Auditora Informtica
Auditora Informtica
Sesin 1: Introduccin a la auditora
Auditora Informtica
Agenda
Conceptos, importancia y clasificacin de auditora. Etapas de auditora. Normas generales. Estrategias y herramientas generales. Casos prcticos.
Conclusiones.
Auditora Informtica
Auditora Informtica
Auditora Informtica
Conceptos de Auditora La Auditora Administrativa se ocupa de la calidad de la administracin. Est diseada para evaluar la efectividad de la administracin en el cumplimiento de sus tareas asignadas: El cumplimiento de los objetivos organizativos por parte de la Gerencia. El cumplimiento de sus funciones de planeacin, organizacin, direccin y control.
5
Auditora Informtica
Importancia de la Auditora La razn principal para llevar a cabo una auditora es la necesidad de detectar y superar las deficiencias. Por lo tanto, el auditor tiene la obligacin de detectar debilidades e indicar alternativas de solucin.
Auditora Informtica
Clasificacin de la Auditora Por su naturaleza: Auditora Administrativa u Operativa. Auditora de Gestin. Auditora a la Informacin Presupuestaria. Auditora de Estados Financieros. Auditora Tributaria. Auditora de Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditora Integral. Exmenes Especiales.
7
Auditora Informtica
Auditora Informtica
Clasificacin de la Auditora Esquema del Sistema de Auditora referido a su mbito, clases y tipo de auditores. mbito
Interna
Clase
Tipo de Auditor
Auditora
Externa
Auditora Administrativa Auditor Interno Auditora de Gestin. Auditora Inf. Presup. Auditora de EEFF. Auditora Tributaria. Auditora Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditor Externo Auditora Integral. Exmenes Especiales.
9
Auditora Informtica
Definicin del Auditor. Profesional colegiado, que tiene formacin, especializacin y experiencia en las tcnicas de auditora (informtica).
10
Auditora Informtica
Perfil Genrico del Auditor. 1.El auditor no es, ni debe esperarse que sea un perito en todas las materias. 2.El equipo de auditora informtica est compuesto por un staff de especialistas en cada una de las ramas: redes de comunicacin, bases de datos, sistemas de informacin, aplicaciones diversas, planes de contingencias, organizacin, etc. 3.La independencia mental del auditor ser mayor entre mayor sea el nivel al que reporta.
11
Auditora Informtica
Perfil Genrico del Auditor. 4. El auditor debe tener formacin profesional, con Postgrado y especializado en el sistema de control. 5. El auditor debe contar con amplia experiencia profesional, a nivel de ejecutivo. 6. El auditor debe acreditar solvencia moral y tica en su trayectoria personal y profesional. 7. El auditor debe guardar discrecin profesional en su ejercicio.
12
Auditora Informtica
Etapas de la auditora
13
Auditora Informtica
14
Auditora Informtica
1.- Planificacin - El proyecto de auditora debe planificarse adecuadamente para asegurar su calidad. - Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan. - Los Programas de Auditora deben incluir los objetivos, alcances de la muestra, procedimientos detallados, oportunidad de su aplicacin y el personal responsable de su ejecucin.
15
Auditora Informtica
1.- Planificacin (continuacin) - Debe organizarse el Archivo Permanente (conjunto de documentos con informacin de inters y de uso continuo).
16
Auditora Informtica
17
Auditora Informtica
2.- Ejecucin - Debe focalizarse principalmente a las reas crticas de la entidad. - Debe evaluarse el cumplimiento adecuado de las normas tcnicas informticas. - Debe realizarse de manera continua la supervisin de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos. - Deben obtenerse evidencias suficientes, competentes y relevantes que sustenten los hallazgos. 18
Auditora Informtica
2.- Ejecucin (continuacin) - Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones, a travs de Papeles de Trabajo. - Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad.
19
Auditora Informtica
20
Auditora Informtica
21
Auditora Informtica
3.- Elaboracin de Informes - Existen informes de cada especialista dentro de los aspectos auditados: Organizacin, sistemas de informacin, redes de comunicacin de datos, planes de contingencias, etc.
Auditora Informtica
3.- Elaboracin de Informes (Continuacin) - El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes. - Cuando se evidencie la realizacin de actos delictivos, debe elaborarse con celeridad un informe especial, anexando la documentacin tcnica y legal sustentatoria.
23
Auditora Informtica
24
Auditora Informtica
25
Auditora Informtica
Normas de Auditora Generalmente Aceptadas NAGAs y Normas Internacionales de Auditora NIAs. Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realizacin de una auditora y en la emisin del informe. Se dividen en: a) Normas Generales de Auditora. b) Normas de Trabajo. c) Normas de Preparacin de Informes.
26
Auditora Informtica
a)Normas Generales de Auditora. 1. La auditora ser efectuada por profesionales que tienen entrenamiento tcnico adecuado y pericia como auditores. 2. El auditor mantendr independencia de criterio. 3. Debido cuidado profesional en la ejecucin del examen y en la preparacin del informe.
27
Auditora Informtica
2. Se estudiar y evaluar el control interno, para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditora.
3. Se obtendr evidencia adecuada en grado suficiente, mediante constataciones, indagaciones y confirmaciones, para proveer una base razonable que permita la expresin de una opinin sobre la 28 gestin empresarial.
Auditora Informtica
c)Normas de Preparacin de Informes. 1. Todo informe de auditora contendr lo siguiente: Informacin introductoria. Observaciones. Conclusiones. Recomendaciones. Anexos.
29
Auditora Informtica
30
Auditora Informtica
TCNICAS DE AUDITORA: Formas de accin del auditor para obtener evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado. Son herramientas que emplea el auditor segn su criterio y las circunstancias.
31
Auditora Informtica
TCNICAS DE AUDITORA: Las tcnicas se clasifican de acuerdo con la accin adoptada por el auditor en el desarrollo de la accin a efectuar: Tcnicas de verificacin orales: Indagacin, entrevistas. Tcnicas de verificacin oculares: Observacin, comparacin.
32
Auditora Informtica
TCNICAS DE AUDITORA: Tcnicas de verificacin escrita: Anlisis, conciliacin, confirmacin. Tcnicas de verificacin Comprobacin, rastreo. documental:
33
Auditora Informtica
EVIDENCIAS: Es el conjunto de hechos comprobados suficientes, competentes y pertinentes que sustentan las conclusiones del auditor. Es la informacin especfica obtenida durante la labor de auditora a travs de observacin, inspeccin, entrevistas y examen de los procesos informticos.
34
Auditora Informtica
EVIDENCIAS: Las evidencias pueden ser: Evidencia fsica: Mediante observacin directa.
inspeccin
Evidencia testimonial: Obtenida de otros a travs de cartas o declaraciones recibidas en respuestas a indagaciones.
Evidencia documental: Documentos internos de la empresa y documentos externos.
35
Auditora Informtica
36
Auditora Informtica
EVIDENCIAS (continuacin): Las evidencias deben tener las siguientes caractersticas: Suficiencia: La evidencia ser suficiente cuando por los resultados de la aplicacin de una o varias pruebas, el auditor podr adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados. Para determinar si la evidencia es suficiente, se requiere aplicar el criterio profesional. Cuando sea conveniente, se podr emplear mtodos 37 estadsticos con ese propsito.
Auditora Informtica
EVIDENCIAS (continuacin): Competencia: Para que sea competente, la evidencia debe ser vlida y confiable. A fin de evaluar la competencia de la evidencia, el auditor deber considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. De ser as, deber obtener evidencia adicional o revelar esa situacin en su informe.
38
Auditora Informtica
EVIDENCIAS (continuacin): Competencia:Los siguientes supuestos constituyen criterios tiles para juzgar si la evidencia es competente, si bien no debern considerarse suficientes para determinar la competencia: La evidencia que se obtiene de fuentes independientes es ms confiable que la obtenida del propio organismo auditado.
39
Auditora Informtica
EVIDENCIAS (continuacin): La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es ms confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido. La evidencia que se obtiene fsicamente mediante un examen, observacin, clculo o inspeccin es ms confiable que la que se obtiene en forma indirecta.
40
Auditora Informtica
EVIDENCIAS (continuacin): Los documentos originales son ms confiables que sus copias. La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crdito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).
41
Auditora Informtica
EVIDENCIAS (continuacin): Relevancia: Se refiere a la relacin que existe entre la evidencia y su uso. La informacin que se utilice para demostrar o refutar un hecho ser relevante si guarda una relacin lgica y patente con ese hecho. Si no lo hace, ser irrelevante y, por consiguiente, no deber incluirse como evidencia. Cuando lo estimen conveniente, el auditor deber obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y 42 competencia de la evidencia que haya obtenido..
Auditora Informtica
43
Auditora Informtica
44
Auditora Informtica
Qu hemos visto?
Si todos hemos visto el mismo video, porque hemos observado cosas diferentes?
45
Auditora Informtica
HALLAZGOS DE AUDITORA:
46
Auditora Informtica
HALLAZGOS DE AUDITORA: Es una reunin lgica de datos y una presentacin objetiva de los hechos que el auditor ha observado o encontrado durante su examen. Un hallazgo debe tener ciertos requisitos: Importancia relativa que merezca su comunicacin. Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. Convincente a una persona que no ha participado en la auditora (!!!Yo vi un OVNI) Por qu no me creen?.
47
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): En un hallazgo deben considerarse los siguientes factores: Las condiciones y circunstancias existentes al momento en que ocurri el hecho. ndole y complejidad tcnica del hecho observado. Someter el hallazgo potencial a un anlisis crtico. Suficientemente completo para una conclusin y/o recomendacin.
48
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Las pasos a seguir en el desarrollo de un hallazgo pueden ser: Identificacin de las lneas de autoridad. Verificacin de las causas de la deficiencia. Determinar si la deficiencia es un caso aislado o tiene el problema o la condicin difundida. Determinacin de los efectos.
49
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Obtencin de comentarios de personas afectadas por el hecho encontrado. Determinacin de las conclusiones en base al hallazgo. Determinacin de posibles acciones correctivas a modo de recomendaciones.
50
Auditora Informtica
HALLAZGOS DE AUDITORA (continuacin): Los atributos de un hallazgo son: Condicin: Situacin actual encontrada, LO QUE ES. Criterio: La norma aplicada o unidad de medida, LO QUE DEBE SER Efecto: La diferencia entre LO QUE ES y LO QUE DEBE SER. Causa: Las razones de desviacin POR QU SUCEDI.
51
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Condicin: De la revisin a los procesos de generacin de las copias de respaldo a la informacin del Sistema de Informacin, se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad.
52
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Criterio: Esta situacin contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos, de la Fundacin de Auditora y Control de Sistemas de Informacin, la cual indica que los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones
53
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Efecto: La consecuencia que traera sera la prdida definitiva de la informacin, en el caso de la ocurrencia de desastres tales como un incendio.
54
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Causa: No se ha identificado an el lugar destinado para estos fines.
Cuando no se sabe con precisin la CAUSA, porque las razones son difusas o an no se tiene la respuesta del auditado, este atributo no es considerado en el hallazgo.
55
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Sin embargo, no son fciles de definir: En una entidad se evidenci que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso, el cual estaba conformado ntegramente por damas. Adems, los pozos a tierra no tenan el mantenimiento adecuado para su correcto funcionamiento. Revisando el MOF del rea informtica, no se encontr dentro de sus funciones la administracin de extintores ni pozos a tierra. 56
Auditora Informtica
HALLAZGOS DE AUDITORA (Ejemplo): Pregunta: Es pertinente hacer un hallazgo si el rea de informtica no es la responsable de estas funciones? De acuerdo al MOF, las reas responsables son: -Adm. de extintores: Dpto. de Seguridad. -Adm. de pozos a tierra: Dpto. de mantenimiento elctrico. Si estamos auditando procesos informticos porqu tenemos que hacer hallazgos en reas que no realizan tareas informtica? 57
Auditora Informtica
58
Auditora Informtica
Definicin: Conjunto de cdulas y documentos en los que el auditor registra cronolgicamente datos por l formulados, la informacin obtenida e igualmente el resultado de sus pruebas tcnicas, mtodos y procedimientos utilizados en el desarrollo de una auditora.
59
Auditora Informtica
LOS PAPELES DE TRABAJO DEL AUDITOR: Importancia: Historial de la labor efectuada. Resultado de la labor del auditor. Respaldo del informe del auditor. Deja constancia del grado de confianza del control interno. Es fuente de informacin futura. Facilita la revisin y supervisin del trabajo. Respaldan los hallazgos de auditora. Es base para la elaboracin del informe.
60
Auditora Informtica
LOS PAPELES DE TRABAJO DEL AUDITOR: Contenido: Programa de Auditora. Cuestionarios de control interno. Hojas de trabajo del auditor. Informacin respectiva de la empresa. Confirmaciones externas. Notas y observaciones del auditor.
61
Auditora Informtica
Referencia
Anexos
62
Auditora Informtica
63
Auditora Informtica
Casos de Estudio
Elabora hallazgos de auditora
64
Auditora Informtica
Conclusiones
65
Auditora Informtica
Auditora Informtica
Preguntas adicionales?
67