ORGANIZACIN DE LA FUNCIN DE
AUDITORA
ESTNDARES, DIRECTRICES,
PROCEDIMIENTOS Y GUAS DE AUDITORA
CDIGO DE TICA PROFESIONAL DEL
AUDITOR
EL CONTROL INTERNO
RIESGOS DE AUDITORA Y
MATERIALIDAD
DETECCIN DE FRAUDES
COBIT
ITIL
Definiendo Auditora
La palabra auditora viene del latn auditorius, y de
Definiendo Auditora
con frecuencia la palabra auditora se ha
empleado incorrectamente y se le ha
considerado una evaluacin cuyo nico fn es
detectar errores y sealar fallas, por eso la
frase tan utilizada tiene auditora como
sinnimo de que antes de realizarse, ya se
encontraron fallas y por lo tanto se est
haciendo la auditora.
Definiendo Auditora
El concepto de auditora es ms amplio; no
CONCEPTO DE
AUDITORA A LAS
TECNOLOGAS DE LA
INFORMACIN
Concepto de Auditora
a las tecnologas de la Informacin
Concepto de Auditora
a las tecnologas de la Informacin
Existen, normas, tcnicas y buenas practicas
dedicadas a la evaluacin y aseguramiento de la
calidad, seguridad, razonabilidad, y disponibilidad
de la INFORMACION tratada y almacenada a
travs de la computadora y equipos afines, as
como de la eficiencia, eficacia y economa con que
la administracin de un ente estn manejando dicha
INFORMACION y todos los recursos fsicos y
humanos asociados para su adquisicin, captura,
procesamiento, transmisin, distribucin, uso y
almacenamiento.
Concepto de Auditora
a las tecnologas de la Informacin
Concepto de Auditora
a las tecnologas de la Informacin
apoyada por un conjunto de conocimientos
acerca de la tecnologa informtica, de
tcnicas y procedimientos de auditora y
de conocimientos contables, para
evaluar la calidad, fiabilidad y seguridad
de un entorno informtico dado, as
como brindar seguridad razonable
acerca de la utilidad de la informacin
almacenada y procesada en ellos, con el
fin de emitir un juicio al respecto.
Concepto de Auditora
Finalmente, deber expresar su opinin
Auditora de Red
La globalizacin, la competencia y los avances
tecnolgicos estn aumentando la importancia de las
redes corporativas en todos los sectores empresariales.
Las empresas con mayor visin deben estar preparadas
para una creciente dependencia de sus redes y, en
consecuencia, para un crecimiento de red exponencial.
Adems, La infraestructura de las Tecnologas de la
Informacin y de las Comunicaciones (TIC) se ha
convertido en un activo empresarial estratgico y la red
constituye su ncleo.
Concepto
Una Auditoria de Redes es, en esencia,
una serie de mecanismos mediante los
cuales se pone a prueba una red
informtica, evaluando su desempeo y
seguridad, a fin de lograr una utilizacin
ms eficiente y segura de la informacin.
Concepto
El primer paso para iniciar una
gestin responsable de la seguridad es
identificar la estructura fsica (hardware,
topologa) y lgica (software, aplicaciones)
del sistema (sea un equipo, red, intranet,
extranet), y hacerle una Anlisis de
Vulnerabilidad, para saber en qu grado
de exposicin nos encontramos.
Concepto
As, hecha esta "radiografa" de la red, se
procede a localizar sus fallas ms
crticas, para proponer una Estrategia de
Saneamiento de los mismos; un Plan de
Contencin ante posibles incidentes; y un
Seguimiento Contnuo del desempeo del
sistema.
TIPOS DE AUDITORA
Tipos de Auditora
Auditora Interna y Auditora Externa:
La auditora interna es la realizada con recursos
materiales y personas que pertenecen a la empresa
auditada.
Los empleados que realizan esta tarea son
remunerados econmicamente. La auditora interna
existe por expresa decisin de la Empresa, o sea, que
puede optar por su disolucin en cualquier momento.
Auditora externa
Realizada por personas afines a la empresa
auditada; es siempre remunerada.
Se presupone una mayor objetividad que en la
Auditora Interna, debido al mayor
distanciamiento entre auditores y auditados.
ORGANIZACIN DE LA
FUNCIN DE AUDITORA
Organizacin de la funcin de
auditora
La funcin de auditora informtica paso de ser una funcin de ayuda al
auditor financiero a ser una funcin que desarrolla un trabajo, y seguir
hacindolo en el futuro.
En acuerdo con la importancia que tienen los sistemas informticos y de
informacin para las organizaciones. El auditor informtico pasa a ser
auditor y consultor y asesor en:
seguridad,
control interno,
eficiencia y eficacia,
tecnologa informtica,
continuidad de operaciones,
gestin de riesgos.
Mas all de los sistemas informticos sino en el contexto empresarial.
Organizacin de la funcin de
auditora
cmo se debe organizar la funcin de auditora informtica dentro
de la empresa?
Histricamente la funcin de auditora informtica se considera
dentro de la funcin de auditora interna, pero debe ser
independiente de los objetivos de la auditora interna operativa y
financiera.
Debe tener accesibilidad total a los sistemas informticos y de
informacin.
Debe estar bajo la direccin del director de auditora interna, para
evitar que otras dependencias cambien o disminuyan su imagen.
Organizacin de la funcin de
auditora
No debe depender del encargado de sistemas ni
del departamento de organizacin, financiero o
administrativo (debe ser independiente).
El departamento de auditora informtica debe
tener una organzacin interna basada en:
Jefe del departamento
Gerente o supervisor de auditora informtica
Staff de auditores informticos
Organizacin de la funcin de
auditora
El tamao debe estar en funcin de los
objetivos de la funcin, con especialistas
en entorno informtico en comunicaciones
y o redes, responsable de gestin de
riesgo operativo, responsable de la
auditora de sistemas y de ser posible un
especialista para la elaboracn de
programas trabajos conjuntos con la
auditora financiera.
ESTNDARES,
DIRECTRICES,
PROCEDIMIENTOS Y GUAS
DE AUDITORA
Estndares
La Organizacin Internacional para la Estandarizacin, ISO por sus
Estndares
Durante las ltimas dcadas, organizaciones de todos
Estndares
Teniendo como base diferentes antecedentes sobre normas de
Estndares
LA FAMILIA ISO
Las series de normas ISO relacionadas con la calidad constituyen lo que se
denomina familia de normas, las que abarcan distintos aspectos relacionados con
la calidad:
ISO 9000: Sistemas de Gestin de Calidad
Fundamentos, vocabulario, requisitos, elementos del sistema de calidad, calidad
en diseo, fabricacin, inspeccin, instalacin, venta, servicio post venta,
directrices para la mejora del desempeo.
ISO 10000: Guas para implementar Sistemas de Gestin de Calidad/ Reportes
Tcnicos
Gua para planes de calidad, para la gestin de proyectos, para la documentacin
de los SGC, para la gestin de efectos econmicos de la calidad, para aplicacin
de tcnicas estadsticas en las Normas ISO 9000. Requisitos de aseguramiento
de la calidad para equipamiento de medicin, aseguramiento de la medicin.
ISO 14000: Sistemas de Gestin Ambiental de las Organizaciones.
Principios ambientales, etiquetado ambiental, ciclo de vida del producto,
programas de revisin ambiental, auditoras.
ISO 19011: Directrices para la Auditora de los SGC y/o Ambiental
I.1 Aplicacin
La ISO 9001 2000 se puede aplicar en cualquier tipo de
Directrices
Una auditora se realiza con base a un patrn o conjunto de
directrices o buenas practicas sugeridas. Existen estndares
orientados a servir como base para auditoras de informtica. Uno
de ellos es COBIT (Objetivos de Control de la Tecnologas de la
Informacin), dentro de los objetivos definidos como parmetro, se
encuentra el "Garantizar la Seguridad de los Sistemas". Adicional
a este estndar podemos encontrar el standard ISO 27002, el cual
se conforma como un cdigo internacional de buenas prcticas de
seguridad de la informacin, este puede constituirse como una
directriz de auditora apoyndose de otros estndares de
seguridad de la informacin que definen los requisitos de auditora
y sistemas de gestin de seguridad, como lo es el estndar
ISO 27001.
Procedimientos
Al conjunto de tcnicas de investigacin aplicables a un grupo de
hechos o circunstancias que nos sirven para fundamentar la opinin
del auditor dentro de una auditora, se les dan el nombre de
procedimientos de auditora en informtica.
La combinacin de dos o ms procedimientos, derivan en programas
de auditora, y al conjunto de programas de auditora se le denomina
plan de auditora, el cual servir al auditor para llevar una estrategia y
organizacin de la propia auditora.
El auditor no puede obtener el conocimiento que necesita para
sustentar su opinin en una sola prueba, es necesario examinar los
hechos, mediante varias tcnicas de aplicacin simultnea.
Procedimientos
Anlisis de datos.
Dentro de este trabajo, desarrollaremos
Procedimientos
En General los procedimientos de auditora permiten:
Obtener conocimientos del control interno.
Analizar las caractersticas del control interno.
Verificar los resultados de control interno.
Fundamentar conclusiones de la auditora.
Por esta razn el auditor deber aplicar su experiencia
y decidir cul tcnica o procedimiento de auditora sern
los mas indicados par obtener su opinin.
Procedimientos
Comparacin de programas
esta tcnica se emplea para efectuar una
comparacin de cdigo (fuente, objeto o comandos
de proceso) entre la versin de un programa en
ejecucin y la versin de un programa piloto que
ha sido modificado en forma indebida, para
encontrar diferencias.
Mapeo y rastreo de programas
esta tcnica emplea un software especializado que
permite analizar los programas en ejecucin,
indicando el nmero de veces que cada lnea de
cdigo es procesada y las de las variables de
memoria que estuvieron presentes.
Procedimientos
Anlisis de cdigo de programas
Se emplea para analizar los programas de una
aplicacin. El anlisis puede efectuarse en forma
manual (en cuyo caso slo se podra analizar el
cdigo ejecutable).
Datos de prueba
Procedimientos
Datos de prueba integrados
Anlisis de bitcoras
Procedimientos
Simulacin paralela
Procedimientos
Monitoreo.
Dentro de las organizaciones todos los
Procedimientos
M1 Monitoreo del proceso.
M2 Evaluar lo adecuado del control
Interno.
M3 Obtencin de aseguramiento
independiente.
M4 Proveer auditora independiente.
Procedimientos
M1 Monitoreo del proceso
Asegura el logro de los objetivos para los
Procedimientos
M2 Evaluar lo adecuado del control Interno
Asegura el logro de los objetivos de control
Procedimientos
M4 Proveer auditora independiente.
Incrementa los niveles de confianza de
Procedimientos
Anlisis de bitcoras.
Hoy en da los sistemas de cmputo se
Procedimientos
El crecimiento de Internet enfatiza esta problemtica, los
Procedimientos
La importancia de las bitcoras es la de
Procedimientos
Las bitcoras contienen informacin crtica es
Procedimientos
Tcnicas de auditora asistida por computadora
La utilizacin de equipos de computacin en las
Procedimientos
La utilizacin de paquetes de programas
Procedimientos
Seleccin e impresin de muestras de
Procedimientos
Consecuentemente, se hace indispensable el
Procedimientos
Teniendo en cuenta que se haca
Procedimientos
De esta forma los auditores adquieren ms
criterios especificados.
Bsqueda de alguna informacin en
particular, la cual cumpla ciertos
criterios, que se encuentra dentro de las
bases de datos del sistema que se
audita.
Procedimientos
Benchmarking
Las empresas u organizaciones deben buscar
Procedimientos
Benchmarking es el proceso continuo de
(1) [bib-imcp] Normas y procedimientos de auditora. Instituto Mexicano de Contadores Pblicos (IMCP).
Procedimientos
Esta definicin presenta aspectos importantes
Procedimientos
Entre otras definiciones tenemos la extrada del
Procedimientos
Estos autores se centran, a parte de la
Procedimientos
Para empezar en la mayora de ellas se resalta
Procedimientos
Tambin se vio en las diferentes definiciones
[2]http://Monografias.com/Trabajos4.html
Guas
Una gua de auditora es un manual escrito que contiene
Planeacin de la Auditoria
Informtica
Se debe recopilar informacin para obtener una visin
general del rea a auditar por medio de:
observaciones,
entrevistas preliminares y
solicitudes de documentos.
La finalidad es definir el objetivo y alcance del estudio, as
como el programa detallado de la investigacin.
La planeacin de la auditora debe sealar en forma
detallada el alcance y direccin esperados y debe
comprender un plan de trabajo para que, en caso de que
existan cambios o condiciones inesperadas que ocasionen
modificaciones al plan general, sean justificadas por escrito.
4- Sistemas
Manual de formularios.
Manual de procedimientos de los
sistemas
Descripcin genrica
Diagrama de entrada, archivo y salida.
Salidas impresas
Fecha de instalacin de los sistemas
Proyectos de instalacin de nuevos
sistemas.
Fases de la Auditora
Informtica
TOMA DE CONTACTO
PLANIFICACION DE LA OPERACION
DESARROLLO DE LA AUDITORIA
FASE DE DIAGNOSTICO
PRESENTACION DE LAS
CONCLUSIONES
FORMULACION DEL PLAN DE
MEJORAS
establecer:
- Definitivamente el objetivo de la AI
- Las reas a cubrir
- Personas de la Organizacin que habrn de
colaborar y en que momentos de la auditoria
- Plan de trabajo:
- tareas
- calendario
- resultados parciales
- presupuesto
- equipo auditor necesario
Planificacin de la Operacin
Desarrollo de la Auditoria Informtica
Es el momento de ejecutar las tareas
que se enunciaron en la fase anterior.
Es esta una fase de observacin, de
recoleccin de datos, situaciones,
deficiencias, en resumen un perodo en
el que:
fase de planificacin.
se completarn todos los cuestionarios que
presente el auditor
se observarn las situaciones deficientes, no
solo las aparentes, sino las que hasta ahora no
hayan sido detectadas, para lo que se podr
llegar a simular situaciones lmites.
se observarn los procedimientos, tanto los
informticos como los de usuarios.
se ejecutarn por lo tanto, todas las previsiones
efectuadas en la etapa anterior con el objeto de
llegar a la siguiente etapa en condiciones de
diagnosticar la situacin encontrada.
Fase de Diagnstico
Cuando ya se hayan efectuado todas los
CDIGO DE ETICA
PROFESIONAL DEL AUDITOR
EL CONTROL INTERNO
Objetivos:
Controlar que todas las actividades que
se realicen cumplan con normas y
procedimientos, evaluar sus beneficios y
asegurarse de cumplimiento de normas
legales.
Asesorar sobre el conocimientos de las
normas
CONTROLES
ORGANIZACIN
Registro de los intercambios
Custodia de activos que no sean los del propio departamento
Correccin de errores que no provengan de los originados por el
propio dpto.
En cuanto a la organizacin dentro del mismo departamento , las
siguiente funciones deben estar segregadas:
programacin del sistema operativo
anlisis , programacin y mantenimiento
operacin
ingreso de datos
control de datos de entrada / salida
archivos de programas y datos.
SISTEMA
Debe efectuarse un control de los equipos :
programacin del mantenimiento preventivo y
peridico
registro de fallas de equipos
Los cambios del sist. Op. Y la programacin.
CONTROLES DE ACCESO
El acceso al PED debe estar restringido en todo
momento. Tambin debe controlarse :
el acceso los equipos debe estar restringido a
aquellos autorizados
el acceso de documentacin solo aquellos
autorizados
el acceso a los archivos de datos y programas solo
limitado a operadores
El
El
Control
Anlisis
RIESGOS DE AUDITORA Y
MATERIALIDAD
Anlisis de riesgos y
materialidad
El Riesgo en auditora representa la posibilidad de que el auditor
Anlisis de riesgos y
materialidad
En auditora se conocen tres tipos de riesgo: Inherente, de
La materialidad
La
DETECCIN DE FRAUDES
Fraude
Definicin.- Podemos afirmar que es un engao hacia un tercero, abuso de
* Malversacin de activos
Tipos de fraude
Se considera que hay dos tipos de fraudes: el primero de ellos
* Documentacin confusa.
* Salarios bajos.
* Legislacin deficiente.
comunes son: