Ing. Christian Dios Castillo Ing.

Hobber Siccha Ayvar

Auditora Informtica

Auditora Informtica
Sesin 1: Introduccin a la auditora

MBA Ing Christian A. Dios Castillo

Trujillo - Per
1

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Agenda
Conceptos, importancia y clasificacin de auditora. Etapas de auditora. Normas generales. Estrategias y herramientas generales. Casos prcticos.

Conclusiones.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Conceptos, importancia y clasificacin de auditora

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Elementos Bsicos de la Administracin. 1. 2. 3. 4. 5. Planeamiento. Organizacin. Direccin. Coordinacin e Integracin. Control.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Conceptos de Auditora La Auditora Administrativa se ocupa de la calidad de la administracin. Est diseada para evaluar la efectividad de la administracin en el cumplimiento de sus tareas asignadas: El cumplimiento de los objetivos organizativos por parte de la Gerencia. El cumplimiento de sus funciones de planeacin, organizacin, direccin y control.
5

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Importancia de la Auditora La razn principal para llevar a cabo una auditora es la necesidad de detectar y superar las deficiencias. Por lo tanto, el auditor tiene la obligacin de detectar debilidades e indicar alternativas de solucin.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Clasificacin de la Auditora Por su naturaleza: Auditora Administrativa u Operativa. Auditora de Gestin. Auditora a la Informacin Presupuestaria. Auditora de Estados Financieros. Auditora Tributaria. Auditora de Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditora Integral. Exmenes Especiales.
7

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Clasificacin de la Auditora Por la Dependencia: Auditora Interna. Auditora Externa.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Clasificacin de la Auditora Esquema del Sistema de Auditora referido a su mbito, clases y tipo de auditores. mbito
Interna

Clase

Tipo de Auditor

Auditora
Externa

Auditora Administrativa Auditor Interno Auditora de Gestin. Auditora Inf. Presup. Auditora de EEFF. Auditora Tributaria. Auditora Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditor Externo Auditora Integral. Exmenes Especiales.
9

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Definicin del Auditor. Profesional colegiado, que tiene formacin, especializacin y experiencia en las tcnicas de auditora (informtica).

10

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Perfil Genrico del Auditor. 1.El auditor no es, ni debe esperarse que sea un perito en todas las materias. 2.El equipo de auditora informtica est compuesto por un staff de especialistas en cada una de las ramas: redes de comunicacin, bases de datos, sistemas de informacin, aplicaciones diversas, planes de contingencias, organizacin, etc. 3.La independencia mental del auditor ser mayor entre mayor sea el nivel al que reporta.
11

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Perfil Genrico del Auditor. 4. El auditor debe tener formacin profesional, con Postgrado y especializado en el sistema de control. 5. El auditor debe contar con amplia experiencia profesional, a nivel de ejecutivo. 6. El auditor debe acreditar solvencia moral y tica en su trayectoria personal y profesional. 7. El auditor debe guardar discrecin profesional en su ejercicio.
12

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Etapas de la auditora

13

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Las etapas de un proyecto de auditora son las siguientes:

1.Planificacin. 2.Ejecucin. 3.Elaboracin de informes.

La calidad de cada etapa es crucial para el logro de los objetivos del proyecto de auditora.

14

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

1.- Planificacin - El proyecto de auditora debe planificarse adecuadamente para asegurar su calidad. - Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan. - Los Programas de Auditora deben incluir los objetivos, alcances de la muestra, procedimientos detallados, oportunidad de su aplicacin y el personal responsable de su ejecucin.
15

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

1.- Planificacin (continuacin) - Debe organizarse el Archivo Permanente (conjunto de documentos con informacin de inters y de uso continuo).

16

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Exposicin del Plan de Auditora al Equipo de Auditores

17

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

2.- Ejecucin - Debe focalizarse principalmente a las reas crticas de la entidad. - Debe evaluarse el cumplimiento adecuado de las normas tcnicas informticas. - Debe realizarse de manera continua la supervisin de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos. - Deben obtenerse evidencias suficientes, competentes y relevantes que sustenten los hallazgos. 18

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

2.- Ejecucin (continuacin) - Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones, a travs de Papeles de Trabajo. - Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad.

19

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Desarrollo de los procesos de auditora

20

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Desarrollo de los procesos de auditora

21

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

3.- Elaboracin de Informes - Existen informes de cada especialista dentro de los aspectos auditados: Organizacin, sistemas de informacin, redes de comunicacin de datos, planes de contingencias, etc.

- Deben ser oportunos para que el proceso de mejora sea inmediato.

- Deben estar en un lenguaje sencillo y preciso, tratando los temas de manera concreta y con la documentacin sustentatoria.
22

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

3.- Elaboracin de Informes (Continuacin) - El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes. - Cuando se evidencie la realizacin de actos delictivos, debe elaborarse con celeridad un informe especial, anexando la documentacin tcnica y legal sustentatoria.

23

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Elaboracin de informes de auditora

24

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Normas Generales De Auditora

25

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Normas de Auditora Generalmente Aceptadas NAGAs y Normas Internacionales de Auditora NIAs. Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realizacin de una auditora y en la emisin del informe. Se dividen en: a) Normas Generales de Auditora. b) Normas de Trabajo. c) Normas de Preparacin de Informes.

26

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

a)Normas Generales de Auditora. 1. La auditora ser efectuada por profesionales que tienen entrenamiento tcnico adecuado y pericia como auditores. 2. El auditor mantendr independencia de criterio. 3. Debido cuidado profesional en la ejecucin del examen y en la preparacin del informe.

27

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

b)Normas de Trabajo. 1. La auditora ser planeada adecuadamente.

2. Se estudiar y evaluar el control interno, para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditora.
3. Se obtendr evidencia adecuada en grado suficiente, mediante constataciones, indagaciones y confirmaciones, para proveer una base razonable que permita la expresin de una opinin sobre la 28 gestin empresarial.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

c)Normas de Preparacin de Informes. 1. Todo informe de auditora contendr lo siguiente: Informacin introductoria. Observaciones. Conclusiones. Recomendaciones. Anexos.

29

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Estrategias y Herramientas Generales

30

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

TCNICAS DE AUDITORA: Formas de accin del auditor para obtener evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado. Son herramientas que emplea el auditor segn su criterio y las circunstancias.

31

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

TCNICAS DE AUDITORA: Las tcnicas se clasifican de acuerdo con la accin adoptada por el auditor en el desarrollo de la accin a efectuar: Tcnicas de verificacin orales: Indagacin, entrevistas. Tcnicas de verificacin oculares: Observacin, comparacin.

32

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

TCNICAS DE AUDITORA: Tcnicas de verificacin escrita: Anlisis, conciliacin, confirmacin. Tcnicas de verificacin Comprobacin, rastreo. documental:

Tcnicas de verificacin fsica: Conteo.

33

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS: Es el conjunto de hechos comprobados suficientes, competentes y pertinentes que sustentan las conclusiones del auditor. Es la informacin especfica obtenida durante la labor de auditora a travs de observacin, inspeccin, entrevistas y examen de los procesos informticos.

34

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS: Las evidencias pueden ser: Evidencia fsica: Mediante observacin directa.

inspeccin

Evidencia testimonial: Obtenida de otros a travs de cartas o declaraciones recibidas en respuestas a indagaciones.
Evidencia documental: Documentos internos de la empresa y documentos externos.
35

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Evidencia analtica: Se obtiene al verificar la informacin recibida.

36

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Las evidencias deben tener las siguientes caractersticas: Suficiencia: La evidencia ser suficiente cuando por los resultados de la aplicacin de una o varias pruebas, el auditor podr adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados. Para determinar si la evidencia es suficiente, se requiere aplicar el criterio profesional. Cuando sea conveniente, se podr emplear mtodos 37 estadsticos con ese propsito.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Competencia: Para que sea competente, la evidencia debe ser vlida y confiable. A fin de evaluar la competencia de la evidencia, el auditor deber considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. De ser as, deber obtener evidencia adicional o revelar esa situacin en su informe.

38

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Competencia:Los siguientes supuestos constituyen criterios tiles para juzgar si la evidencia es competente, si bien no debern considerarse suficientes para determinar la competencia: La evidencia que se obtiene de fuentes independientes es ms confiable que la obtenida del propio organismo auditado.

39

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es ms confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido. La evidencia que se obtiene fsicamente mediante un examen, observacin, clculo o inspeccin es ms confiable que la que se obtiene en forma indirecta.
40

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Los documentos originales son ms confiables que sus copias. La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crdito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).
41

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

EVIDENCIAS (continuacin): Relevancia: Se refiere a la relacin que existe entre la evidencia y su uso. La informacin que se utilice para demostrar o refutar un hecho ser relevante si guarda una relacin lgica y patente con ese hecho. Si no lo hace, ser irrelevante y, por consiguiente, no deber incluirse como evidencia. Cuando lo estimen conveniente, el auditor deber obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y 42 competencia de la evidencia que haya obtenido..

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Evidencias de hallazgos: Documentarias.

43

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Evidencias de hallazgos: Captura de Pantallas.

44

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA: Problematizacin: El Juego de Gari.

Qu hemos visto?

Si todos hemos visto el mismo video, porque hemos observado cosas diferentes?
45

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA:

Es que la realidad es compleja y relativa.

Por lo tanto, debemos hacer esfuerzos en ser lo ms objetivos.

46

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA: Es una reunin lgica de datos y una presentacin objetiva de los hechos que el auditor ha observado o encontrado durante su examen. Un hallazgo debe tener ciertos requisitos: Importancia relativa que merezca su comunicacin. Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. Convincente a una persona que no ha participado en la auditora (!!!Yo vi un OVNI) Por qu no me creen?.
47

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): En un hallazgo deben considerarse los siguientes factores: Las condiciones y circunstancias existentes al momento en que ocurri el hecho. ndole y complejidad tcnica del hecho observado. Someter el hallazgo potencial a un anlisis crtico. Suficientemente completo para una conclusin y/o recomendacin.

48

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Las pasos a seguir en el desarrollo de un hallazgo pueden ser: Identificacin de las lneas de autoridad. Verificacin de las causas de la deficiencia. Determinar si la deficiencia es un caso aislado o tiene el problema o la condicin difundida. Determinacin de los efectos.
49

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Obtencin de comentarios de personas afectadas por el hecho encontrado. Determinacin de las conclusiones en base al hallazgo. Determinacin de posibles acciones correctivas a modo de recomendaciones.

50

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Los atributos de un hallazgo son: Condicin: Situacin actual encontrada, LO QUE ES. Criterio: La norma aplicada o unidad de medida, LO QUE DEBE SER Efecto: La diferencia entre LO QUE ES y LO QUE DEBE SER. Causa: Las razones de desviacin POR QU SUCEDI.
51

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Condicin: De la revisin a los procesos de generacin de las copias de respaldo a la informacin del Sistema de Informacin, se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad.

52

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Criterio: Esta situacin contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos, de la Fundacin de Auditora y Control de Sistemas de Informacin, la cual indica que los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones
53

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Efecto: La consecuencia que traera sera la prdida definitiva de la informacin, en el caso de la ocurrencia de desastres tales como un incendio.

54

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Causa: No se ha identificado an el lugar destinado para estos fines.

Cuando no se sabe con precisin la CAUSA, porque las razones son difusas o an no se tiene la respuesta del auditado, este atributo no es considerado en el hallazgo.

55

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Sin embargo, no son fciles de definir: En una entidad se evidenci que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso, el cual estaba conformado ntegramente por damas. Adems, los pozos a tierra no tenan el mantenimiento adecuado para su correcto funcionamiento. Revisando el MOF del rea informtica, no se encontr dentro de sus funciones la administracin de extintores ni pozos a tierra. 56

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Pregunta: Es pertinente hacer un hallazgo si el rea de informtica no es la responsable de estas funciones? De acuerdo al MOF, las reas responsables son: -Adm. de extintores: Dpto. de Seguridad. -Adm. de pozos a tierra: Dpto. de mantenimiento elctrico. Si estamos auditando procesos informticos porqu tenemos que hacer hallazgos en reas que no realizan tareas informtica? 57

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Respuestas: Redacte sus conclusiones.

58

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR:

Definicin: Conjunto de cdulas y documentos en los que el auditor registra cronolgicamente datos por l formulados, la informacin obtenida e igualmente el resultado de sus pruebas tcnicas, mtodos y procedimientos utilizados en el desarrollo de una auditora.

59

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR: Importancia: Historial de la labor efectuada. Resultado de la labor del auditor. Respaldo del informe del auditor. Deja constancia del grado de confianza del control interno. Es fuente de informacin futura. Facilita la revisin y supervisin del trabajo. Respaldan los hallazgos de auditora. Es base para la elaboracin del informe.
60

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR: Contenido: Programa de Auditora. Cuestionarios de control interno. Hojas de trabajo del auditor. Informacin respectiva de la empresa. Confirmaciones externas. Notas y observaciones del auditor.

61

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR: Una forma de Organizarlos:

Referencia

Documentacin de los procesos De auditora

Anexos
62

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

63

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Casos de Estudio
Elabora hallazgos de auditora

64

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Conclusiones

65

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Luego del desarrollo de la sesin se ha llegado a las siguientes conclusiones.

Por qu es importante la auditora informtica?

Cules son las etapas de auditora y sus funciones? Qu caractersticas tiene un auditor?

Qu tcnicas de auditora existen?

Qu tipos de evidencias existen? Qu tipos caractersticas deben tener las evidencias? Qu es un hallazgo? Qu atributos tiene un hallazgo?
66

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditora Informtica

Preguntas adicionales?

67