Escolar Documentos
Profissional Documentos
Cultura Documentos
Auditora Informtica
Auditora Informtica
Sesin 2: Introduccin a la auditora
Empresariales
Auditora Informtica
Agenda
Conceptos, importancia y clasificacin de auditora. Etapas de auditora.
Normas generales.
Estrategias y herramientas generales. Casos prcticos.
Conclusiones.
Empresariales
Auditora Informtica
Empresariales
Auditora Informtica
1. 2. 3. 4. 5.
Empresariales
Auditora Informtica
Conceptos de Auditora La Auditora Administrativa se ocupa de la calidad de la administracin. Est diseada para evaluar la efectividad de la administracin en el cumplimiento de sus tareas asignadas: El cumplimiento de los objetivos organizativos por parte de la Gerencia. El cumplimiento de sus funciones de planeacin, organizacin, direccin y control.
5
Empresariales
Auditora Informtica
Importancia de la Auditora La razn principal para llevar a cabo una auditora es la necesidad de detectar y superar las deficiencias. Por lo tanto, el auditor tiene la obligacin de detectar debilidades e indicar alternativas de solucin.
Empresariales
Auditora Informtica
Clasificacin de la Auditora Por su naturaleza: Auditora Administrativa u Operativa. Auditora de Gestin. Auditora a la Informacin Presupuestaria. Auditora de Estados Financieros. Auditora Tributaria. Auditora de Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditora Integral. Exmenes Especiales.
7
Empresariales
Auditora Informtica
Empresariales
Auditora Informtica
Clasificacin de la Auditora Esquema del Sistema de Auditora referido a su mbito, clases y tipo de auditores. mbito
Interna
Clase
Tipo de Auditor
Auditora
Externa
Auditora Administrativa Auditor Interno Auditora de Gestin. Auditora Inf. Presup. Auditora de EEFF. Auditora Tributaria. Auditora Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditor Externo Auditora Integral. Exmenes Especiales.
9
Empresariales
Auditora Informtica
Definicin del Auditor. Profesional colegiado, que tiene formacin, especializacin y experiencia en las tcnicas de auditora (informtica).
10
Empresariales
Auditora Informtica
Perfil Genrico del Auditor. 1.El auditor no es, ni debe esperarse que sea un perito en todas las materias. 2.El equipo de auditora informtica est compuesto por un staff de especialistas en cada una de las ramas: redes de comunicacin, bases de datos, sistemas de informacin, aplicaciones diversas, planes de contingencias, organizacin, etc. 3.La independencia mental del auditor ser mayor entre mayor sea el nivel al que reporta.
11
Empresariales
Auditora Informtica
Perfil Genrico del Auditor. 4. El auditor debe tener formacin profesional, con Postgrado y especializado en el sistema de control. 5. El auditor debe contar con amplia experiencia profesional, a nivel de ejecutivo. 6. El auditor debe acreditar solvencia moral y tica en su trayectoria personal y profesional. 7. El auditor debe guardar discrecin profesional en su ejercicio.
12
Empresariales
Auditora Informtica
Etapas de la auditora
13
Empresariales
Auditora Informtica
Las etapas de un proyecto de auditora son las siguientes: 1.Planificacin. 2.Ejecucin. 3.Elaboracin de informes. La calidad de cada etapa es crucial para el logro de los objetivos del proyecto de auditora.
14
Empresariales
Auditora Informtica
1.- Planificacin - El proyecto de auditora debe planificarse adecuadamente para asegurar su calidad. - Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan. - Los Programas de Auditora deben incluir los objetivos, alcances de la muestra, procedimientos detallados, oportunidad de su aplicacin y el personal responsable de su ejecucin.
15
Empresariales
Auditora Informtica
1.- Planificacin (continuacin) - Debe organizarse el Archivo Permanente (conjunto de documentos con informacin de inters y de uso continuo).
16
Empresariales
Auditora Informtica
17
Empresariales
Auditora Informtica
2.- Ejecucin - Debe focalizarse principalmente a las reas crticas de la entidad. - Debe evaluarse el cumplimiento adecuado de las normas tcnicas informticas. - Debe realizarse de manera continua la supervisin de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos. - Deben obtenerse evidencias suficientes, competentes y relevantes que sustenten los hallazgos. 18
Empresariales
Auditora Informtica
2.- Ejecucin (continuacin) - Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones, a travs de Papeles de Trabajo. - Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad.
19
Empresariales
Auditora Informtica
20
Empresariales
Auditora Informtica
3.- Elaboracin de Informes - Existen informes de cada especialista dentro de los aspectos auditados: Organizacin, sistemas de informacin, redes de comunicacin de datos, planes de contingencias, etc.
Empresariales
Auditora Informtica
3.- Elaboracin de Informes (Continuacin) - El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes. - Cuando se evidencie la realizacin de actos delictivos, debe elaborarse con celeridad un informe especial, anexando la documentacin tcnica y legal sustentatoria.
22
Empresariales
Auditora Informtica
23
Empresariales
Auditora Informtica
24
Empresariales
Auditora Informtica
Normas de Auditora Generalmente Aceptadas NAGAs y Normas Internacionales de Auditora NIAs. Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realizacin de una auditora y en la emisin del informe. Se dividen en: a) Normas Generales de Auditora. b) Normas de Trabajo. c) Normas de Preparacin de Informes.
25
Empresariales
Auditora Informtica
a)Normas Generales de Auditora. 1. La auditora ser efectuada por profesionales que tienen entrenamiento tcnico adecuado y pericia como auditores. 2. El auditor mantendr independencia de criterio. 3. Debido cuidado profesional en la ejecucin del examen y en la preparacin del informe.
26
Empresariales
Auditora Informtica
b)Normas de Trabajo. 1. La auditora ser planeada adecuadamente. 2. Se estudiar y evaluar el control interno, para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditora. 3. Se obtendr evidencia adecuada en grado suficiente, mediante constataciones, indagaciones y confirmaciones, para proveer una base razonable que permita la expresin de una opinin sobre la 27 gestin empresarial.
Empresariales
Auditora Informtica
c)Normas de Preparacin de Informes. 1. Todo informe de auditora contendr lo siguiente: Informacin introductoria. Observaciones. Conclusiones. Recomendaciones. Anexos.
28
Empresariales
Auditora Informtica
29
Empresariales
Auditora Informtica
TCNICAS DE AUDITORA: Formas de accin del auditor para obtener evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado. Son herramientas que emplea el auditor segn su criterio y las circunstancias.
30
Empresariales
Auditora Informtica
TCNICAS DE AUDITORA: Las tcnicas se clasifican de acuerdo con la accin adoptada por el auditor en el desarrollo de la accin a efectuar: Tcnicas de verificacin orales: Indagacin, entrevistas. Tcnicas de verificacin oculares: Observacin, comparacin.
31
Empresariales
Auditora Informtica
TCNICAS DE AUDITORA: Tcnicas de verificacin escrita: Anlisis, conciliacin, confirmacin. Tcnicas de verificacin Comprobacin, rastreo. documental:
32
Empresariales
Auditora Informtica
EVIDENCIAS: Es el conjunto de hechos comprobados suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.
Es la informacin especfica obtenida durante la labor de auditora a travs de observacin, inspeccin, entrevistas y examen de los procesos informticos.
33
Empresariales
Auditora Informtica
EVIDENCIAS: Las evidencias pueden ser: Evidencia fsica: Mediante observacin directa. inspeccin u
Evidencia testimonial: Obtenida de otros a travs de cartas o declaraciones recibidas en respuestas a indagaciones.
Evidencia documental: Documentos internos de la empresa y documentos externos.
34
Empresariales
Auditora Informtica
35
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): Las evidencias deben tener las siguientes caractersticas: Suficiencia: La evidencia ser suficiente cuando por los resultados de la aplicacin de una o varias pruebas, el auditor podr adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados. Para determinar si la evidencia es suficiente, se requiere aplicar el criterio profesional. Cuando sea conveniente, se podr emplear mtodos 36 estadsticos con ese propsito.
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): Competencia: Para que sea competente, la evidencia debe ser vlida y confiable. A fin de evaluar la competencia de la evidencia, el auditor deber considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. De ser as, deber obtener evidencia adicional o revelar esa situacin en su informe.
37
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): Competencia:Los siguientes supuestos constituyen criterios tiles para juzgar si la evidencia es competente, si bien no debern considerarse suficientes para determinar la competencia: La evidencia que se obtiene de fuentes independientes es ms confiable que la obtenida del propio organismo auditado.
38
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es ms confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido. La evidencia que se obtiene fsicamente mediante un examen, observacin, clculo o inspeccin es ms confiable que la que se obtiene en forma indirecta.
39
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): Los documentos originales son ms confiables que sus copias. La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crdito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).
40
Empresariales
Auditora Informtica
EVIDENCIAS (continuacin): Relevancia: Se refiere a la relacin que existe entre la evidencia y su uso. La informacin que se utilice para demostrar o refutar un hecho ser relevante si guarda una relacin lgica y patente con ese hecho. Si no lo hace, ser irrelevante y, por consiguiente, no deber incluirse como evidencia. Cuando lo estimen conveniente, el auditor deber obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y 41 competencia de la evidencia que haya obtenido..
Empresariales
Auditora Informtica
42
Empresariales
Auditora Informtica
43
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA: Es una reunin lgica de datos y una presentacin objetiva de los hechos que el auditor ha observado o encontrado durante su examen. Un hallazgo debe tener ciertos requisitos: Importancia relativa que merezca su comunicacin. Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. Convincente a una persona que no ha participado en la auditora (!!!Yo vi un OVNI) Por qu no me creen?.
44
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): En un hallazgo deben considerarse los siguientes factores: Las condiciones y circunstancias existentes al momento en que ocurri el hecho. ndole y complejidad tcnica del hecho observado. Someter el hallazgo potencial a un anlisis crtico. Suficientemente completo para una conclusin y/o recomendacin.
45
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Las pasos a seguir en el desarrollo de un hallazgo pueden ser: Identificacin de las lneas de autoridad. Verificacin de las causas de la deficiencia. Determinar si la deficiencia es un caso aislado o tiene el problema o la condicin difundida. Determinacin de los efectos.
46
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Obtencin de comentarios de personas afectadas por el hecho encontrado. Determinacin de las conclusiones en base al hallazgo. Determinacin de posibles acciones correctivas a modo de recomendaciones.
47
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Los atributos de un hallazgo son: Condicin: Situacin actual encontrada, LO QUE ES. Criterio: La norma aplicada o unidad de medida, LO QUE DEBE SER Efecto: La diferencia entre LO QUE ES y LO QUE DEBE SER. Causa: Las razones de desviacin POR QU SUCEDI.
48
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Condicin: De la revisin a los procesos de generacin de las copias de respaldo a la informacin del Sistema de Informacin, se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad.
49
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Criterio: Esta situacin contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos, de la Fundacin de Auditora y Control de Sistemas de Informacin, la cual indica que los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones
50
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Efecto: La consecuencia que traera sera la prdida definitiva de la informacin, en el caso de la ocurrencia de desastres tales como un incendio.
51
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Causa: No se ha identificado an el lugar destinado para estos fines.
Cuando no se sabe con precisin la CAUSA, porque las razones son difusas o an no se tiene la respuesta del auditado, este atributo no es considerado en el hallazgo.
52
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Sin embargo, no son fciles de definir: En una entidad se evidenci que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso, el cual estaba conformado ntegramente por damas. Adems, los pozos a tierra no tenan el mantenimiento adecuado para su correcto funcionamiento. Revisando el MOF del rea informtica, no se encontr dentro de sus funciones la administracin de extintores ni pozos a tierra. 53
Empresariales
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Pregunta: Es pertinente hacer un hallazgo si el rea de informtica no es la responsable de estas funciones? De acuerdo al MOF, las reas responsables son: -Adm. de extintores: Dpto. de Seguridad. -Adm. de pozos a tierra: Dpto. de mantenimiento elctrico. Si estamos auditando procesos informticos porqu tenemos que hacer hallazgos en reas que no realizan tareas informtica? 54
Empresariales
Auditora Informtica
Definicin: Conjunto de cdulas y documentos en los que el auditor registra cronolgicamente datos por l formulados, la informacin obtenida e igualmente el resultado de sus pruebas tcnicas, mtodos y procedimientos utilizados en el desarrollo de una auditora.
55
Empresariales
Auditora Informtica
LOS PAPELES DE TRABAJO DEL AUDITOR: Importancia: Historial de la labor efectuada. Resultado de la labor del auditor. Respaldo del informe del auditor. Deja constancia del grado de confianza del control interno. Es fuente de informacin futura. Facilita la revisin y supervisin del trabajo. Respaldan los hallazgos de auditora. Es base para la elaboracin del informe.
56
Empresariales
Auditora Informtica
Contenido: Programa de Auditora. Cuestionarios de control interno. Hojas de trabajo del auditor. Informacin respectiva de la empresa. Confirmaciones externas. Notas y observaciones del auditor.
57
Empresariales
Auditora Informtica
Referencia
Anexos
58
Empresariales
Auditora Informtica
59
Empresariales
Auditora Informtica
60
Empresariales
Auditora Informtica
Luego del desarrollo de la sesin, elaborar el siguiente trabajo que ser entregado en la plataforma web del modulo: Por qu es importante la auditora informtica? Cules son las etapas de auditora y sus funciones? Qu caractersticas tiene un auditor? Qu tcnicas de auditora existen? Qu tipos de evidencias existen?
Empresariales
Auditora Informtica
62