Metodología de Auditorías Informáticas: Fases y Objetivos, Esquemas y mapas conceptuales de Investigación de Operaciones

¡Descarga Metodología de Auditorías Informáticas: Fases y Objetivos y más Esquemas y mapas conceptuales en PDF de Investigación de Operaciones solo en Docsity! República Bolivariana de Venezuela Ministerio del Poder Popular para la educación superior Universidad Bicentenaria De Aragua Núcleo: San Antonio de los Altos Cátedra: Auditoria de Sistemas Docente: Estudiante: Gerardo García Lisbeth Rodrigues v-30.411.416 ACTIVIDAD SUMATIVA 2 Introducción: Para llevar a cabo una auditoria de sistemas computacionales se requiere una serie ordenada de acciones y metodologías especificas las cuales deberán ser diseñadas previamente de manera secuencial, cronológica y ordenada de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución. En este artículo presentamos la importancia de ambos elementos, los requisitos de los mismos, sus propósitos y elementos más importantes a tener en cuenta en su confección para que demuestren las afirmaciones del auditor. Evidencias Incluyen todas las influencias de la mente de un auditor que afecten su juicio acerca de la exactitud de proposiciones remitidas a él para su revisión. El auditor no busca una prueba absoluta. Se ocupa de acuerdo con los requerimientos del encargo, de asegurar a una persona responsable y competente de la razonabilidad de las manifestaciones financieras de la dirección y/o de la adecuación de las actividades del Control Interno. Deben obtenerse evidencias suficientes, competentes y relevantes para fundamentar los juicios y conclusiones que formule el auditor. Las evidencias se clasifican en: 1. Evidencia física: se obtiene mediante inspección y observación directa de las actividades, bienes o sucesos; esta evidencia puede presentarse en forma de documentos, fotografías, gráficos, cuadros, mapas o muestras materiales. Cuando la evidencia física es decisiva para lograr los objetivos de la Auditoría Interna, debe ser confirmada adecuada y oportunamente por los auditores internos. 2. Evidencia documental: puede ser de carácter física o electrónica. Pueden ser externas o internas a la organización. 3. Las evidencias externas abarcan, entre otras, cartas, facturas de proveedores, contratos, auditorías externas y otros informes o dictámenes y confirmaciones de terceros. 4. Las evidencias internas tienen su origen en la organización, incluye, entre otros, registros contables, correspondencias enviadas, descripciones de puestos de trabajo, planes, presupuestos, informes internos, políticas y procedimientos internos. La confiabilidad de las evidencias documentales tiene que valorarse en relación con los objetivos de la Auditoría Interna. Evidencia testimonial: se obtiene de otras personas en forma de declaraciones hechas en el curso de investigaciones o entrevistas. Estas manifestaciones pueden proporcionar importantes indicios que no siempre cabe obtener a través de otras formas de trabajo en las auditorías internas. Se requiere la confirmación si van a utilizarse como prueba, por medio de la: — confirmación por escrito del entrevistado; — el análisis de múltiples fuentes independientes que revelen o expliquen los hechos analizados; y — comprobación posterior en los documentos. Evidencia analítica: surge del análisis y verificación de los datos. El análisis puede realizarse sobre cálculos, indicadores de rendimiento y tendencias reportadas en los informes financieros o de otro tipo de la organización u otras fuentes que pueden ser utilizadas. También pueden efectuarse comparaciones con normas obligatorias o ni-veles propios del sector al que pertenece la organización. Evidencia informática: puede encontrarse en datos, sistemas de aplicaciones, instalaciones y soportes, tecnologías y personal informático. Para determinar la confiabilidad de la evidencia informática, el Auditor Interno: Puede efectuar una revisión de los controles generales de los sistemas automatizados y de los relacionados específicamente con sus aplicaciones, que incluya todas las pruebas que sean permitidas; y Si no revisa los controles generales y los relacionados con las aplicaciones o comprueba que esos controles no son confiables, podrá practicar pruebas adicionales o emplear otros procedimientos Los requisitos básicos de la evidencia están referidos a la suficiencia, competencia y relevancia. La evidencia es suficiente cuando por los resultados de la aplicación de una o varias pruebas, el auditor interno pueda adquirir certeza razonable de que los hechos revelados se encuentran satisfactoriamente comprobados. La suficiencia es la medida de la cantidad de pruebas, comprobaciones o verificaciones a efectuar, con respecto a determinados criterios y su confiabilidad. Los factores que indican la fuerza de las pruebas, comprobaciones o verificaciones a efectuar pueden estar vinculados, entre otros, a: Nivel de importancia del asunto a comprobar; Grado de riesgo asociado con la adopción de una conclusión errónea; Resultados mostrados en el Expediente Único; y Sensibilidad de la organización al asunto a comprobar. La competencia se refiere a que la evidencia debe ser válida y confiable. El auditor interno debe considerar cuidadosamente si existen razones para dudar de la validez e integridad de la evidencia. De ser así, debe obtener evidencia adicional o revelar esa situación como una limitación en el alcance de la Auditoría Interna. La validez, confiabilidad e integridad de la evidencia puede evaluarse tomando en consideración los siguientes factores: La evidencia que se obtiene de fuentes externas es más confiable que la obtenida de la propia organización; La evidencia que se obtiene cuando se ha establecido un sistema de control interno adecuado es más confiable que aquélla que se obtiene cuando el sistema de control interno es deficiente o no se ha establecido; La evidencia que se obtiene físicamente mediante un examen, observación, cálculo o inspección es más confiable que la que se obtiene en forma indirecta; Los documentos originales son más confiables que sus copias; Las evidencias orales comprobadas por escrito son más confiables que las evidencias orales; y La evidencia testimonial que se obtiene en circunstancias que permite a la persona expresarse libremente merece más crédito que aquélla que se obtiene en circunstancias comprometedoras. La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría. La evaluación de las amenazas o causas de los riesgos. Los controles utilizados para minimizar las amenazas o riesgos. La evaluación de los elementos del análisis de riesgos. Generalmente se habla de Riesgo y conceptos de Riesgo en la evolución de los Sistemas de Control Interno, en los cuales se asumen tres tipos de Riesgo: Riesgo de Control: Que es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno. Riesgo de Detección: Es aquel que se asume por parte de los auditores que en su revisión no detecten deficiencias en el Sistema de Control Interno. Riesgo Inherente: Son aquellos que se presentan inherentes a las características del Sistema de Control Interno. Sin embargo, los Riesgos están presentes en cualquier sistema o proceso que se ejecute, ya sea en procesos de producción como de servicios, en operaciones financieras y de mercado, por tal razón podemos afirmar que la Auditoría no está exenta de este concepto. Riesgos inherentes al ambiente de sistemas de información automatizados: Los riesgos pueden provenir de: • Deficiencias en actividades generales del sistema de información automatizado; • Desarrollo y mantenimiento de programas; • Soporte tecnológico del software de sistemas; • Operaciones; seguridad física; y control sobre el acceso a programas. Los riesgos pueden incrementar el potencial de errores o irregularidades en aplicaciones puntuales, en bases de datos, en archivos maestros o en actividades de procesamiento específicos. La naturaleza de los riesgos y las características del Control Interno integrado al sistema de información automatizado incluye lo siguiente: Falta de rastro de las transacciones. Algunos sistemas de información automatizada son diseñados de modo que un rastreo completo de una transacción que podría ser útil para fines de la Auditoría Interna, existe sólo por un corto período de tiempo o únicamente en forma legible por computadora. Un sistema complejo de aplicaciones incluye un gran número de procedimientos que pueden no dejar un rastro completo, por consiguiente, los errores en la lógica de un programa de aplicaciones pueden ser difíciles de detectar oportunamente por procedimientos manuales. Falta de segregación de funciones. Algunos procedimientos de control que normalmente son desempeñados por el personal a través de sistemas manuales en forma individual, pueden ser concentrados en un sistema de información automatizado. Se debe tener en cuenta que un mismo trabajador no debe tener acceso a los programas automatizados, al procesamiento de la información y a los datos que se obtienen a través de la computadora, porque el desempeño simultáneo de estas funciones son incompatibles. Conclusión: Las auditorias de sistema son de gran importancia para el desarrollo de los procesos y elaboración del producto final de todas las empresas, para así de esta manera brindar productos o servicios de calidad a todos sus clientes. El equipo auditor debe estar bien conformado con un grupo bien capacitado para desarrollar esta tarea con conocimientos generales de los principios de la auditoria, la competencia del auditor y la aplicación de técnicas de auditoria. Estas personas deberían tener habilidades en la gestión y también conocimientos técnicos y de negocios pertinentes para las actividades que van a auditarse