicas de auditoría asistidas por computadora (CAATs)



Contratación de servicios externos de actividades de SI para otras organizaciones.



Estatuto de auditoría



Conceptos de materialidad para la auditoría de sistemas de información



Documentación, muestreo y consideraciones para irregularidades y actos ilegales.



Independencia y evaluación de riesgos en la planificación.



Revisión de las prácticas de gestión de seguridad



Retorno sobre la inversión en seguridad.

5

Finalmente, los estándares deben ser cumplidos por el auditor de SI, las directrices son las guías que puede utilizar el auditor para implementar los estándares. Mientras que, las herramientas y técnicas dan los pasos que el auditor debe seguir para llevar a cabo la auditoría.

2.2 Explique, en base a COBIT, cuáles son sus objetivos, dominios y procesos definidos para los sistemas de información. El modelo COBIT permite observar que los objetivos de gobierno planteados se materialicen en la empresa y pueda dar respuestas a las necesidades de valor que se componen en las TI. No obstante, existen otros requerimientos sobre la información y todos sus activos como, por ejemplo: la calidad, costo y entrega del servicio; fiduciarios relacionados con las instituciones regulatorias que ven la efectividad y eficiencia de las operaciones y el cumplimiento de las leyes; además de la integridad y disponibilidad en la seguridad de la información. Asimismo, optimizar los recursos de SI cómo: Datos, Aplicaciones, Instalaciones, Infraestructura y Personas. Para cumplir dichos requisitos se debe entender el estatus de arquitectura empresarial para TI y luego decidir en qué tipo de gobierno se debe aplicar. El marco de trabajo de control propuesto por COBIT contribuye a las necesidades de gobierno mediante la vinculación con los requerimientos de negocio, organización por procesos, identificación y definición de los objetivos de los controles gerenciales. Por otra parte, COBIT propone como solución un nuevo modelo orientado al negocio para ser utilizado por cualquier área, principalmente por los dueños de los procesos en la empresa.

COBIT identifica las actividades de TI agrupándolas en cinco dominios:

1. Evaluar, orientar y supervisar (EDM): Se toma decisiones y ven las iniciativas para que estas sean efectivas y estén alineadas con el entorno externo e interno. Es decir, está orientada a las actividades enfocadas en aspectos centrales de TI. 6

2. Alinear, planificar y organizar (APO): Esto aclara y mantiene al gobierno de la misión y visión corporativa de TI. Por lo que, involucra actividades para dar dirección a la entrega de soluciones y de servicios. 3. Construir, adquirir e implementar (BAI): Involucra actividades que permiten identificar las soluciones de TI, la implantación y despliegue de esas soluciones e integración de los procesos de negocios y la evolución de los sistemas existentes. Por lo tanto, son todas las actividades requeridas para diseñar, construir e implementar soluciones que se transforman en servicios para los clientes. 4. Entregar, dar servicio y soporte (DSS): Incluyen actividades de entrega del servicio a través de un soporte, detectando problemas de la continuidad y seguridad y de las instalaciones operativas. Por ende, tiene todas las actividades que reciben las soluciones desarrolladas por TI y las transforma en servicios utilizables por usuarios finales. 5. Supervisar, evaluar y valorar (MEA): Son todas las actividades que permiten monitorear los procesos, evaluarlos y gestionar acciones correctivas que aseguran si se sigue con la dirección prevista en los planes estratégicos y operativos, la administración del desempeño, el monitoreo del control interno y el cumplimiento regulatorio de la aplicación del gobierno. COBIT define los objetivos de control en 37 procesos no solo del gobierno de TI, si no que también del gobierno empresarial. Según ISACA el control es “políticas, procedimientos, prácticas y estructuras organizacionales que brindan seguridad a que los objetivos del negocio se alcancen y los eventos no deseados sean corregidos”. Por otra parte, la empresa debe tomar decisiones en torno a los objetivos de control: eligiendo aquellos que pueden ser aplicados, dependiendo de cada empresa; analizando qué debe implementarse y asumiendo el riesgo de equivocarse en la implementación de estos controles debido situaciones por lo cuales no es posible hacerlo. De tal forma, COBIT asume que el diseño de los controles de aplicación son responsabilidad única de TI, a diferencia de la responsabilidad de administrar y gestionar los controles de aplicación que son del dueño del proceso de negocio. Por último, COBIT tiene un enfoque denominado MODELO DE MADUREZ. Esté sirve para medir la madurez de la capacidad de software en las empresas con niveles de 0 a 5. Optimizado, administrado, definido, repetible, inicial y NO existente, el cual consiste en la incorporación de los procesos como, por ejemplo, direccionador.

2.3 Explique cómo aplica lo anterior, considerando un sistema de información utilizado en su empresa. Indique y explique el sistema de información al cual hará referencia. 7

En este punto, haremos referencia a un sistema de remuneración que forma parte de un software de recursos humanos, el cual permite el manejo eficiente de remuneraciones, cualquier sea su forma de pago. Por lo general, cuentan con una completa ficha personal del empleado como información personal, datos laborales, cargar familiares, etc.

Su gestión y control personal realiza un completo control de las horas trabajadas, atrasos, definición de turnos, entre otros. Puesto que genera conexión electrónica para pago de cotizaciones previsionales y realizar reportes que detallan modelos de cálculos, planificación de vacaciones, planilla AFP, Isapres, Cajas de compensación, comprobantes de pagos, entre otros.

2.4 e) Explique qué pruebas sustantivas y de cumplimiento llevaría a cabo para realizar una auditoría al sistema de información identificado en el punto anterior.

Para concretar una auditoría en el sistema de remuneración se deberá realizar un “examen” de cuenta de Egresos, ya sea revisando el libro o documentación de remuneraciones considerando el total de egresos y devengados durante el mes indicado. Además, de un sobre procedimiento en el cálculo de las remuneraciones y asignaciones, el cual se revisa la bonificación que se aplicó, si hubo un pago inferior o superior en algún caso, error en digitación en el sistema, error en el cálculo de la imposición.

3 Conclusión 

Finalmente, se analizaron los diferentes tipos de auditorías que se llevan a cabo dentro de una empresa. 8



La certificación CISA es reconocida globalmente, por miles de profesionales desde su creación. ISACA es un procedimiento el cual se rige por estándares o pasos a seguir para llevar una buena auditoría. Así como fue dicho anteriormente, “los estándares deben ser cumplidos por el auditor de SI, las directrices son las guías a implementar y las herramientas y técnicas dan los pasos que el auditor debe seguir para llevar a cabo la auditoría”



El modelo COBIT permite administrar la complejidad de las TI y principalmente, se basa en satisfacer las necesidades de las partes interesadas, logrando un modelo para dar respuestas a las necesidades.

4 Bibliografía (Norma APA)

9



[ CITATION Nue18 \l 3082 ]



[ CITATION Laa17 \l 3082 ]



[ CITATION COB19 \l 3082 ]



[ CITATION COB18 \l 3082 ]



[ CITATION ISA14 \l 3082 ]

10...