Impacto de la tecnología informática sobre la función de la auditoría
1. IMPACTO DE LA TECNOLOGÍA
INFORMÁTICA SOBRE LA
AUDITORÍA
Universidad Tecnólogica de Panamá
Sistemas de Información y Auditoria
Prof. Cristian Hernández
Integrantes:
- Katherine Miranda
- Lionel E Mendoza
- Iván Chacón
2. ANTECEDENTES DE
AUDITORIA.
• Expansión del comercio y sus operaciones
obliga a establecer un mecanismos de
control.
• Con este crecimiento es necesario un
encargado de evaluar la veracidad y
confiabilidad de las operaciones, surgiendo
en ese momento el acto de auditar.
• El término auditor apareció a finales del siglo
XVIII, en Inglaterra durante el reinado de
Eduardo I.
3. Antecedentes de la Auditoría
en Sistemas.
• Surge de las empresas e instituciones que
tomaron conciencia de que la información
que mantiene es vital para su propio
progreso.
• Son elevados a la categoría de sistemas
críticos.
• Por su naturaleza crítica, el enfoque de
auditoría debe adoptar una perspectiva que
se adecúe absolutamente a estos sistemas.
4. Antecedentes de la Auditoría
en Sistemas.
Años 50:
• La introducción de las máquinas de
proceso de datos.
• Sustituyen a los empleados en las tareas
repetitivas en el cálculo de nóminas y
facturas de clientes.
• El auditor se limitaba a verificar la
corrección de los datos de salida frente a
los datos de entrada.
• Este tipo de auditoría se suele denominar
auditoría alrededor del ordenador.
5. Antecedentes de la Auditoría
en Sistemas.
Década de los 60:
• Propugnaron un cambio en el enfoque, en base a
los resultados de baja calidad obtenidos en las
auditorías de áreas de proceso de datos a través
de ordenadores.
• Este cambio consistía fundamentalmente en la
adaptación de los criterios para la evaluación del
control interno, en los sistemas organizativos,
financieros y contables, al centro de proceso de
datos, concretamente, a la sala del ordenador.
Esta etapa se suele denominar auditoría del
ordenador.
6. Antecedentes de la
Auditoría en Sistemas.
A finales de los años 70:
• comunicaciones entre ordenadores en
tiempo real.
• la auditoría a través del ordenador. En
este enfoque se estudia también el
tratamiento lógico de la información a
través de los programas y las aplicaciones
que los integran.
7. Antecedentes de la
Auditoría en Sistemas.
Inicio de los 80:
• Aplicación de técnicas de tratamiento de
la información por medio de ordenadores.
• El auditor de sistemas de información
empieza a ser también experto en el uso
de lenguajes informáticos que le sirven
para escribir, compilar y ejecutar
programas para la consecución de
pruebas y obtención de evidencia.
• Surge de este modo la denominada
auditoría con el ordenador.
8. Antecedentes de la
Auditoría en Sistemas.
En la misma década de los 80:
• se empieza a aplicar los principios
básicos de la auditoría operativa a la
auditoría de los sistemas de información,
dando lugar a la auditoría operativa de
proceso de datos, que se centra
principalmente en la eficacia y eficiencia
del tratamiento automático de los datos.
9. IMPACTO DEL
DESARROLLO
TECNOLÓGICO EN
AUDITORÍA
Aspectos que han inducido la necesidad de
cambio en la función de auditoría.
• Aspectos como la dinámica de los
mercados.
• la automatización de los procesos.
• el volumen y velocidad de las
operaciones.
• la creciente disminución de documentos
impresos.
• el manejo de terminología cada vez más
compleja.
10. IMPACTO DEL DESARROLLO
TECNOLÓGICO EN AUDITORÍA
Auditorías donde las herramientas utilizadas
deben permitir identificar:
• Mallas funcionales cada vez más
complejas,
• las materias críticas a priorizar,
• contribuir con medidas preventivas que
aseguren su correcto funcionamiento.
• Establecer esquemas de monitoreo que
detecten oportunamente.
11. IMPACTO DEL
DESARROLLO
TECNOLÓGICO EN
AUDITORÍA
Equilibrio entre herramientas analíticas y de
prueba al evaluar proceso:
- Técnicas de evaluación de riesgos,
- Flujogramación,
- Planillas electrónicas,
- Procesadores de texto,
- Software para análisis de datos,
planificación de tareas,
- Software especializado para revisión de
ambientes computacionales.
12. VENTAJAS DE LA AUDITORÍA
ASISTIDA POR LA
INFORMÁTICA.
• Utilización de la computadora en la
ejecución de la auditoria.
• Se amplía la cobertura del examen.
• Se reduce el tiempo
• Se minimiza el costo de las pruebas y
procedimientos de muestreo.
13. CONCEPTO DE
AUDITORÍA
TRADICIONAL
• La auditoría no es más que el proceso que
comprende las tareas de revisión,
evaluación y análisis ciertos procesos,
dependiendo el área al que se aplique,
donde el auditor debe estar encaminado a
la búsqueda de fallas existentes, y a la vez
buscar soluciones para estos problemas
14. DEFINICIÓN DE AUDITORIA DE
SISTEMAS DE INFORMACIÓN
• La Auditoría de Sistemas de Información
es el proceso de recoger y evaluar las
evidencias para determinar la seguridad
de los sistemas informáticos, la
salvaguarda de los activos, la integridad
de los datos y conseguir los objetivos de
la organización con eficacia y con
consumo de recursos eficiente.
15. OBJETIVOS DE LA AUDITORÍA
DE SISTEMAS DE
INFORMACIÓN
La auditoría de los sistemas de información
abarca la revisión y evaluación de todos los
aspectos (o de cualquier porción de ellos) de
los sistemas automáticos de información,
incluidos los procedimientos no automáticos
relacionados con ellos y sus interfaces.
16. OBJETIVOS GENERALES
• Participación en el desarrollo de nuevos
sistemas:
– Evaluación de controles
– Cumplimiento de la metodología.
• Evaluación de la seguridad en el área
informática.
• Evaluación de suficiencia en los planes de
contingencia.
– Respaldos, proveer qué va a pasar si se
presentan fallas.
17. • Control de modificación a las aplicaciones
existentes.
– Fraudes
– Control a las modificaciones de los programas.
• Revisión de la utilización del sistema
operativo y los programas utilitarios, base de
datos, red de teleprocesos, etc.
• Asegurar una mayor integridad,
confidencialidad y confiabilidad de la
información mediante la recomendación de
seguridades y controles.
OBJETIVOS GENERALES
19. Salvaguarda de los activos
• Los activos de un sistema informático
incluyen hardware software, personal,
ficheros de datos, documentación del
sistema y suministros.
• Debido a que los activos pueden ser
dañados o robados, la localización donde
se encuentre el ordenador y los sistema
de control interno son objetivos
especialmente alto de revisión.
20. Integridad de los datos
• Si no se mantiene la integridad de los
datos, una organización no tiene una
verdadera representación de sí misma.
• La integridad solo se puede conseguir a
un coste y sus beneficios obtenidos deben
superar al coste de los procedimientos de
control que se necesiten.
• El valor de un dato es una función de
agregación del valor que tiene para cada
uno de los usuarios del dato.
21. Efectividad del sistema
• Un sistema de informático efectivo es
aquel que consigue sus objetivos.
• Normalmente se realiza después de que
un sistema ha estado funcionando cierto
tiempo. Esta evaluación provee
información para decidir si continuar con
el sistema, modificarlo o eliminarlo.
• Implica el conocimiento de las
necesidades de los usuarios y que
entiendan y acepten el proceso.
22. Eficiencia del sistema
• Un sistema eficiente es el que utiliza un
mínimo de recursos para conseguir sus
objetivos.
• La eficiencia de un sistema informático es
especialmente importante cuando dicho
sistema no tiene excesiva capacidad de
rendimiento sea hardware, software o en
tiempos de respuesta.
23. CAMBIOS EN LAS FUNCIONES DE
LA AUDITORÍA
• Los auditores han de ser competentes e
independientes para evaluar las
actividades de una organización y los
estándares o criterios establecidos.
• El Proceso Electrónico de Datos ha
impactado en las dos funciones básicas
de la auditoría: la recopilación de las
evidencias, la evaluación de las
evidencias.
24. Recopilación de las evidencias
• Los auditores tienen que evaluar un
conjunto de controles tecnológicos,
variado y complejo, que no existía en un
sistema manual. Por ejemplo, una
operación precisa y completa de un
dispositivo de disco.
• La continua evolución de los controles
tecnológicos hace más difícil recoger la
evidencia de forma manual, por lo que los
auditores también necesitan sistemas de
PED para poder recoger la evidencia.
25. Evaluación de las evidencias
• Rastrear las consecuencias de la
debilidad o de la fortaleza del control a
través del sistema. En un entorno
compartido, esto puede ser una tarea
difícil, por ejemplo, una utilizada por
múltiples usuarios ubicados en distintas
localizaciones
• La responsabilidad de los auditores es
asegurar que estos controles son
suficientes para mantener la salvaguarda
de los activos, la integridad de los datos y
la efectividad y la eficiencia del sistema y
que, dichos controles, funcionan.
26. OBJETIVO PRINCIPAL
El objetivo final que tiene el auditor de
sistemas es dar recomendaciones a la alta
gerencia para mejorar o lograr un adecuado
control interno en ambientes de tecnología
informática con el fin de lograr mayor
eficiencia operacional y administrativa.
27. IMPORTANCIA DE LA AUDITORÍA
EN SISTEMAS
La auditoría en informática es de vital
importancia para el buen desempeño de los
sistemas de información, ya que proporciona
los controles necesarios para que los
sistemas sean confiables y con un buen nivel
de seguridad.
Además debe evaluar todo (informática,
organización de centros de información,
hardware y software)
28. FACTORES QUE LLEVAN A UNA ORGANIZACIÓN
HACIA LA AUDITORÍA DE SISTEMAS
Auditoría y Control
de los SSII
ORGANIZACIONES
Privacidad Fraude
Informático
Toma de
decisiones
incorrectas
Altos
costes de
los
errores
Evolución
de la
tecnología
Valor
Hardware,
software y
personal
Costes por
pérdidas
de datos
29. Toma de decisiones incorrectas
• La importancia de la exactitud de los datos
depende del tipo de decisiones que se
tomen en una organización.
• Los datos inexactos pueden acarrear
costosas investigaciones o procesos fuera
de control sin detectar.
30. Altos costes de los errores informáticos
Los sistemas informáticos realizan
muchas funciones críticas.
Controlan robots, monitorizan las
condiciones de un paciente durante
una operación, calculan y pagan
intereses en cuentas de inversión,
dirigen el rumbo de un barco.
31. La evolución controlada del
uso de las tecnologías de la
información
El auditor de sistemas debe verificar
que existan los controles necesarios
en las aplicaciones tecnológicas
implementadas en las organizaciones.
32. Costes organizacionales por
pérdida de los datos
• Los datos de una organización son un
recurso crítico necesario para que esta
continúe operando.
• Los datos suministran a las
organizaciones una imagen de sí mismas,
su entorno, su historia y su futuro. Si esta
imagen es precisa, se incrementa la
habilidad de una organización para
adaptarse y sobrevivir en un entorno cada
vez más cambiante.
33. Valor del hardware, software y
del personal
• La perdida intencionada o no del hardware
puede causar interrupciones
considerables.
• Si el software se corrompe o destruye,
puede que la organización no pueda
continuar las operaciones.
• El personal siempre es un recurso muy
valioso, particularmente en el entorno
informático debido al alto nivel de
cualificación requerido.
34. Privacidad
• Aunque antes también se recogían datos
sensibles, la posibilidad del procesamiento
automático de estos datos hace que la
gente se pregunte si se está protegiendo
la privacidad de los datos personales y de
las organizaciones.
• Otra responsabilidad es que los datos
solo sean utilizados para el único
propósito para el que hayan sido
recogidos.
35. Fraude Informático
Una definición de fraude informático puede
ser cualquier incidente asociado con la
tecnología informática en el que una víctima
sufre o puede sufrir pérdidas y un causante
intencionadamente gana o puede ganar.
36. Fundamentos de la Auditoría
• Los auditores se han dado cuenta de que la
tecnología ha impactado su habilidad para la
realización de la función de dar una clara
prueba
• La alta dirección considera que los sistemas
informáticos son recursos valiosos que
necesitan ser controlados como cualquier otro
recurso valioso dentro de una organización.
38. La auditoría tradicional
La auditoría tradicional aporta un importante
bagaje de conocimientos y experiencia en
control interno. Estas actividades deben
estar sujetas a principios de control interno
tales como segregación de funciones,
personal competente y de confianza, etc. La
aplicación de estos principios incrementa la
integridad de los datos antes de que se
introduzcan en un sistema informático y en
la consiguiente distribución de la los datos
de salida una vez procesado los datos.
39. Gestión de sistemas
La historia de la informática muestra
espectaculares desastres en la implantación
de los sistemas informáticos. Muchos
investigadores se han dedicado a conseguir
mejores formas de desarrollar e
implementar sistemas de información, se
han introducido técnicas de dirección de
proyectos en el área de los sistemas de
información, cada vez más se recalca la
utilización de estándares y generación de
documentación.
40. Tecnología de la información
El conocimiento técnico de alto nivel de los
especialistas en tecnología produce, a la vez,
beneficios y problemas a los auditores de SSII.
Por una parte, permite al auditor estar más
confiado acerca de la fiabilidad de cierto
componente de un SI. Por otra parte, si se
abusa del conocimiento técnico, puede ser muy
difícil para el auditor detectar el abuso.
41. Ciencias del comportamiento
Hay estudios que han demostrado que la
principal razón de que fallen los sistemas
informáticos es la ignorancia de los
problemas del comportamiento de las
personas involucradas en el desarrollo e
implementación de los sistemas. Los
auditores de SSII deben conocer las
condiciones que llevan a problemas de
comportamiento y al posible fallo del
sistema.
42. CONCLUSIÓN
• Los avances en la Tecnología de Informática
impactan todos los aspectos de la operación de la
empresa.
• La Auditoría de Informática tiene como reto adaptar
su esquema de trabajo ante estos cambios, y debe
contribuir con sus evaluaciones de gestión y control
interno a determinar la eficacia y eficiencia de las
operaciones de la entidad.
• Con los nuevos cambios de la ciencia y la técnica, la
auditoría ha sido beneficiada por estos, lo que ha
conllevado a una mayor eficiencia en los controles
que se practican en las diferentes organizaciones.