Está en la página 1de 62

Empresariales

Auditora Informtica

Auditora Informtica
Sesin 2: Introduccin a la auditora

Lic. Jorge A. Arvalos


ORIENTADOR joarevalos@gmail.com @joarevalos

Empresariales

Auditora Informtica

Agenda
Conceptos, importancia y clasificacin de auditora. Etapas de auditora.

Normas generales.
Estrategias y herramientas generales. Casos prcticos.

Conclusiones.

Empresariales

Auditora Informtica

Conceptos, importancia y clasificacin de auditora

Empresariales

Auditora Informtica

Elementos Bsicos de la Administracin.

1. 2. 3. 4. 5.

Planeamiento. Organizacin. Direccin. Coordinacin e Integracin. Control.

Empresariales

Auditora Informtica

Conceptos de Auditora La Auditora Administrativa se ocupa de la calidad de la administracin. Est diseada para evaluar la efectividad de la administracin en el cumplimiento de sus tareas asignadas: El cumplimiento de los objetivos organizativos por parte de la Gerencia. El cumplimiento de sus funciones de planeacin, organizacin, direccin y control.
5

Empresariales

Auditora Informtica

Importancia de la Auditora La razn principal para llevar a cabo una auditora es la necesidad de detectar y superar las deficiencias. Por lo tanto, el auditor tiene la obligacin de detectar debilidades e indicar alternativas de solucin.

Empresariales

Auditora Informtica

Clasificacin de la Auditora Por su naturaleza: Auditora Administrativa u Operativa. Auditora de Gestin. Auditora a la Informacin Presupuestaria. Auditora de Estados Financieros. Auditora Tributaria. Auditora de Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditora Integral. Exmenes Especiales.
7

Empresariales

Auditora Informtica

Clasificacin de la Auditora Por la Dependencia: Auditora Interna. Auditora Externa.

Empresariales

Auditora Informtica

Clasificacin de la Auditora Esquema del Sistema de Auditora referido a su mbito, clases y tipo de auditores. mbito
Interna

Clase

Tipo de Auditor

Auditora
Externa

Auditora Administrativa Auditor Interno Auditora de Gestin. Auditora Inf. Presup. Auditora de EEFF. Auditora Tributaria. Auditora Sistemas Informticos. Auditora Ecolgica o Ambiental. Auditor Externo Auditora Integral. Exmenes Especiales.
9

Empresariales

Auditora Informtica

Definicin del Auditor. Profesional colegiado, que tiene formacin, especializacin y experiencia en las tcnicas de auditora (informtica).

10

Empresariales

Auditora Informtica

Perfil Genrico del Auditor. 1.El auditor no es, ni debe esperarse que sea un perito en todas las materias. 2.El equipo de auditora informtica est compuesto por un staff de especialistas en cada una de las ramas: redes de comunicacin, bases de datos, sistemas de informacin, aplicaciones diversas, planes de contingencias, organizacin, etc. 3.La independencia mental del auditor ser mayor entre mayor sea el nivel al que reporta.
11

Empresariales

Auditora Informtica

Perfil Genrico del Auditor. 4. El auditor debe tener formacin profesional, con Postgrado y especializado en el sistema de control. 5. El auditor debe contar con amplia experiencia profesional, a nivel de ejecutivo. 6. El auditor debe acreditar solvencia moral y tica en su trayectoria personal y profesional. 7. El auditor debe guardar discrecin profesional en su ejercicio.
12

Empresariales

Auditora Informtica

Etapas de la auditora

13

Empresariales

Auditora Informtica

Las etapas de un proyecto de auditora son las siguientes: 1.Planificacin. 2.Ejecucin. 3.Elaboracin de informes. La calidad de cada etapa es crucial para el logro de los objetivos del proyecto de auditora.

14

Empresariales

Auditora Informtica

1.- Planificacin - El proyecto de auditora debe planificarse adecuadamente para asegurar su calidad. - Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan. - Los Programas de Auditora deben incluir los objetivos, alcances de la muestra, procedimientos detallados, oportunidad de su aplicacin y el personal responsable de su ejecucin.
15

Empresariales

Auditora Informtica

1.- Planificacin (continuacin) - Debe organizarse el Archivo Permanente (conjunto de documentos con informacin de inters y de uso continuo).

16

Empresariales

Auditora Informtica

Exposicin del Plan de Auditora al Equipo de Auditores

17

Empresariales

Auditora Informtica

2.- Ejecucin - Debe focalizarse principalmente a las reas crticas de la entidad. - Debe evaluarse el cumplimiento adecuado de las normas tcnicas informticas. - Debe realizarse de manera continua la supervisin de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos. - Deben obtenerse evidencias suficientes, competentes y relevantes que sustenten los hallazgos. 18

Empresariales

Auditora Informtica

2.- Ejecucin (continuacin) - Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones, a travs de Papeles de Trabajo. - Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad.

19

Empresariales

Auditora Informtica

Desarrollo de los procesos de auditora

20

Empresariales

Auditora Informtica

3.- Elaboracin de Informes - Existen informes de cada especialista dentro de los aspectos auditados: Organizacin, sistemas de informacin, redes de comunicacin de datos, planes de contingencias, etc.

- Deben ser oportunos para que el proceso de mejora sea inmediato.


- Deben estar en un lenguaje sencillo y preciso, tratando los temas de manera concreta y con la documentacin sustentatoria.
21

Empresariales

Auditora Informtica

3.- Elaboracin de Informes (Continuacin) - El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes. - Cuando se evidencie la realizacin de actos delictivos, debe elaborarse con celeridad un informe especial, anexando la documentacin tcnica y legal sustentatoria.

22

Empresariales

Auditora Informtica

Elaboracin de informes de auditora

23

Empresariales

Auditora Informtica

Normas Generales De Auditora

24

Empresariales

Auditora Informtica

Normas de Auditora Generalmente Aceptadas NAGAs y Normas Internacionales de Auditora NIAs. Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realizacin de una auditora y en la emisin del informe. Se dividen en: a) Normas Generales de Auditora. b) Normas de Trabajo. c) Normas de Preparacin de Informes.

25

Empresariales

Auditora Informtica

a)Normas Generales de Auditora. 1. La auditora ser efectuada por profesionales que tienen entrenamiento tcnico adecuado y pericia como auditores. 2. El auditor mantendr independencia de criterio. 3. Debido cuidado profesional en la ejecucin del examen y en la preparacin del informe.

26

Empresariales

Auditora Informtica

b)Normas de Trabajo. 1. La auditora ser planeada adecuadamente. 2. Se estudiar y evaluar el control interno, para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditora. 3. Se obtendr evidencia adecuada en grado suficiente, mediante constataciones, indagaciones y confirmaciones, para proveer una base razonable que permita la expresin de una opinin sobre la 27 gestin empresarial.

Empresariales

Auditora Informtica

c)Normas de Preparacin de Informes. 1. Todo informe de auditora contendr lo siguiente: Informacin introductoria. Observaciones. Conclusiones. Recomendaciones. Anexos.

28

Empresariales

Auditora Informtica

Estrategias y Herramientas Generales

29

Empresariales

Auditora Informtica

TCNICAS DE AUDITORA: Formas de accin del auditor para obtener evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado. Son herramientas que emplea el auditor segn su criterio y las circunstancias.

30

Empresariales

Auditora Informtica

TCNICAS DE AUDITORA: Las tcnicas se clasifican de acuerdo con la accin adoptada por el auditor en el desarrollo de la accin a efectuar: Tcnicas de verificacin orales: Indagacin, entrevistas. Tcnicas de verificacin oculares: Observacin, comparacin.

31

Empresariales

Auditora Informtica

TCNICAS DE AUDITORA: Tcnicas de verificacin escrita: Anlisis, conciliacin, confirmacin. Tcnicas de verificacin Comprobacin, rastreo. documental:

Tcnicas de verificacin fsica: Conteo.

32

Empresariales

Auditora Informtica

EVIDENCIAS: Es el conjunto de hechos comprobados suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.

Es la informacin especfica obtenida durante la labor de auditora a travs de observacin, inspeccin, entrevistas y examen de los procesos informticos.

33

Empresariales

Auditora Informtica

EVIDENCIAS: Las evidencias pueden ser: Evidencia fsica: Mediante observacin directa. inspeccin u

Evidencia testimonial: Obtenida de otros a travs de cartas o declaraciones recibidas en respuestas a indagaciones.
Evidencia documental: Documentos internos de la empresa y documentos externos.
34

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Evidencia analtica: Se obtiene al verificar la informacin recibida.

35

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Las evidencias deben tener las siguientes caractersticas: Suficiencia: La evidencia ser suficiente cuando por los resultados de la aplicacin de una o varias pruebas, el auditor podr adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados. Para determinar si la evidencia es suficiente, se requiere aplicar el criterio profesional. Cuando sea conveniente, se podr emplear mtodos 36 estadsticos con ese propsito.

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Competencia: Para que sea competente, la evidencia debe ser vlida y confiable. A fin de evaluar la competencia de la evidencia, el auditor deber considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. De ser as, deber obtener evidencia adicional o revelar esa situacin en su informe.

37

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Competencia:Los siguientes supuestos constituyen criterios tiles para juzgar si la evidencia es competente, si bien no debern considerarse suficientes para determinar la competencia: La evidencia que se obtiene de fuentes independientes es ms confiable que la obtenida del propio organismo auditado.

38

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es ms confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido. La evidencia que se obtiene fsicamente mediante un examen, observacin, clculo o inspeccin es ms confiable que la que se obtiene en forma indirecta.
39

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Los documentos originales son ms confiables que sus copias. La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crdito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).
40

Empresariales

Auditora Informtica

EVIDENCIAS (continuacin): Relevancia: Se refiere a la relacin que existe entre la evidencia y su uso. La informacin que se utilice para demostrar o refutar un hecho ser relevante si guarda una relacin lgica y patente con ese hecho. Si no lo hace, ser irrelevante y, por consiguiente, no deber incluirse como evidencia. Cuando lo estimen conveniente, el auditor deber obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y 41 competencia de la evidencia que haya obtenido..

Empresariales

Auditora Informtica

Evidencias de hallazgos: Documentarias.

42

Empresariales

Auditora Informtica

Evidencias de hallazgos: Captura de Pantallas.

43

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA: Es una reunin lgica de datos y una presentacin objetiva de los hechos que el auditor ha observado o encontrado durante su examen. Un hallazgo debe tener ciertos requisitos: Importancia relativa que merezca su comunicacin. Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. Convincente a una persona que no ha participado en la auditora (!!!Yo vi un OVNI) Por qu no me creen?.
44

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): En un hallazgo deben considerarse los siguientes factores: Las condiciones y circunstancias existentes al momento en que ocurri el hecho. ndole y complejidad tcnica del hecho observado. Someter el hallazgo potencial a un anlisis crtico. Suficientemente completo para una conclusin y/o recomendacin.

45

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Las pasos a seguir en el desarrollo de un hallazgo pueden ser: Identificacin de las lneas de autoridad. Verificacin de las causas de la deficiencia. Determinar si la deficiencia es un caso aislado o tiene el problema o la condicin difundida. Determinacin de los efectos.
46

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Obtencin de comentarios de personas afectadas por el hecho encontrado. Determinacin de las conclusiones en base al hallazgo. Determinacin de posibles acciones correctivas a modo de recomendaciones.

47

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (continuacin): Los atributos de un hallazgo son: Condicin: Situacin actual encontrada, LO QUE ES. Criterio: La norma aplicada o unidad de medida, LO QUE DEBE SER Efecto: La diferencia entre LO QUE ES y LO QUE DEBE SER. Causa: Las razones de desviacin POR QU SUCEDI.
48

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Condicin: De la revisin a los procesos de generacin de las copias de respaldo a la informacin del Sistema de Informacin, se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad.

49

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Criterio: Esta situacin contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos, de la Fundacin de Auditora y Control de Sistemas de Informacin, la cual indica que los procedimientos de respaldo para los medios relacionados con tecnologa de informacin debern incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentacin relacionada, tanto dentro como fuera de las instalaciones
50

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Efecto: La consecuencia que traera sera la prdida definitiva de la informacin, en el caso de la ocurrencia de desastres tales como un incendio.

51

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Los atributos de un hallazgo son: Causa: No se ha identificado an el lugar destinado para estos fines.

Cuando no se sabe con precisin la CAUSA, porque las razones son difusas o an no se tiene la respuesta del auditado, este atributo no es considerado en el hallazgo.

52

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Sin embargo, no son fciles de definir: En una entidad se evidenci que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso, el cual estaba conformado ntegramente por damas. Adems, los pozos a tierra no tenan el mantenimiento adecuado para su correcto funcionamiento. Revisando el MOF del rea informtica, no se encontr dentro de sus funciones la administracin de extintores ni pozos a tierra. 53

Empresariales

Auditora Informtica

HALLAZGOS DE AUDITORA (Ejemplo): Pregunta: Es pertinente hacer un hallazgo si el rea de informtica no es la responsable de estas funciones? De acuerdo al MOF, las reas responsables son: -Adm. de extintores: Dpto. de Seguridad. -Adm. de pozos a tierra: Dpto. de mantenimiento elctrico. Si estamos auditando procesos informticos porqu tenemos que hacer hallazgos en reas que no realizan tareas informtica? 54

Empresariales

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR:

Definicin: Conjunto de cdulas y documentos en los que el auditor registra cronolgicamente datos por l formulados, la informacin obtenida e igualmente el resultado de sus pruebas tcnicas, mtodos y procedimientos utilizados en el desarrollo de una auditora.

55

Empresariales

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR: Importancia: Historial de la labor efectuada. Resultado de la labor del auditor. Respaldo del informe del auditor. Deja constancia del grado de confianza del control interno. Es fuente de informacin futura. Facilita la revisin y supervisin del trabajo. Respaldan los hallazgos de auditora. Es base para la elaboracin del informe.
56

Empresariales

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR:

Contenido: Programa de Auditora. Cuestionarios de control interno. Hojas de trabajo del auditor. Informacin respectiva de la empresa. Confirmaciones externas. Notas y observaciones del auditor.

57

Empresariales

Auditora Informtica

LOS PAPELES DE TRABAJO DEL AUDITOR:

Una forma de Organizarlos:

Referencia

Documentacin de los procesos De auditora

Anexos
58

Empresariales

Auditora Informtica

59

Empresariales

Auditora Informtica

60

Empresariales

Auditora Informtica

Luego del desarrollo de la sesin, elaborar el siguiente trabajo que ser entregado en la plataforma web del modulo: Por qu es importante la auditora informtica? Cules son las etapas de auditora y sus funciones? Qu caractersticas tiene un auditor? Qu tcnicas de auditora existen? Qu tipos de evidencias existen?

Qu tipos caractersticas deben tener las evidencias?


Qu es un hallazgo? Qu atributos tiene un hallazgo?
61

Empresariales

Auditora Informtica

62