








































































Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Prepara tus exámenes
Prepara tus exámenes y mejora tus resultados gracias a la gran cantidad de recursos disponibles en Docsity
Prepara tus exámenes con los documentos que comparten otros estudiantes como tú en Docsity
Encuentra los documentos específicos para los exámenes de tu universidad
Estudia con lecciones y exámenes resueltos basados en los programas académicos de las mejores universidades
Responde a preguntas de exámenes reales y pon a prueba tu preparación
Consigue puntos base para descargar
Gana puntos ayudando a otros estudiantes o consíguelos activando un Plan Premium
Comunidad
Pide ayuda a la comunidad y resuelve tus dudas de estudio
Ebooks gratuitos
Descarga nuestras guías gratuitas sobre técnicas de estudio, métodos para controlar la ansiedad y consejos para la tesis preparadas por los tutores de Docsity
ejemplo auditoria tecnologías de la información
Tipo: Apuntes
1 / 80
Esta página no es visible en la vista previa
¡No te pierdas las partes importantes!









































































Manual de Auditoría de Gestión a las Tecnologías de Información y
5.2 Indicadores de Gestión (Eficiencia, Eficacia, Efectividad y Economía) aplicados al Área de Tecnología de Información y Comunicaciones ........................................................................................... 34 5.3 Evaluación de Riesgos Tecnológicos. ......................................... 36 5.4 Evaluación de Control Interno Tecnológico. ................................ 38 5.5 Normativa Técnica de Control Interno y Fuentes de Información. .. 41 5.6 Comunicación de Asuntos de Importancia Relativa de TIC´s. .................................................................. 42 5.7 Informe Ejecutivo de Análisis Previo. ......................................... 43
1.1 Pasos para desarrollar una TAAC. ............................................. 48 1.2 Seguridad de datos y Técnicas de Auditoría Asistidas por Computadora. ....................................................................... 48
i
Manual de Auditoría de Gestión a las Tecnologías de Información y
El presente manual de auditoría de gestión a las tecnologías de información y comunicaciones describe procedimientos que los auditores deben utilizar para verificar el uso de los recursos tecnológicos, confidencialidad, confiabilidad, integridad, disponibilidad de la información procesada por los sistemas de información automatizados y apoyo en la automatización de los procesos operativos y administrativos de la entidad para llegar a medir los indicadores de gestión de eficiencia, efectividad y economía de las tecnologías de información y comunicaciones implementadas por la institución y presentar conclusiones y recomendaciones oportunas y acertadas que sirvan de guía para corregir las deficiencias que pueden llegar a existir y lograr mejorarlas.
El Capítulo I , describe las generalidades de la investigación como: título de la investigación, definición del problema, los objetivos de la investigación, el alcance de la investigación incluyendo el proceso de
metodología utilizada, los antecedentes de las tecnologías de la información y comunicaciones en las diferentes entidades del sector público y municipal que trabajan continuamente con sistemas informáticos.
En el Capítulo II Desarrollo de la investigación, se describen los objetivos del manual, el diseño, preparación y conservación de papeles de trabajo y la naturaleza de la documentación de auditoría en formato electrónico en cada ente fiscalizador, además de los procedimientos que deben desarrollar los auditores en la fase de planificación de auditoría y de
ii
Manual de Auditoría de Gestión a las Tecnologías de Información y
los estándares internacionales que intervienen en el proceso de una auditoría de gestión a las tecnologías de información y comunicaciones.
El Capítulo III de la Planificación, describe el desarrollo de una auditoría de gestión a las TIC´s, en la fase de planificación, obteniéndose un entendimiento y comprensión de los aspectos siguientes: entorno de la entidad y del Área de Tecnología de Información, procesos sistematizados, administración de riesgos, evaluación de indicadores de gestión, control interno y organización del área de tecnología de información y comunicaciones, pues dicho conocimiento le brinda un marco conceptual, que le permite evaluar si la organización sigue un enfoque estructurado de gestión informática y si el mismo es adecuado, además el seguimiento a recomendaciones de auditorías anteriores, la elaboración de un plan de trabajo de auditoría y de la ejecución de guía de procedimientos de análisis previo y la elaboración del informe ejecutivo de análisis previo que contendrá los asuntos de importancia identificados y agrupados por proyectos de las áreas vulnerables o de impacto determinados.
En el Capítulo IV de la Ejecución, se describen las pruebas asistidas por computadora que se pueden aplicar para investigación y la obtención de evidencia de las causas que originan una debilidad en gestión tecnológica, la evaluación y recolección de evidencia suficiente y apropiada que permitan emitir las conclusiones acerca de la operatividad de la gestión en tecnología de información y comunicaciones.
El Capitulo V de Informe, describe la estructura que debe de contener un informe de resultados preliminares, la carta de gerencia, que dará a conocer a la administración todos aquellos asuntos de menor importancia,
Manual de Auditoría de Gestión a las Tecnologías de Información y
La creciente disponibilidad de información electrónica y procesos soportados por recursos informáticos y de comunicación que son capaces de satisfacer las circunstancias tanto funcionales como económicas, de oportunidad y efectividad de las entidades públicas, hacen que el auditor se vea en la necesidad de poseer el conocimiento suficiente de los sistemas de información por computadora para planear, dirigir, supervisar, y revisar el trabajo a desarrollar. La naturaleza especializada de la auditoría de gestión a las tecnologías de la información y comunicaciones (TIC´s), requiere de habilidades y conocimientos técnicos informáticos, para desarrollar este tipo de auditorías, además es necesario para el desarrollo de la auditoria, la implementación de normativa legal y técnica en el Área de Tecnología de Información y Comunicaciones de la administración pública y municipal y promulgación de normas generales para la auditoría a los sistemas de información. Para realizar auditoría de gestión a las tecnologías de información y comunicaciones requiere realizar una adecuada planeación de la auditoría, se debe tener un conocimiento general razonable que permita determinar el alcance, tamaño y características de cada área de Tecnología de la Información y Comunicación dentro de la organización que se auditará, sus sistemas, procesos sistematizados, normativa técnica utilizada por la entidad, adopción e implementación de estándares internacionales relacionados con seguridad de la información, control interno y servicios tecnológicos, organización y equipo físico y lógico.
Manual de Auditoría de Gestión a las Tecnologías de Información y
1.1 Título de la Investigación
Manual de Auditoría de Gestión a las Tecnologías de la Información y Comunicaciones.
1.2 Definición del Problema
Los Entes Fiscalizadores no poseen una metodología apropiada a seguir para el desarrollo de auditorías de gestión a las tecnologías de información y comunicaciones.
1.3 Objetivos de la Investigación.
Manual de Auditoría de Gestión a las Tecnologías de Información y
Elegido el tema de estudio se procede a la recopilación y lectura bibliográfica sobre la temática de interés, la cual permite fortalecer los conocimientos teóricos y conceptuales.
La investigación contará con el título de la investigación, definición del problema, los objetivos, el alcance de la investigación y los antecedentes.
1.6 Antecedentes.
En todas las áreas de la gestión pública y municipal, las tecnologías de información y comunicaciones han transformado la manera de prestar los servicios al público, optimizando los recursos y volviéndose más productivos, siendo capaces de producir mucho más, de mejor calidad, invirtiendo mucho menos tiempo.
Las Tecnologías de Información y Comunicaciones, también conocidas como TIC, son el conjunto de tecnologías desarrolladas para gestionar información y enviarla de un lugar a otro. Incluyen las tecnologías para almacenar información y recuperarla después, enviar y recibir información de un sitio a otro, o procesar información para poder calcular resultados y elaborar informes.
Las Tecnologías de la Información y la Comunicación están presentes en nuestras vidas y la han transformado.
Manual de Auditoría de Gestión a las Tecnologías de Información y
Esta revolución ha sido propiciada por la aparición de la tecnología digital. La tecnología digital, unida a la aparición de ordenadores cada vez más potentes, ha permitido a la humanidad progresar muy rápidamente en la ciencia y la técnica desplegando nuestro arma más poderosa: la información y el conocimiento.
La Auditoría de Gestión a las Tecnologías de Información y Comunicaciones, consiste en el examen de carácter objetivo (independiente), crítico (evidencia), sistemático (normas) y selectivo (muestral) de las políticas, normas, funciones, actividades, procesos e informes de una entidad, con el fin de emitir una opinión profesional (imparcial) con respecto a: eficiencia en el uso de los recursos informáticos, validez y oportunidad de la información, efectividad de los controles establecidos y la optimización de los recursos tecnológicos.
Este enfoque es totalmente compatible con las prácticas y controles contenidos en COBIT, ITIL, estándares o normativa que relaciona el enfoque COSO, SAC, NIAS, Estándares de Seguridad de la Información (ISO 27000) entre otros, que hacen referencia a las pistas de auditoría en los sistemas informáticos, controles de acceso a los sistemas, bases de datos, Áreas de Tecnología de la Información y Comunicaciones (TIC´s) área de servidores, codificación de la información, prevención de virus, fraude,
Manual de Auditoría de Gestión a las Tecnologías de Información y
se almacenará según las necesidades particulares de cada entidad fiscalizadora.
El auditor deberá preparar y conservar los papeles de trabajo adecuados, los cuales le ayudan en la planeación, desempeño, supervisión y revisión de la auditoría, y registran la evidencia obtenida para apoyar la opinión de auditoría.
La documentación de auditoría es conocida también como: "papeles de trabajo”. Y se refiere al registro de los procedimientos desarrollados en la auditoría, es decir, la evidencia más relevante obtenida en el transcurso de la misma; incluyendo las conclusiones a las que llegó el auditor.
1.2.1 Información mínima que deben contener los papeles
Los papeles de trabajo electrónicos que elaborarán los auditores de sistemas informáticos serán en forma electrónica y deben ser completos, de tal forman que muestren: la información y los hechos concretos, el alcance del trabajo efectuado, las fuentes de la información obtenida y las conclusiones respectivas. ANEXO 1.
Como anteriormente se mencionó, la forma de documentar la evidencia va a depender del auditor, pero hay que tomar
Manual de Auditoría de Gestión a las Tecnologías de Información y
en cuenta, las leyes que rigen cada país para presentar la documentación en forma electrónica o física.
1.2.2 Organización de Papeles de Trabajo.
A efecto de clasificar y organizar el archivo corriente y permanente de los papeles de trabajo originados en la auditoría de gestión a las TIC´s, a continuación se presenta un ejemplo de cómo realizarlo:
Archivo Permanente Legal Administrativo Técnico Ley de Creación de la entidad
Organigrama TIC Inventario de hardware y software Manual de organización
Manual de Funciones Sistemas operativos
Manual de Descripción de Puestos
Bases de datos
Políticas y procedimientos de TIC´s
Aplicaciones
Contratos de nombramiento
Planes de contingencia
Instructivos Diagrama de Red Formularios
Manual de Auditoría de Gestión a las Tecnologías de Información y
autorizada y proporcionada por el servidor público auditado, mientras no se tenga una legislación que avale la documentación en formato electrónico.
La documentación de auditoría debe ser preparada y archivada de tal manera que si en determinado momento otro auditor con experiencia necesite tener acceso a ella por cualquier motivo, pueda entender: la naturaleza, oportunidad y extensión de los procedimientos de auditoría desempeñados; los resultados y la evidencia de auditoría obtenida, así como las conclusiones obtenidas durante la auditoría.
1.4 Forma, Contenido y Extensión de la Documentación de Auditoría.
Los papeles de trabajo deben ser preparados lo suficientemente completos y detallados con el fin de que haya una mejor comprensión de la auditoría. Las Normas de Auditoría de la Organización Internacional de Entidades Fiscalizadoras (INTOSAI), en los acápites 153 a 158, destacan la importancia de la documentación del trabajo de auditoría, resaltamos lo señalado en los acápites 156 y 158: “ 156. Los auditores deben justificar documentalmente, de manera adecuada, todos los hechos relativos a la fiscalización, incluso los antecedentes, y la extensión de la planeación, del trabajo realizado y de los hechos puestos de manifiesto.”; “ 158. El auditor debe tener en cuenta que el contenido y la disposición de los
Manual de Auditoría de Gestión a las Tecnologías de Información y
documentos de trabajo reflejan su grado de preparación, experiencia y conocimiento. Los documentos de trabajo deben ser lo suficientemente completos y detallados como para permitir a un auditor experimentado, que no haya tenido previa relación con la auditoría, descubrir a través de ellos el trabajo realizado para fundamentar las conclusiones.”
2. FASES DEL PROCESO DE AUDITORÍA
P L A N I F I C A C I Ó N
EJECUCIÓN
INFORME
ANÁLISIS Y EVALUACIÓN DE RIESGOS
IDENTIFICACIÓN Y EVALUACIÓN DE INDICADORES
CONOCIMIENTO GENERAL DE LA ENTIDAD Y DEL ÁREA DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN
PLAN DE TRABAJO DE ANALISIS PREVIO Y EJECUCIÓN DE LA AUDITORIA
EJECUCIÓN DE PROGRAMAS, PRUEBAS DE CUMPLIMIENTO Y SUSTANTIVAS, OBTENCIÓN DEEVIDENCIAS
RESULTADOS PRELIMINARES DE AUDITORIA
INFORME DE AUDITORIA
EVALUACIÓN DEL CONTROL INTERNO
SEGUIMIENTO DE RECOMENDACIONES DE INFORMES DE AUDITORÍA ANTERIORES