Sesin 5
27/10/2010
La Auditora es un proceso sistemtico por el cual un equipo o una persona calificada, competente e independiente obtiene y evala objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinin sobre el particular e informar sobre el grado de cumplimiento en que se implementa dicha afirmacin.
27/10/2010
Seguridad:
Confidencialidad Integridad Disponibilidad
Calidad
Efectividad Eficiciencia
Fiduciaria
Cumplimiento Confiabilidad
Servicio
Capacidad
27/10/2010
Verificacin y evaluacin de lo adecuado de los controles diseados para cumplir los objetivos de control
Pruebas de cumplimiento (pruebas de la implementacin de controles y su aplicacin consistente) Pruebas sustantivas (que confirmen la exactitud de la informacin) Informes (comunicacin de los resultados) Seguimiento en casos en los que hay una funcin de auditora interna
Conjunto de procedimientos documentados de auditora diseados para alcanzar los objetivos de auditora planeados. Sus componentes son una declaracin del alcance, una declaracin de los objetivos de la auditora y una declaracin de los programas de auditora. Debera ser establecida y aprobada por la gerencia de auditora, y formalizada y comunicada a todo el personal de auditora.
27/10/2010
Planear la auditora
Efectuar seguimiento
27/10/2010
Riesgo inherente Que exista un error que podra ser importante o significativo La posibilidad de una falsa declaracin importante en ausencia de controles relacionados. Existen independientemente de una auditora y pueden ocurrir debido a la naturaleza del negocio.
Riesgo de control Cuando no es prevenido ni detectado oportunamente por el sistema de controles internos.
Riesgo de deteccin Que un auditor use un procedimiento inadecuado de prueba y concluya que no existen errores importantes cuando en realidad existen.
27/10/2010
Sistema de puntuacin (scoring) Considera variables (complejidad tcnica, nivel de procedimientos de control y nivel de prdida financiera). Las variables pueden o no ser ponderadas. Los valores de riesgo se comparan entre s.
Dependiente del juicio profesional Se requiere conocimiento del negocio, directivas de la direccin ejecutiva, perspectivas histricas, metas del negocio y factores ambientales.
Permite que la direccin asigne de manera efectiva los recursos limitados de la auditora.
Asegura que se haya obtenido informacin relevante de todos los niveles de la gerencia, para que las actividades de auditora se orienten a las reas de alto riesgo, lo cual generar valor a la direccin.
Establece las bases para gestionar el departamento de auditora de manera efectiva.
Provee un resumen de cmo se relaciona el sujeto individual de la auditora con el resto de la organizacin, as como tambin con los planes de negocios.
27/10/2010
Son las metas especficas que deben cumplirse por parte de la auditora.
Se enfocan a menudo en validar que existen controles internos, y que stos funcionen como se espera. Incluyen el aseguramiento del cumplimiento con requisitos legales y regulatorios as como tambin la confidencialidad, integridad, confiabilidad y disponibilidad de recursos de informacin y de TI.
Realizar una revisin independiente de las actividades, reas o funciones especiales de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de sus operaciones y resultados. Hacer una revisin especializada, desde un punto de vista profesional y autnomo, del aspecto contable, financiero y operacional de las reas de una empresa. Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos que regulan la actuacin de los empleados y funcionarios de una institucin, as como evaluar las actividades que se desarrollan en sus reas y unidades administrativas. Dictaminar de manera profesional e independiente sobre los resultados obtenidos por una empresa y sus reas, as como sobre el desarrollo de sus funciones y el cumplimiento de sus objetivos y operaciones.
27/10/2010
Realizar una evaluacin con personal multidisciplinario y capacitado en el rea de sistemas, con el fin de emitir un dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestin administrativa del rea de informtica.
Hacer una evaluacin sobre el uso de los recursos financieros en las reas de centro de informacin, as como del aprovechamiento del sistema computacional, sus equipos perifricos e instalaciones. Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las instalaciones y mobiliario del centro de cmputo, as como el uso de sus recursos tcnicos y materiales para el procesamiento de la informacin. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e instalacin de nuevos sistemas. Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos que regulan las funciones y actividades de las reas y de los sistemas de procesamiento de informacin, as como de su personal y de los usuarios del centro de informacin. Realizar la evaluacin de las reas, actividades y funciones de una empresa, contando con el apoyo de los sistemas computacionales, de los programas especiales para auditora y de la paquetera que sirve de soporte para el desarrollo de auditoras por medio de la computadora.
Prueba de cumplimiento
Prueba sustantiva
Recoleccin de evidencia con el fin de comprobar el cumplimiento de una organizacin con los procedimientos de control.
La evidencia se recoge para evaluar la integridad de transacciones individuales, datos u otra informacin.
Determina si los controles estn siendo Fundamenta la integridad de un aplicados de manera que cumplen con las procesamiento real. polticas y los procedimientos de gestin. Ej.: para proveer la certeza de que slo se realizan modificaciones autorizadas a los programas de produccin. Pueden usarse para probar la existencia y efectividad de un proceso definido, el cual puede incluir una pista de evidencia documental y/o automatizada. Ej.: Provee evidencia de la validez e integridad los saldos en los estados financieros y de las transacciones que respaldan dichos saldos. Pueden usarse para comprobar si hay errores monetarios que afecten directamente los saldos de los estados financieros u otros datos relevantes de la organizacin.
27/10/2010
Existe una correlacin directa entre el nivel de controles internos y la cantidad de pruebas sustantivas requeridas.
Si los resultados de las pruebas a los controles (pruebas de cumplimiento) revelaran la presencia de controles internos adecuados, entonces el auditor tiene una justificacin para minimizar los procedimientos sustantivos. Si la prueba a los controles revelara debilidades en los controles que podran generar dudas sobre la integridad, exactitud o validez de las cuentas, las pruebas sustantivas pueden responder a esas dudas.
Derechos de acceso a usuarios Procedimientos de control de cambio de programas Procedimientos de documentacin Documentacin de programas Excepciones de seguimiento Revisin de registros Auditoras de licencia de software
10
27/10/2010
Desempeo de un clculo complejo en una muestra de cuentas o una muestra de transacciones para garantizar una documentacin de respaldo
11
27/10/2010
Objetividad de la evidencia
Revisin de la documentacin de SI
12
27/10/2010
Manuales de usuario
Manuales de operacin
Documentos relacionados con la seguridad (pe, planes de seguridad, valoracin del riesgo)
Ayuda a un auditor de SI a identificar Funciones reales La persona realmente est haciendo el trabajo que se le asign Cmo se entienden y ponen en prctica las polticas y procedimientos? Procesos/procedimientos reales Obtiene evidencia de cumplimiento o desviaciones til para los controles fsicos Concientizacin sobre seguridad Comprensin y prctica de buenas medidas de seguridad preventivas y de deteccin para salvaguardar los activos y datos Lneas de reporte Asegurar que se practiquen las responsabilidades asignadas y una adecuada segregacin de funciones
13
27/10/2010
Usado cuando las consideraciones de tiempo y de costo impiden una verificacin total de todas las transacciones o eventos
Puede ser:
Estadstico No estadstico: De criterio
Para determinar si las operaciones revisadas estn bien controladas y son efectivas
Debe valorar las fortalezas y debilidades de los controles evaluados y luego determinar si son efectivos para cumplir los objetivos de control establecidos en la planeacin
14
27/10/2010
Es la entrevista final que le provee al auditor de SI la oportunidad de discutir los hallazgos y las recomendaciones con la gerencia. Los objetivos y el alcance de la auditora pueden ser discutidos y el proceso de auditora puede ser explicado.
El auditor de SI debera: Asegurarse de que los hechos presentados en el informe estn correctos Asegurarse de que las recomendaciones sean realistas y rentables, y si no lo fueran, buscar alternativas negociando con la gerencia del auditado Sugerir fechas de implementacin para las recomendaciones acordadas
15
27/10/2010
Tcnicas de presentacin Resumen ejecutivo: minimizar el uso de terminologa compleja (perspectiva de negocio); los anexos pueden ser tcnicos Presentacin visual: diapositivas o grficos
Introduccin: Objetivos Limitaciones y alcance Perodo cubierto Declaracin general sobre el carcter y la extensin de los procedimientos de auditora realizados y los procesos examinados durante la auditora Declaracin sobre la metodologa de la auditora y lineamientos seguidos Incluir los hallazgos en anexos separados. Se pueden agrupar en secciones por importancia y/o receptor previsto Conclusin y opinin generales del auditor Si los controles y procedimientos examinados son adecuados Sobre los riesgos potenciales detectados Las reservas o calificaciones del auditor Pueden declarar que se encontr que los controles o procedimientos examinados son adecuados o inadecuados Los hallazgos detallados y las recomendaciones
Decidir qu incluir
16
27/10/2010
Fechados
Inicializados
Pginas numeradas
Relevantes
Completos
Claros
Debidamente etiquetados
Archivados
Mantenidos en custodia
17
27/10/2010
18