27/10/2010

Ing. Luis A. Otake

Sesin 5

27/10/2010

La Auditora es un proceso sistemtico por el cual un equipo o una persona calificada, competente e independiente obtiene y evala objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinin sobre el particular e informar sobre el grado de cumplimiento en que se implementa dicha afirmacin.

(Ramrez y lvarez, 2003)

27/10/2010

Seguridad:
Confidencialidad Integridad Disponibilidad

Calidad
Efectividad Eficiciencia

Fiduciaria
Cumplimiento Confiabilidad

Servicio

Capacidad

Obtencin y documentacin del conocimiento sobre el rea/objeto de la auditora

Valoracin de riesgos y planeacin general de la auditora y cronograma

Planeacin de auditora detallada Revisin preliminar del rea/objeto de la auditora Evaluacin del rea/objeto de la auditora

27/10/2010

Verificacin y evaluacin de lo adecuado de los controles diseados para cumplir los objetivos de control
Pruebas de cumplimiento (pruebas de la implementacin de controles y su aplicacin consistente) Pruebas sustantivas (que confirmen la exactitud de la informacin) Informes (comunicacin de los resultados) Seguimiento en casos en los que hay una funcin de auditora interna

Conjunto de procedimientos documentados de auditora diseados para alcanzar los objetivos de auditora planeados. Sus componentes son una declaracin del alcance, una declaracin de los objetivos de la auditora y una declaracin de los programas de auditora. Debera ser establecida y aprobada por la gerencia de auditora, y formalizada y comunicada a todo el personal de auditora.

27/10/2010

Supervisar el trabajo de auditora

Planear la auditora

Analizar y evaluar el control interno

Aplicar pruebas de auditora

Informar los resultados de la auditora

Efectuar seguimiento

27/10/2010

Riesgo inherente Que exista un error que podra ser importante o significativo La posibilidad de una falsa declaracin importante en ausencia de controles relacionados. Existen independientemente de una auditora y pueden ocurrir debido a la naturaleza del negocio.

Riesgo de control Cuando no es prevenido ni detectado oportunamente por el sistema de controles internos.

Riesgo de deteccin Que un auditor use un procedimiento inadecuado de prueba y concluya que no existen errores importantes cuando en realidad existen.

Riesgo de auditora general

La combinacin de categoras individuales de riesgos de auditora valorados para cada objetivo de control especfico. Nivel que un auditor est preparado a aceptar

27/10/2010

Sistema de puntuacin (scoring) Considera variables (complejidad tcnica, nivel de procedimientos de control y nivel de prdida financiera). Las variables pueden o no ser ponderadas. Los valores de riesgo se comparan entre s.

Dependiente del juicio profesional Se requiere conocimiento del negocio, directivas de la direccin ejecutiva, perspectivas histricas, metas del negocio y factores ambientales.

Permite que la direccin asigne de manera efectiva los recursos limitados de la auditora.

Asegura que se haya obtenido informacin relevante de todos los niveles de la gerencia, para que las actividades de auditora se orienten a las reas de alto riesgo, lo cual generar valor a la direccin.
Establece las bases para gestionar el departamento de auditora de manera efectiva.

Provee un resumen de cmo se relaciona el sujeto individual de la auditora con el resto de la organizacin, as como tambin con los planes de negocios.

27/10/2010

Son las metas especficas que deben cumplirse por parte de la auditora.

Se enfocan a menudo en validar que existen controles internos, y que stos funcionen como se espera. Incluyen el aseguramiento del cumplimiento con requisitos legales y regulatorios as como tambin la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de informacin y de TI.

Realizar una revisin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Hacer una revisin especializada, desde un punto de vista profesional y autnomo, del aspecto contable, financiero y operacional de las reas de una empresa. Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollan en sus reas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.

27/10/2010

Realizar una evaluacin con personal multidisciplinario y capacitado en el rea de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestin administrativa del rea de informtica.
Hacer una evaluacin sobre el uso de los recursos financieros en las reas de centro de informacin, as como del aprovechamiento del sistema computacional, sus equipos perifricos e instalaciones. Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las instalaciones y mobiliario del centro de cmputo, as como el uso de sus recursos tcnicos y materiales para el procesamiento de la informacin. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e instalacin de nuevos sistemas. Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos que regulan las funciones y actividades de las reas y de los sistemas de procesamiento de informacin, as como de su personal y de los usuarios del centro de informacin. Realizar la evaluacin de las reas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especiales para auditora y de la paquetera que sirve de soporte para el desarrollo de auditoras por medio de la computadora.

Prueba de cumplimiento

Prueba sustantiva

Recoleccin de evidencia con el fin de comprobar el cumplimiento de una organizacin con los procedimientos de control.

La evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra informacin.

Determina si los controles estn siendo Fundamenta la integridad de un aplicados de manera que cumplen con las procesamiento real. polticas y los procedimientos de gestin. Ej.: para proveer la certeza de que slo se realizan modificaciones autorizadas a los programas de produccin. Pueden usarse para probar la existencia y efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y/o automatizada. Ej.: Provee evidencia de la validez e integridad los saldos en los estados financieros y de las transacciones que respaldan dichos saldos. Pueden usarse para comprobar si hay errores monetarios que afecten directamente los saldos de los estados financieros u otros datos relevantes de la organizacin.

27/10/2010

Existe una correlacin directa entre el nivel de controles internos y la cantidad de pruebas sustantivas requeridas.

Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor tiene una justificacin para minimizar los procedimientos sustantivos. Si la prueba a los controles revelara debilidades en los controles que podran generar dudas sobre la integridad, exactitud o validez de las cuentas, las pruebas sustantivas pueden responder a esas dudas.

Derechos de acceso a usuarios Procedimientos de control de cambio de programas Procedimientos de documentacin Documentacin de programas Excepciones de seguimiento Revisin de registros Auditoras de licencia de software

10

27/10/2010

Desempeo de un clculo complejo en una muestra de cuentas o una muestra de transacciones para garantizar una documentacin de respaldo

11

27/10/2010

Independencia del proveedor de la evidencia (las fuentes externas son ms confiables)

Credenciales de la persona que suministra la informacin o evidencia

Objetividad de la evidencia

Tiempo de disponibilidad de la evidencia

Revisin de las estructuras organizacionales de SI

Revisin de las polticas y procedimientos de SI

Revisin de las normas de SI

Revisin de la documentacin de SI

Entrevistas al personal apropiado

Observacin de procesos y desempeo de empleados (pe, fotografas)

12

27/10/2010

Documentos de inicio del desarrollo de sistemas (pe, estudio de factibilidad)

Documentacin suministrada por proveedores externos de aplicacin

Contratos de nivel de servicio con proveedores externos de TI

Requisitos funcionales y especificaciones de diseo

Planes e informes de pruebas

Programa y documentos de operaciones

Registro (logs) e historial de cambios a programas

Manuales de usuario

Manuales de operacin

Documentos relacionados con la seguridad (pe, planes de seguridad, valoracin del riesgo)

Planes de continuidad del negocio

Informes de aseguramiento de calidad

Reportes sobre mtricas de seguridad

Ayuda a un auditor de SI a identificar Funciones reales La persona realmente est haciendo el trabajo que se le asign Cmo se entienden y ponen en prctica las polticas y procedimientos? Procesos/procedimientos reales Obtiene evidencia de cumplimiento o desviaciones til para los controles fsicos Concientizacin sobre seguridad Comprensin y prctica de buenas medidas de seguridad preventivas y de deteccin para salvaguardar los activos y datos Lneas de reporte Asegurar que se practiquen las responsabilidades asignadas y una adecuada segregacin de funciones

13

27/10/2010

Usado cuando las consideraciones de tiempo y de costo impiden una verificacin total de todas las transacciones o eventos

Puede ser:
Estadstico No estadstico: De criterio

Para determinar si las operaciones revisadas estn bien controladas y son efectivas

Requiere juicio y experiencia del auditor

Debe valorar las fortalezas y debilidades de los controles evaluados y luego determinar si son efectivos para cumplir los objetivos de control establecidos en la planeacin

14

27/10/2010

Es la entrevista final que le provee al auditor de SI la oportunidad de discutir los hallazgos y las recomendaciones con la gerencia. Los objetivos y el alcance de la auditora pueden ser discutidos y el proceso de auditora puede ser explicado.

El auditor de SI debera: Asegurarse de que los hechos presentados en el informe estn correctos Asegurarse de que las recomendaciones sean realistas y rentables, y si no lo fueran, buscar alternativas negociando con la gerencia del auditado Sugerir fechas de implementacin para las recomendaciones acordadas

15

27/10/2010

Tcnicas de presentacin Resumen ejecutivo: minimizar el uso de terminologa compleja (perspectiva de negocio); los anexos pueden ser tcnicos Presentacin visual: diapositivas o grficos

Introduccin: Objetivos Limitaciones y alcance Perodo cubierto Declaracin general sobre el carcter y la extensin de los procedimientos de auditora realizados y los procesos examinados durante la auditora Declaracin sobre la metodologa de la auditora y lineamientos seguidos Incluir los hallazgos en anexos separados. Se pueden agrupar en secciones por importancia y/o receptor previsto Conclusin y opinin generales del auditor Si los controles y procedimientos examinados son adecuados Sobre los riesgos potenciales detectados Las reservas o calificaciones del auditor Pueden declarar que se encontr que los controles o procedimientos examinados son adecuados o inadecuados Los hallazgos detallados y las recomendaciones

Decidir qu incluir

16

27/10/2010

La planeacin y preparacin del alcance y objetivos de la auditora

La descripcin y/o recorridos en el rea de auditora vista El programa de auditora Los pasos de auditora realizados y la evidencia de auditora recopilada El uso de servicios de otros auditores y expertos Los hallazgos, conclusiones y recomendaciones de auditora La documentacin de auditora relacionada con la identificacin y fechas de documentos

Fechados

Inicializados

Pginas numeradas

Relevantes

Completos

Claros

Debidamente etiquetados

Archivados

Mantenidos en custodia

17

27/10/2010

Es el puente o interfaz entre los objetivos de auditora y el reporte final

Debera apoyar los hallazgos y las conclusiones y opiniones

18