• Las Normas.
• La Evidencia.
• Las Irregularidades.
• La Documentación.
• El Informe
El Informe de Auditoría (Introducción)
• El Informe de Auditoría suministra a la administración de la empresa, información sustancial sobre su proceso administrativo, como una forma de contribuir al cumplimiento de sus metas y objetivos programados.
• El Informe de Auditoría Informática, es el objetivo de la Auditoría Informática.
• Podemos afirmar que nunca antes hemos sido tan dependientes de los SI. y nunca antes hemos necesitado tanto a expertos eficientes en Auditoría Informática.
• La Informática es muy joven; por tanto, la Auditoría Informática lo es más. No está todo sin hacer; pero sí quedan muchos cabos por atar y en ésto el tiempo no es neutral.
El Informe de Auditoría (Las Normas)
• ISACF – Information Systems And Control Foundation.
• LORTAD - Ley Orgánica de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal.
• ISO - International Standard Organization.
• Comité Europeo de Normalización.
• Asociación Española de Normalización y Certificación.
• ITSEC - Information Technologic Security Evaluation Criteria.
• ITSEM - Information Technologic Security Evaluation Method.
• TCSEC – Trusted Computer System Evaluation Criteria.
• ISO 17799.
El Informe de Auditoría (La Evidencia)
• La evidencia relevante, que tiene una relación lógica con los objetivos de la auditoría.
• La evidencia fiable, que es válida y objetiva, aunque con nivel de confianza.
• La evidencia suficiente, que es de tipo cuantitativo para soportar la opinión profesional del auditor.
• La evidencia adecuada, que es de tipo cualitativo para afectar a las conclusiones del auditor.
El Informe de Auditoría (Las Irregularidades)
• Recordemos que en los organismos y las empresas, la Dirección tiene la responsabilidad principal y primaria de la detección de irregularidades, fraudes y errores; la responsabilidad del auditor se centra en planificar, llevar a cabo y evaluar su trabajo para obtener una expectativa razonable de su detección.
• Por prudencia y rectitud, convendrá aclarar al máximo de ser posible si el Informe de Auditoría es propiamente de auditoría y no de consultoría o asesoría informática, o de otra materia afín o próxima.
• Aunque siempre debe prevalecer el secreto profesional del auditor, conviene recordar que en el caso de detectar fraude durante el proceso de auditoría procede actuar delicadamente, sobre todo si afecta a los administradores de la organización objeto de auditoría. Ante un caso así, conviene consultar a la Comisión Deontológica Profesional, al asesor jurídico, y leer detenidamente las normas profesionales, el Código Penal y otras disposiciones.
El Informe de Auditoría (La Documentación)
• En el argot de auditoría se conoce como papeles de trabajo la totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión.
• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
• Se considera además en know how del auditor.
• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.
El Informe de Auditoría (El Informe)
• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:
– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.
El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)
• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.
• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.
• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.
El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)
• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.
• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.
• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.
• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.
El Marco Jurídico de la Auditoría Informática (La Base de Datos)
• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.
• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.
• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.
• Un Informe profesional tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión.
• Se considera además en know how del auditor.
• Los papeles de trabajo pueden llegar a tener valor en los Tribunales de Justicia.
El Informe de Auditoría (El Informe)
• Los puntos esenciales, genéricos y mínimos del Informe de Auditoría Informática, son los siguientes:
– Identificación del Informe.
– Identificación del Cliente.
– Identificación de la entidad auditada.
– Objetivos de la Auditoría informática.
– Normativa aplicada y excepciones.
– Alcance de la Auditoría.
– Conclusiones: Informe corto de opinión.
– Resultados: Informe largo y otros informes.
– Informes previos.
– Fecha del Informe.
– Identificación y Firma del Auditor.
– Distribución del Informe.
El Marco Jurídico de la Auditoría Informática (Protección de Datos Personales)
• La mayoría de peruanos se ha encontrado muchas veces con llamadas telefónicas o correspondencia de instituciones privadas ofreciéndoles tarjetas de crédito, préstamos, afiliaciones y productos, entre otros. Queda en el misterio cuál fue la fuente de información de los números de teléfono, domicilio, ocupación, la edad o el estado civil de quienes eran contactados.
• Ante esta situación, el Ministerio de Justicia constituyó (mediante Resolución Ministerial N° 094-2002-JUS) la Comisión Especial para proponer el Proyecto de Ley de Protección de Datos Personales y elaborar las propuestas legislativas y administrativas que correspondan.
• La Comisión a cargo presentó el 15/12/2003 el Proyecto de Ley No. 09371 donde en su artículos 61, 63, 69 se trata de la protección de datos personales de los ciudadanos y sus restricciones.
El Marco Jurídico de la Auditoría Informática (Protección Jurídica de los Programas de Computador)
• En el Perú, sólo el INDECOPI y el Poder Judicial son las únicas autoridades que pueden sancionar por reproducción o uso indebido de software.
• Para el INDECOPI, el software se protege como una obra literaria, fruto del ingenio humano. La tutela comprende al código fuente, código objeto, la documentación técnica y los manuales de uso, así como a las versiones sucesivas y programas derivados.
• Sin embargo, actualmente en nuestro país no existen leyes jurídicas que respalden drásticamente la protección de los datos de las empresas.
• Ante ésto, la Comisión de Reglamentos Técnicos y Comerciales de INDECOPI ha elaborado la Norma Técnica Peruana en conjunto con el Comité Técnico de Normalización de Codificación e Intercambio Electrónico de Datos (EDI), utilizando como antecedente a la Norma ISO/IEC 17799.
El Marco Jurídico de la Auditoría Informática (La Base de Datos)
• El INDECOPI establece que las bases de datos se protegen siempre y cuando sean originales en razón de la selección, coordinación o disposición de su contenido. Por ejemplo, las páginas blancas de las guías telefónicas no pueden ser protegidas ya que la información de los nombres y apellidos de las personas con sus números de teléfono ha sido puesta de manera alfabética, careciendo de la originalidad y creatividad que se requiere para la protección.
• Para poder incluir obras o parte de ellas en una base de datos se debe pedir permiso al titular del derecho de autor.
• En definitiva lo que se debe proteger en una base de datos no es simplemente el almacenamiento de obras, su ordenación y recuperación, sino que es todo el procedimiento de creación y el resultado final de la misma, en cuanto a su contenido, análisis, almacenamiento, clasificación, selección. y ordenación que caracteriza a la base de datos en sí.
0 comentarios:
Publicar un comentario