Practico2 de Aud Sistema
Practico2 de Aud Sistema
Practico2 de Aud Sistema
INVESTIGACION 2
Objetivos
Es necesario analizar cuáles serían los "conocimientos suficientes" debe tener el auditor
de los riesgos, controles, técnicas de auditoría disponibles basadas en tecnología, y otras
técnicas de análisis de datos, que le permitan al auditor, cuya responsabilidad
fundamental no son las tecnologías de lainformación,desempeñar eficientemente el
trabajo.
- HABILIDADES Y COMPETENCIAS REQUERIDAS POR EL AUDITOR
Estas áreas implican conocer las siguientes temáticas:
- Seguridad de TI. • Desarrollo de aplicaciones
• Seguridad física y seguridad de Desarrollo de sistemas de información
sistemas
• Protección de la información
• Autenticación y encriptación
- Desarrollo de aplicaciones.
• Informática de usuario final
• Control sobre los cambios de
programa
• Metodología de desarrollo de
sistemas
- Infraestructura del sistema
• Estaciones de trabajo
• Bases de datos
• Marcos de control de TI (eSAC, COBIT)
• Áreas funcionales de operaciones de TI (operaciones de centro de datos)
• Software de planificación de recursos empresariales (ERP) (SAP R/3)
• Datos, voz, y comunicaciones/conexiones de red (LAN, VAN, yWAN
• Servidor
• Licencias de software
• Ordenador central
• Sistemas operativos
• Infraestructura de la Web
Conclusiones
Actualmente una de las grandes debilidades, por no decir que es la mayor de todas, de
los auditores que no tienen formación en ingeniería de sistemas y que seguramente de
muchas otras profesiones que realizan las labores de fiscalización control y supervisión,
es la carencia de entendimiento de las tecnologías de la información dentro de las
organizaciones a un nivel de controles y riesgos de TI.
Las normas internacionales de auditoría establecen que el auditor debe contar con
conocimientos suficientes, dentro lo que comprende el enfoque moderno de auditoria
basada en riesgos, estos conocimientos se refieren principalmente a que el auditor debe
contar con habilidades y competencias para el examen de los controles de aplicación que
están directamente relacionados a los procesos del negocio, pero también llegar a
comprender los controles generales de TI, ya que a través de la comprensión e
identificación de los probables riesgos y de los controles clave en TI pueda planificar,
dirigir, supervisar y revisar el trabajo.
Ante diversos fraudes de toda índole ocurridos a través del uso de la tecnología cada vez
más sofisticada, se ha convertido en un gran reto para el auditor en el campo el cual se
desempeña, exigiéndole a contar con mayores habilidades y competencias en este
campo, para dar un valor agregado a las organizaciones inclusive en tiempo real y
minimizando el riesgo de auditoría.
LAS NIAS 402
Hay que tener en cuenta que una entidad puede querer realizar tareas o servicios a través
de otras organizaciones de servicios, y dichas actividades son parte de las actividades de
la entidad matriz o usuaria, y pueden ser relevantes en algunos casos a la hora de llevar a
cabo auditorías.
• Los controles sobre asientos en el libro diario que se utilizan para registrar ajustes
o transacciones inusuales.
Los objetivos del auditor de la entidad usuaria, en el marco de esta norma, y por tanto
referente a los servicios de otra organización de servicios, serán la obtención de un
conocimiento de la naturaleza y significatividad de los servicios que dicha organización
presta y su repercusión en la entidad usuaria que puedan ser de relevancia, con el fin de
poder valorar la existencia de riesgos de incorrección material, así como diseñar
procedimientos para hacer frente a dichos posibles riesgos.
Hay que indicar que en algunos casos puede ser necesario hacer referencia en el informe
del auditor de la entidad usuaria al trabajo en general del auditor de la entidad prestadora
del servicio para lo cual será necesario contar con el consentimiento previo del mismo.
DIA 1001, 1002, 1003, 1008
Microcomputadoras independientes
Control interno en ambientes de microcomputadoras independientes
Cuando una entidad usa un sistema de bases de datos, es probable que la tecnología
sea compleja y pueda estar ligada con los planes estratégicos de negocios de la entidad
La declaración define e incluye comentarios sobre los siguientes asuntos:
Diccionario de datos
· Administración de recursos de datos
· Administración de datos
· Administración de la base de datos
Para los fines de las Normas Internacionales de Auditoría, existe un entorno de CIS
cuando hay implicada una computadora de cualquier tipo o tamaño en el procesamiento
por parte de la entidad de información financiera de importancia para la auditoría, ya sea
que la computadora sea operada por la entidad o por un tercero.
La introducción de todos los controles deseados de CIS puede no ser factible cuando el
tamaño del negocio es pequeño o cuando se usan microcomputadoras
independientemente del tamaño del negocio.
Estructura organizacional
Los controles internos sobre el procesamiento por computadora, que ayudan a lograr los
objetivos globales del control interno, incluyen tanto procedimientos manuales como
procedimientos integrados en programas de computadora.
La norma ISO 20000 recoge un conjunto de procesos eficientes de gestión sobre servicios
TI, de aplicación, tanto en el ámbito interno de una empresa, como en el externo. Se trata
de una mejora y reorganización de contenidos de la norma BS15000, dándole carácter
internacional y convirtiéndola en un estándar de calidad en servicios de gestión y soporte
TI.
Las empresas deben ser evaluadas en la gestión de sus servicios TI por una empresa
acreditada, mientras que una persona debe superar un examen entre las distintas
modalidades que se ofrecen (fundamentos ISO 20000, auditor principal en ISO 20000
o implementador principal en ISO 20000).
Para cumplir con los requisitos necesarios y poder pasar el proceso de certificación ISO
20000 es fundamental que todos los miembros de la empresa se impliquen con los
objetivos y el proceso de cambio y mejora. Es probable que se
necesite formación específica para el personal para poder afrontar esta acreditación.
¿QUÉ ES ITIL?
Las siglas ITIL significan Information Technology Infrastructure Library, que
traduciríamos literalmente como Biblioteca de Infraestructura de Tecnologías de
Información. ITIL es una guía de buenas prácticas para la gestión de servicios de
tecnologías de la información (TI).
ITIL ha sido considerado durante mucho tiempo como la “biblia del Service Management”,
es decir uno de los marcos de referencia más utilizados del mundo.
La norma ISO 22301 se compone de 10 secciones, que establecen los requisitos para los
Sistemas de Gestión de la Continuidad del Negocio (SGCN) de las organizaciones. A
continuación, se detallan las secciones de la norma ISO 22301:
Aquí hay algunas razones por las que es recomendable implantar la norma ISO 22301
con un software:
ISO 27000
Asimismo, los pilares principales de la familia 27000 son las normas 27001 y 27002. La
principal diferencia entre estas dos normas, es que 27001 se basa en una gestión de la
seguridad de forma continuada apoyada en la identificación de los riesgos de forma
continuada en el tiempo. En cambio, 27002, es una mera guía de buenas prácticas que
describe una serie de objetivos de control y gestión que deberían ser perseguidos por las
organizaciones.
Artículo 8
Continuando con nuestro programa de empezar de cero, por donde empiezo vamos a
tratar de definir tres tipos de usuario para que te coloques en uno de los tres y tu elección
sea más fácil.
Primero decir que nos vamos a centrar en ordenadores de sobremesa como si portátiles,
tabletas, ultrabook, móviles etc… no existiesen para intentar que la cosa sea sencilla y
piensa que todo de lo que hablamos es igual para cualquier tipo de ordenador y para
cualquier sistema operativo Windows, Apple o Linux.
Dividimos en tres tipos de usuarios dependiendo del uso que se le vaya a dar al
ordenador en relación a los documentos o ficheros con los que trata, les podemos llamar
de distinta manera pero la clasificación típica es:
Usuario básico
Usuario Intermedio
Usuario avanzado.