Introduccin auditora

1. 1. Teoras de administracin de empresas (Anthony, Blumenthal, Nolan). El rol de

la auditoria en las organizaciones. Gobierno de TI: Sistema mediante el cual la
Tecnologa de Informacin (TI) es dirigida y controlada, con el propsito de estar
alineada al negocio y habilitar el logro de sus objetivos estratgicos.
ANTECEDENTES ANTES DETECTOR DE PROBLEMAS HOY IDENTIFICADOR DE
OPORTUNIDADES Y EMISOR DE PROPUESTAS DE VALOR
2. 2. AUDITORA DE SISTEMAS: La disciplina que mediante tcnicas y procedimientos
aplicados en una organizacin por personal independiente a la operacin de la misma,
evala la funcin de tecnologa de informacin y su aporte al cumplimiento de los
objetivos institucionales; emite una opinin al respecto y efecta recomendaciones
para mejorar el nivel de apoyo al cumplimiento de dichos objetivos. DEFINICIN
Aplicada por personas independientes a la operacin: Independencia de criterio.
Libertad para expresar su juicio.
3. 3. 1. Requisito Legal (Bolsa de Valores). 2. Para Certificacin. 3. Poltica de la
Organizacin. 4. Problema u oportunidad de Mejora. ORIGEN DE LA AUDITORA
4. 4. 1. LA AUDITORIA EXTERNA: Es aquella que realiza un auditor o grupo de auditores
que son independientes a la empresa auditada y su relacin con la misma se limita a
un contrato o convenio de servicios profesionales establecido entre la empresa
auditada y el auditor. CLASIFICACIN QUIEN REALIZA LA AUDITORA Beneficios:
Alto nivel tcnico. Experiencia profesional en distintas industrias. Ser
independientes a las empresas que auditan (credibilidad). La legislacin tributaria o
los requisitos de participacin en Bolsa.
5. 5. FIRMAS DEL PANORAMA MUNDIAL: Price Waterhouse Coopers Ernest and
Young KPMG - Peat Marwick Deloitte and Touch. CASO: Arthur Andersen Enron
Corporation: Houston junio 2002 por obstruir la justicia, destruir y alterar documentos.
Multa y privacin de funciones. CLASIFICACIN
6. 6. 2. LA AUDITORIA INTERNA Realizada por un auditor o grupo de auditores
empleados formalmente por la empresa. Sus funciones son ajenas totalmente a la
operacin de la misma Sus actividades se limitan a las directamente relacionadas con
la auditoria. Los auditores internos reportan normalmente al Consejo de Administracin
o al presidente de ste. Las funciones del director general son objeto de evaluacin por
parte del auditor. CLASIFICACIN QUIEN REALIZA LA AUDITORA
7. 7. Auditoria Integral o de Gestin: Evaluar en su totalidad los objetivos que existen en
una organizacin (administrativa, financiera, ambiental, producto final, sistemas y
energtica). Auditoria Administrativa: Evaluacin de aspectos relacionados con la
eficiencia y productividad de las operaciones de una empresa. Auditoria Financiera:
Emitir una opinin sobre los estados financieros de una organizacin, evaluacin de
aspectos de integridad y veracidad de la informacin. Auditora de Sistemas: Evaluar
el componente tecnolgico de la organizacin. POR OBJETIVOS QUE SE
PERSIGUEN CLASIFICACIN

8. 8. Determinar si cumple con: Requisitos de ley. Los objetivos de la organizacin.

Un procedimiento y determinar su eficacia. Identificar riesgos. Mejorar la
comunicacin. Por qu? Por qu y cundo realizar auditoras? Cundo? Se
determina de acuerdo con el riesgo. De acuerdo con un plan preestablecido. Hay
cambios en los procesos, productos o servicios. Por la necesidad de acciones
correctivas. De acuerdo a resultados de auditoras previas.
9. 9. Conocimiento acerca de cmo funciona la organizacin. Mejora relaciones
cliente-proveedor. Confirmacin que el sistema funciona eficazmente.
Recomendaciones de mejora en la productividad y eficiencia. Minimizar el riesgo e
implementar controles. Resultados de la Auditora.
10. 10. PROCESO GENRICO Planear la Auditora Analizar y evaluar el Control Interno
Aplicar pruebas de Auditora Informar los resultados de la Auditora Efectuar
Seguimiento Supervisar el trabajo de Auditora Retroalimentacin COBIT MASSOFT
AS/NZ 4360 CMMI PMBOK SOX LOPD ISO NIST MAGERIT METRICA V.3 COSO
11. 11. PROCESO RIESGOS Y CONTROLES 10. Informe de Auditoria (Conclusiones y
Recomendaciones). 1.Planeacin 2.Levantamiento De Informacin 3.Determinacin de
Riesgos 4.Clasificacin de Riesgos 5.Evidencia de Controles 6.Anlisis de Riesgos
Reales 7.Anlisis de Consecuencias 8. Recomenda- ciones 9.Informe Preliminar
12. 12. ESTABLECER VIABILIDAD DEL TRABAJO DE AUDITORIA. Acordar con el
auditado: Alcance (tiempo, costo, recursos) Objetivos de la auditora (total, parcial,
proceso). Tipo de auditora (proceso, producto o servicio, registro-legal, sistemas)
Profundidad de la auditora (nivel de detalle). Las condiciones generales del mismo
(ambiente de trabajo). Manejo de autoridad, confidencialidad. Visita de Preauditora:
Adquirir un conocimiento general. Objetivos estratgicos Caractersticas de negocio
Infraestructura tecnolgica Sistemas de informacin reas de riesgo PROCESO
GENRICO
13. 13. 1. PLANEAR LA AUDITORIA. Con los requerimientos, realizar un trabajo de
planeacin: Determinar tipo de procedimientos de revisin Personal responsable del
desarrollo de las actividades Fechas y duracin del proceso de auditora. PROCESO
GENRICO
14. 14. Determinar tipo de procedimientos de revisin. ORGWARE LIVEWARE
SOFTWARE HARDWARE OBJETIVOS DEL NEGOCIO 1. SO, LP, BdD, R y C. 2.
Fuentes, Pruebas. 3. Riesgos y Controles. 1. SO, LP, BdD, R y C. 2. Capacidad. 3.
Continuidad. 1. Hallazgos, Riesgos, Controles, Consecuencias. 2. Recomendaciones.
MASSOFT: 1. Misin, Visin, Objetivos. 2. Polticas, normas (int-ext). 3. Proceso Vs
Aplicacin. 1. Cultura Organizacional. 2. Funciones. 3. Competencias.
15. 15. Auditora en TI Telecomuni- caciones Procesamiento electrnico de datos
Administracinde Empresas T.G.S Mtodos Numricos Finanzas y contabilidad
Sistemas de Informacin Com portam iento Hum ano Personal responsable del
desarrollo de las actividades:
16. 16. Fechas y duracin del proceso de auditora. Id EDT Hito Nombre de tarea Duracin
Comienzo Fin 1 1 S FASE0 - ACTIVIDADES HITO 193 das mi 15/03/06 lun 11/12/06
2 1.1 S Inscribir hoja vida en CVLAC 0 das lun 20/03/06 lun 20/03/06 3 1.2 S

Registro de Grupo en GRUPLAC 0 das lun 11/12/06 lun 11/12/06 4 1.3 S Reunin 01
Fase 1 Marzo 15 0 das mi 15/03/06 mi 15/03/06 5 1.4 S Reunin 02 Fase 1 Marzo
29 0 das lun 29/05/06 lun 29/05/06 6 1.5 S Reunin 03 Fase 1 Abril 19 0 das mi
19/04/06 mi 19/04/06 7 1.6 S Reunin 04 Fase 1 Mayo 10 0 das mi 10/05/06 mi
10/05/06 8 1.7 S Reunin 05 Fase 1 Mayo 31 0 das mi 31/05/06 mi 31/05/06 9 1.8
S Reunin 06 Fase 1 Junio 21 0 das mi 21/06/06 mi 21/06/06 10 2 No FASE I EPISTEMOLOGICA 85 das jue 23/02/06 mi 21/06/06 11 2.1 No Actividad 1 Solicitud
Compra Materiales 15 das jue 23/02/06 mi 15/03/06 12 2.1.1 No Normas (Cobit ISO) 15 das jue 23/02/06 mi 15/03/06 13 2.1.2 No 1 Pc 15 das jue 23/02/06 mi
15/03/06 14 2.1.3 No 1 Impresora 15 das jue 23/02/06 mi 15/03/06 15 2.1.4 No
Papeleria 15 das jue 23/02/06 mi 15/03/06 16 2.1.5 No Transporte 15 das jue
23/02/06 mi 15/03/06 17 2.2 No Actividad 2 Organizacin Equipos de Trabajo 6 das
mi 08/03/06 mi 15/03/06 18 2.2.1 No Estrategias 6 das mi 08/03/06 mi 15/03/06
19 2.2.2 No Metodologas 6 das mi 08/03/06 mi 15/03/06 20 2.2.3 No Monitoreo
Cronograma, Costos, Riesgos 6 das mi 08/03/06 mi 15/03/06 21 2.3 No Actividad 3
Anlisis y Diseo Instrumentos de Investigacin21 das mi 08/03/06 mi 05/04/06 22
2.3.1 No Tablas, Comparaciones, Formatos, Encuestas, Entrevistas21 das mi
08/03/06 mi 05/04/06 23 2.4 No Actividad 4 Anlisis Normas y Documentacin 35
das jue 16/03/06 mi 03/05/06 24 2.4.1 No Anlisis (Cobit, ISO y Documentos) 15
das jue 16/03/06 mi 05/04/06 25 2.4.2 No Comparar Anlisis 15 das jue 06/04/06
mi 26/04/06 26 2.4.3 No Informe Resultados 5 das jue 27/04/06 mi 03/05/06 15/03
20/03 15/03 L M X J V S D L M X J V S D L M 06 mar '06 13 mar '06 20 mar '06
17. 17. 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Obtener informacin
sobre los procedimientos de control. El control interno informtico controla diariamente
todas las actividades de sistemas de informacin para que sean realizadas cumpliendo
los procedimientos, estndares y normas fijados por la Direccin de la Organizacin
y/o la Direccin Informtica, as como los requerimientos legales. Por medio de:
Entrevistas Observacin Directa Inspeccin Documental Documentar para usar
como referencia y como fuente de consulta. PROCESO GENRICO
18. 18. 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Funciones del
control interno: Definir procedimientos de control. Control de la seguridad fsica y
lgica. Control del entorno de anlisis, diseo, desarrollo, produccin y
mantenimiento de los sistemas de informacin. Control de datos. Control de
soportes magnticos y fsicos. Control de calidad de los servicios. Control de
costos. Control de licencias e inventarios. Control de cambios de HW y versiones
de SW. Vigilancia del cumplimiento de normas y controles. PROCESO GENRICO
19. 19. 3. APLICAR PRUEBAS DE AUDITORIA. Tcnicas con el propsito de evaluar el
funcionamiento de los componentes tecnolgicos. Evaluacin de: Capacidad para
manejar altos volmenes de transacciones del computador. Velocidad y consistencia
de transmisin de un canal de comunicacin. Efectividad de una planta de energa
alterna. Efectividad del equipo de deteccin y extincin de fuego. Eficiencia y
exactitud de lectores pticos. PROCESO GENRICO

20. 20. 3. APLICAR PRUEBAS DE AUDITORIA. PRUEBAS DE CUMPLIMIENTO

(Orientadas a Procesos): Permiten verificar la efectividad de los procedimientos de
control. Los resultados podrn ratificar o rectificar el juicio preliminar. PRUEBAS
SUSTANTIVAS (Orientadas a Productos): Pueden implicar la utilizacin de software
(Programas de Auditora). Pruebas a la informacin (ACL, IDEA) Pruebas a los
componentes de la infraestructura tecnolgica. PROCESO GENRICO
21. 21. 3. APLICAR PRUEBAS DE AUDITORIA. Las tcnicas de auditora ms utilizadas
son las siguientes: A.COMPARACIN DE PROGRAMAS: De cdigo fuente, comandos
de proceso entre un programa en operacin y su backup en custodia. B. MAPEO Y
RASTREO DE PROGRAMAS: software especializado que analiza los programas,
indicando el nmero de veces que cada lnea de cdigo es procesada e indicando
tambin las condiciones de las variables de memoria que estuvieron presentes.
Tambin indica las lneas de cdigo que no se utilizan durante el proceso. Detectar
"bombas de tiempo". C. ANLISIS DE CDIGO DE PROGRAMAS: Del cdigo fuente
como el cdigo ejecutable. Verificar que el programa incluye todos los procesos
requeridos por el usuario. PROCESO GENRICO
22. 22. 3. APLICAR PRUEBAS DE AUDITORIA. Las tcnicas de auditora ms utilizadas
son las siguientes: D. DATOS DE PRUEBA: Controles detecten los errores. Preparar
datos correctos como datos con errores predeterminados. No detecta rutinas de
excepciones como un nombre JOSE MARIA (F o M). E. DATOS DE PRUEBA
INTEGRADOS (integrases test facilities -ITF-): Crear una entidad "falsa" dentro de los
sistemas de informacin, una sucursal, una empresa o un departamento inexistente,
pero que sean procesados en forma conjunta con las transacciones reales de la
compaa. F. ANLISIS DE BITCORAS: De uso equipo, accesos no autorizados, uso
de recursos, procesos ejecutados, fallas del equipo, etc. G. SIMULACIN PARALELA.
desarrollar programas que emulen a los programas de un sistema en produccin e
identificar diferencias entre los resultados de ambos. PROCESO GENRICO
23. 23. 3. APLICAR PRUEBAS DE AUDITORIA. Las tcnicas de auditora ms utilizadas
son las siguientes: H. CDIGO INTEGRADO (embedded code): Incluir en los
programas rutinas de auditora y todas las veces que sea ejecutado se evaluar su
control. I. ANLISIS DE DATOS: Almacenados en archivos o bases de datos. Se
utilizan queries, comandos SQL o lenguajes de desarrollo. Objetivo determinar la
razonabilidad de la informacin financiera. J. PROGRAMAS DE UTILERAS (utility
programs). Emplear los propios recursos del sistema (comandos COPY, DUMP, SORT)
con fines de auditoria. PROCESO GENRICO
24. 24. 3. APLICAR PRUEBAS DE AUDITORIA. TCNICAS MS CONOCIDAS DE
FRAUDES O ACTOS ILCITOS POR COMPUTADOR: Data dddling (manipulacin de
datos): Consiste en modificar los datos de un sistema durante su captura. Trojan
Horse: Es ocultar un programa o rutinas malignas dentro de otro programa que
aparenta ser "sano. Salammi technques: Tomar pequeas porciones de los saldos o
movimientos de cuentas y traspasarlos a una cuenta puente falsa. Superzapping
(nombre programa utilitario de IBM): Tomar ventaja de los mecanismos de acceso de
urgencia que muchos sistemas tienen. Trapdoors (puertas traseras): Huecos' que

dejan los programadores en los sistemas para facilitar la insercin de rutinas

adicionales Logic Bombs (bomba lgica): Son programas o instrucciones que
permanecen inactivos hasta que se presente una condicin predefinida. PROCESO
GENRICO
25. 25. 3. APLICAR PRUEBAS DE AUDITORIA. TCNICAS MS CONOCIDAS DE
FRAUDES O ACTOS ILCITOS POR COMPUTADOR: Extraer informacin que queda
grabada en los archivos despus de la conclusin de los procesos normales. Extraer
informacin de los sistemas enmascarndola para que pase inadvertidamente y burle
los posibles controles de deteccin. En telecomunicaciones interceptar la
comunicacin de datos mediante el acceso a las lneas de transmisin de datos. Virus
informticos: programas capaces de reproducirse y daar en forma deliberada los
recursos de una empresa. Virus Robots: Objetivo controlar su PC. Virus Modulares:
Llegan por partes lo que les permite pasar por debajo del sistema operativo y antivirus,
luego se arman y activan. PROCESO GENRICO
26. 26. 3. APLICAR PRUEBAS DE AUDITORIA. QUIENES AMENAZAN. Actos de la
Naturaleza: Terremotos, Incendios, Rayos. Las Personas: Errores o Fraudes. La
Tecnologa: Cuando es defectuosa. (Banco Disco Duro). Los Procedimientos: Cuando
no existen, no son claros y traba el SI. Las Organizaciones: No esta definida la
estructura orgnica, las funciones. La Tcnica de la Escoba: Escudriar en la basura.
(Embajada de Japn en Per). Ingeniera Social: En reuniones sociales hablar de
asuntos confidenciales (Colombia vs. Venezuela). PROCESO GENRICO
27. 27. 4. INFORMAR LOS RESULTADOS DE LA AUDITORIA. El informe incluye:
Hallazgos, Riesgos, Controles, Recomendaciones. RNC Reporte de No
Conformidades. RAC Reporte Acciones Correctivas. ROM Reporte
Oportunidades de Mejora. Indicar su nivel de involucramiento y responsabilidad
Dependiendo de los resultados abstenerse de presentar una opinin cuando considere
que no tiene elementos suficientes para sustentarla. PROCESO GENRICO
28. 28. 5. EFECTUAR SEGUIMIENTO. REVISION Deficiencias Oportunidades de mejora
Recomendaciones emitidas por el Auditor PROCESO GENRICO
29. 29. 6. SUPERVISAR EL TRABAJO DE AUDITORIA. En especial el realizado por
personal con menor experiencia. El auditor ser el principal responsable de su
trabajo. PROCESO GENRICO
30. 30. Planificar la auditora y elaborar documentos de trabajo. Recolectar y analizar
evidencia objetiva. Conclusiones pertinentes y suficientes. Acuerdo de
confidencialidad. Reportar los resultados. Verificar la implementacin de acciones
correctivas. Capacidad para dirigir un equipo auditor. Habilidad para realizar
entrevistas, presentaciones y reportes. Diplomtico, mente abierta, justo y verstil.
Funciones y Competencias del Auditor
31. 31. La auditora no transcurre de acuerdo con el plan por: Hostilidad (problemas
laborales). Evasivas (mantener la apariencia). Falta de cooperacin (mucho
trabajo). Nerviosismo. Situaciones Difciles de Auditora Es importante que ni usted ni
los miembros de su equipo tomen como algo personal el comportamiento pasivo o

agresivo del auditado. El trato con respeto (evitar contienda verbal). Mantenerse
sereno y no dejarse provocar.
32. 32. Los procedimientos de auditoria pueden ser tan variados como distintas sean las
empresas y proyectos que se desarrollen. Sin embargo, existe un grupo de tcnicas
bsicas que el auditor utiliza adecundolas a cada caso en particular. COBIT.
Objetivos de Control para Tecnologa de Informacin y Tecnologas Relacionadas NTC
BS 7799-2:2004 Sistema de Gestin de la Seguridad de la Informacin (SGSI)
Requisitos. NTC ISO 17799:2000 Cdigo de Buenas Prcticas para la Gestin de la
Seguridad de la Informacin. NTC ISO 27001:2006 TI. Tcnicas de Seguridad.
Sistemas de Gestin de la Seguridad de la Informacin (SGSI) Requisitos. NTC
5254:2004 Gestin del Riesgo Referencia AS/NZ 4360:1999 PROCEDIMIENTOS
33. 33. El fraude implica la existencia de dolo y premeditacin en un acto que perjudica a
la empresa y beneficia al perpetrador. La auditora no tiene como propsito la
deteccin de fraude. Sin embargo, se espera que mediante el desarrollo de su trabajo
puedan salir a la luz situaciones irregulares que ameriten la atencin de la empresa.
SU RELACION CON LOS FRAUDES
34. 34. Un error representa un acto involuntario en que se incurre y que provoca una
situacin no deseada. La negligencia es una caracterstica que acompaa las
actividades desempeadas por los seres humanos y que incrementa la probabilidad de
ocurrencia de errores. Estudios realizados en estados unidos demuestran que la
negligencia afectan en mucha mayor proporcin a las empresas que los propios
fraudes. En la mayora de las ocasiones, los fraudes se efectan una sola vez,
mientras que el error es un elemento repetitivo, sobre todo y potencialmente en un
ambiente de procesamiento electrnico de datos. SU RELACION CON EL ERROR
35. 35. STAKE HOLDER (interesados): Persona o grupo de personas que tienen inters
en el buen funcionamiento de una empresa. Accionistas: Desean obtener un retorno
sobre la inversin. Administracin: Responsable directo de los resultados. Empleados:
Lugar estable de trabajo, posibilidad de desarrollo. Proveedores: Mayor operacin mayores beneficios. COMPROMISO TICO
36. 36. Clientes: Dependen de la operacin de la empresa para lograr sus propios
objetivos. Gobierno: Sus impuestos son una contribucin indispensable para el gasto
publico. Inversionistas: Adquieren acciones de la empresa a travs de la bolsa de
valores. La Comunidad: Impacto que dicha empresa pueda tener en la vida socio
econmica de la comunidad. COMPROMISO TICO
37. 37. Empleados Accionistas Administracin Empresa Clientes Gobierno Proveedores
Inversionistas Comunidad en general Auditora COMPROMISO TICO
38. 38. El auditor moderno con actitud proactiva y de mayor compromiso hacia sus
stakeholders. Generar mayor valor agregado a sus actividades. Actualizar e incorporar
los conocimientos. CONCLUSIONES