Embed Size (px)
Citation preview
M. Sc. Miguel Cotaña Mier Lp, mayo de 2015
AUDITORIA INFORMÁTICA
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS PURAS Y NATURALES
CARRERA DE INFORMÁTICA
1
3.1. Conceptos básicos
MODULO III
2
Es la actividad consistente en laemisión de una opinión profesionalsobre si el objeto que es sometido aanálisis presenta adecuadamente larealidad que pretende reflejar y/ocumple con las condiciones que lehan sido prescritas.
AUDITORIA
3
Conocimiento de la TI: tenerconocimiento necesario ysuficiente en TIC´s, NTIC´s yconcentrarse en aquellos aspectosque puedan ser relevantes desdela perspectiva de la auditoria y delos procesos de negocio de laorganización;
Identificar expectativas: delárea funcional auditada respecto alservicio que será prestado.
4
Es el proceso de recoger, agrupar yevaluar evidencias para determinar si unsistema informatizado salvaguarda losactivos, mantiene la integridad de losdatos y utiliza los recursos en formaeficiente.
Mario G. Piattini
AUDITORIA INFORMATICA
5
Participar en las revisiones durante ydespués del análisis, diseño,realización, implantación yexplotación;
Revisar y juzgar los controlesimplantados, para verificarcumplimiento de la alta gerencia;
Revisar y emitir opinión sobre el nivelde eficacia, utilidad, fiabilidad yseguridad de los equipos einformación.
FUNCIONES DEL AUDITOR INFORMATICO
6
El trabajo de auditores se enmarcan: Responsabilidad; Autoridad; Independencia; Relacion organizacional; Etica Profesional; Competencia; Planificacion; Preparacion de informe; Actividades para el seguimiento.
7
La finalidad principal del auditor esevaluar y dar seguimiento oportuno alconjunto de proyectos de auditoria eninformática que serán ejecutados en unplazo determinado con el fin de apoyardirecta o indirectamente las estrategiasde negocio, considerando factoresinternos y externos de la organización.
OBJETIVOS DE LA A.I.
MODULO III
3.2 La Auditoria en Informática y su Entorno 8
9
La Auditoria en Informática es unproceso de evaluación y control en eluso de recursos tecnológicos para ellogro de las estrategias.Por lo tanto, debe contemplar elentendimiento del entorno del negociocomo parte de las actividadesprimarias.
10
TECNOLOGIA INFORMATICA
proveedoresespecialidades
métodos
redesproyectos
personal
infraestructura
La informática como herramienta del AF, fortalece el
desarrollo personal en su actividad diaria.
herramientas
11
La informática es utilizada en todoproceso contable;
Es un nuevo condicionante para elauditor: ha de trabajar ante y conelementos de TI;
Los libros o soporte de losdocumentos financieros se encuentranmaterializados en los archivoselectrónicos;
12
El auditor financiero (AF) ve alteradoel objeto de su actividad. Ahora estaen soporte magnético;
La auditoria financiera sigue siendoauditoria y financiera, con ladiferencia de que en su objeto, elmismo de siempre, es decir, en lainformación financiera, se haintroducido la TI;
13
El AF, puede acceder directamente a los archivoselectrónicos y proceder a su análisis de formatambien electrónica;
El AF, ha de aplicar procedimientos que utilizantécnicas asistidas por computador;
El AF, utilizando medios electrónicos incrementaen velocidad, eficiencia y seguridad;
El AF, en la ejecución de su trabajo destacan lainspección, observación, averiguación,confirmación, calculo y análisis.
MODULO III
3.3 Ética del Auditor de Sistemas 14
La moral individual esta enraizada en forma
única y personalizada, la necesidad de
relacionarse y convivir unos individuos con otros
en comunidad exige adaptación de las diferentes
concepciones morales individuales a unas
determinadas normas éticas.
Toda persona debe ceñir su conducta a sus
propias normas morales internas y aceptar la
imposición de unas normas externas impuestas
por la sociedad.
INTRODUCCIÓN
ÉTICA
Es una ciencia que tiene por objeto de estudio a la moral y la
conducta humanas. Nosotros sabemos qué cosa es buena, qué
otra cosa es mala, si alguien es respetable o corrupto, leal o
indigno, gracias a la ética, que es la que propone la valoración
moral de las personas, acciones o situaciones y por lo tanto será
esta misma la que guiará nuestro comportamiento y la que
aparezca en momentos que sea necesario obtener una guía de
cómo se debe actuar en determinadas oportunidades.
MORAL
La ética es diferente de la moral, porque la moral se basa en la
obediencia a las normas, las costumbres y preceptos o
mandamientos culturales, jerárquicos o religiosos, mientras que
la ética busca fundamentar la manera de vivir por el pensamiento
humano.
CÓDIGO DEONTOLÓGICO
CONCEPTO
Es el tratado de los DEBERES determinados por laética que, en definitiva, fija íntimamente nuestrasobligaciones en relación con la bondad o malicia delas acciones libremente ejecutadas.
FINALIDAD
Incidir en sus comportamientos profesionalesestimulando que estos se ajusten a determinadosprincipios morales que deben servirles de guía
PRINCIPIOS DEONTOLÓGICOS
APLICACABLES A LOS A.I.
Estos principios deben concordar con los del
resto de profesionales y más con los de quienes
cuya actividad presenten mayores relaciones con
la de la auditoria.
• Los principios deontológicos son:
PRINCIPIO DE BENEFICIO DEL
AUDITADO
La actividad del auditor debe estar en todo momentodirigido a orientar el máximo provecho de su cliente;
Cualquier actitud que anteponga intereses personalesdel auditor al auditado deberá considerarse como noética;
El auditor deberá evitar estar ligado en cualquier formaa intereses de determinadas marcas, productos oequipos del auditado con los de otros fabricantes;
El auditor deberá abstenerse de recomendaractuaciones innecesarias o que generen riesgosinjustificados para el auditado.
PRINCIPIO DE CALIDAD
• En caso de que los medios impidan o dificulten la
realización de la auditoria deberá negarse a
realizarla hasta que se le garantice un mínimo de
condiciones técnicas que no comprometan la
calidad de sus servicios.
• Si el auditor considera conveniente ganar el
informe de otros técnicos mas cualificados sobre
algún aspecto que supere su capacitación
profesional deberá remitirlo a un especialista para
mejor calidad de la auditoria.
PRINCIPIO DE CAPACIDADAD
Principio relacionado con el de formación continúa;
El auditor debe estar plenamente capacitado para larealización de la auditoria;
El auditor puede incidir en la toma de decisiones de lamayoría de sus clientes con un elevado grado de libertaddada la dificultad practica del auditado;
Debe ser consciente del alcance de sus conocimientos y desu capacidad y aptitud para desarrollar la auditoria evitandoque una sobreestimación personal pudiera provocar elincumplimiento parcial o total de la misma;
El auditor deberá procurar que sus conocimientosevolucionen con el desarrollo de las tecnologías de lainformación.
PRINCIPIO DE CAUTELA
• Sus recomendaciones deben estar basadas en la
experiencia;
• Debe estar al corriente del desarrollo de las
tecnologías de la información e informar al
auditado de su evolución;
• Debe actuar con cierto grado de humildad
evitando dar la impresión de estar al corriente de
una información privilegiada.
PRINCIPIO DE COMPORTAMIENTO
PROFESIONAL
El auditor deberá actuar conforme a las normasimplícitas o explicitas de dignidad de la profesión;
Debe cuidar la moderación de la exposición de susjuicios u opiniones evitando caer en exageraciones oatemorizaciones;
Debe transmitir una imagen de precisión y exactitud ensus comentarios;
El comportamiento profesional exige del auditor unaseguridad en sus conocimientos técnicos;
El auditor debe guardar respeto por la políticaempresarial del auditado.
PRINCIPIO DE CONCENTRACIÓN EN
EL TRABAJO
• El auditor deberá evitar que el exceso de trabajo
supere sus posibilidades de concentración y
precisión en cada una de las tareas;
• Deberá calcular las posibles consecuencias de la
acumulación de trabajos;
• Evitar la practica de ahorro de esfuerzos basada
en la reproducción de partes significativas de
conclusiones obtenidos de trabajos anteriores.
PRINCIPIO DE CONFIANZA
• El auditor deberá facilitar e incrementar la
confianza del auditado en base a una actuación
de transparencia en su actividad profesional;
• Para que haya confianza se requiere una
disposición de dialogo que permita aclarar las
dudas por las dos partes;
• Debe adecuar su lenguaje a nivel de
comprensión del auditado, si es necesario
detallar su explicación.
PRINCIPIO DE CRITERIO PROPIO
• Este principio esta relacionado con el principio de
independencia;
• El auditor deberá actuar con criterio propio y no
permitir que este dependa de otros profesionales
aún de reconocido prestigio;
• En caso de que aprecie diferencias de criterio con
otros profesionales deberá reflejar dichas
diferencias dejando de manifiesto su criterio.
PRINCIPIO DE ECONOMÍA
El auditor deberá proteger los derechos económicosdel auditado evitando generar gastos innecesarios;
Debe procurar evitar retrasos innecesarios en larealización de la auditoria;
Tener en cuenta la economía de medios materiales ohumanos;
Debe delimitar de forma concreta el alcance y limitesde la auditoría;
Deberá rechazar las ampliaciones de trabajo que noestén directamente relacionados con la auditoria aún apetición del auditado.
FORTALECIMIENTO Y RESPETO DE
LA PROFESIÓN
• Deberá cuidar del reconocimiento del valor de su
trabajo;
• La remuneración por su actividad profesional
debería estar acorde con la preparación del
auditor;
• Debe evitar competir deslealmente con sus
compañeros rebajando sus precios a límites
impropios;
• Deberá promover el respeto mutuo y la no
confrontación entre compañeros.
PRINCIPIO DE INTEGRIDAD MORAL
• Obliga al auditor a ser honesto, leal y diligente en
el desempeño de su misión;
• Evitar participar voluntaria o inconscientemente
en cualquier acto de corrupción personal o de
terceras personas;
• No aprovechar los conocimientos adquiridos
durante la auditoria para utilizarlos en contra del
auditado;
• Deberá emplear la máxima diligencia, dedicación
y precisión utilizando su saber y entender.
PRINCIPIO DE LEGALIDAD
• El auditor deberá evitar utilizar sus conocimientos
para facilitar a los auditados o terceras personas
la desobediencia de la legalidad vigente;
• No consentirá ni colaborará en la eliminación de
dispositivos de seguridad ni intentará obtener
códigos o claves de acceso a sectores
restringidos de información;
• Debe abstenerse de intervenir líneas de
comunicación o controlar actividades que
generen vulneración.
PRINCIPIO DE PRECISIÓN
• Relacionado con el principio de calidad exige al
auditor la no conclusión de su trabajo hasta estar
convencido;
• En la exposición de sus conclusiones debe ser
critico;
• Debe indicar como ha evaluado únicamente
aquello que haya comprobado u observado de
forma absoluta.
PRINCIPIO DE RESPONSABILIDAD
• El auditor debe responsabilizarse de lo que haga,
diga o aconseje;
• Está obligado a hacerse cargo de daños o
prejuicios que pueden derivarse de una actuación
culpable.
PRINCIPIO DE SECRETO
PROFESIONAL
• La confidencia y confianza son características
esenciales de las relaciones entre el auditor y el
auditado;
• El auditor no debe difundir a terceras personas
ningún dato que haya visto, oído o deducido
durante el desarrollo de su trabajo;
• Imponer medidas y mecanismos de seguridad
para garantizar al auditado que la información
documentada va ha estar segura.
PRINCIPIO DE VERACIDAD
• Debe siempre asegurar la veracidad de sus
manifestaciones con los limites impuestos por los
deberes de respeto, corrección y secreto
profesional.
CÓDIGO DE ÉTICA PROFESIONAL
DE ISACA
Rige la conducta de los auditores informáticoscertificados y miembros de dicha asociación.
Los Miembros y los tenedores de certificación deISACA deberán:
Soportar la implementación de, y fomentar elcumplimiento de, las normas, los procedimientos,controles apropiados, seguridad y riesgos paralos sistemas de información;
Ejecutar sus deberes con objetividad, debidadiligencia y atención profesional, en conformidadcon las normas y mejores prácticas
profesionales;
…CÓDIGO DE ÉTICA PROFESIONAL
DE ISACA
Servir en el interés de los accionistas en unaforma legal y honesta, y al mismo tiempomantener altos estándares de conducta y decarácter, y no dedicarse a actos que puedandeshonrar la profesión;
Mantener la privacidad y la confidencialidad dela información obtenida en el curso de susfunciones a menos que la autoridad legalrequiera su revelación. Dicha información noserá usada para beneficio personal ni reveladaa terceros inapropiados.
…CÓDIGO DE ÉTICA PROFESIONAL
DE ISACA
Mantener competencia en sus campos respectivosy acordar emprender únicamente las actividadesque ellos puedan razonablemente esperar realizarcon competencia profesional.
Informar a las personas apropiadas sobre losresultados del trabajo realizado, revelando todos loshechos significativos de los que ellos tengan
conocimiento.
Soportar la educación profesional de losaccionistas para aumentar su comprensión de laseguridad y el control de los sistemas deinformación.
