Auditoria de

Sistemas de
Informacin

1. DEFINICIN DE AUDITORA DE SISTEMAS

ISACA

Cualquier auditora que abarca la revisin y

evaluacin de todos los aspectos (o de
cualquier porcin de ellos) de los sistemas
automticos de procesamiento de la
informacin, incluidos los procedimientos no
automticos relacionados con ellos y las
interfaces correspondientes.
Auditora de sistemas?
Auditora de SI?
Auditora de TI?
Auditora informtica?

2. DEFINICIN DE AUDITORA DE SISTEMAS

COMO APOYO A UNA REVISORA FISCAL
Examen de carcter tcnico, crtico, objetivo e
independiente a un objeto de auditora relacionado
con el PED de una empresa, que demanda la
participacin de personal competente en los campos
de tecnologa informtica y auditora con el fin de
emitir una opinin profesional.
En una revisora fiscal, el auditor de sistemas forma
parte de un equipo de auditora con quien se acuerdan
los objetivos, alcances, enfoques, recursos,
metodologas y plazos para la realizacin del trabajo.

3. CARACTERSTICAS DE UNA A. DE S.

(basadas en

las Normas de A. de S. ISACA)

Realizada con criterios de eficiencia, eficacia y economa
Empleo de tcnicas y enfoques apropiados en el plan de auditora y al
determinar prioridades para la asignacin de los recursos.

Emplea un enfoque de auditora basado en riesgos

Identificar y evaluar riesgos relevantes

Labor de auditora de SI debe ser supervisada

Basada en evidencia suficiente, confiable y pertinente
Que permita alcanzar los objetivos de auditora y obtener conclusiones
objetivas y razonables del resultado de la auditora

Determinar la naturaleza, plazos y alcance de los procedimientos de

auditora que adelantar.
Realizada con actitud de escepticismo profesional
Considerar la materialidad de la auditora
y su relacin con el riesgo de auditora

4. Estndares y marcos de referencia de la

auditora de SI
COBIT: Control Objectives for Information and related
Technology
ITIL: The Information Technology Infrastructure Library
ISO 20000 Estndar internacional en gestin de servicios de TI
COSO: Committee of Sponsoring Organizations of the Treadway
Commission
ISO 27001 Estndar internacional para la implementacin de
SGSI
MAGERIT: "Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin (creado en Espaa por Consejo
Superior de Administracin Electrnica)
ISO 27005: Estndar para la administracin del riesgo de
seguridad de la informacin

5. ROL DEL AUDITOR DE SI

Quin es un auditor de SI?
Un Auditor de SI proporciona a los equipos de auditora la pericia de un
especialista respecto de los SI de una entidad.

Cul es el rol del Auditor de SI?

Los Auditores de SI deben apoyar el trabajo de los auditores financieros en
la realizacin de evaluaciones tecnolgicas de empresas con SI complejos
Qu destrezas necesita un Auditor de SI?
1. Conocimientos en TI y en los Controles de TI
2. Conocimiento de la metodologa para auditar Estados Financieros
3. Capacidad de adelantar procedimientos CAATs

6. ROL DEL AUDITOR DE SI

SE ESPERA QUE EL AIDITOR DE SI

Centre en identificar los riesgos de TI con incidencia sobre la

informacin del SI contable.
No realicen actividades de auditora diferentes a las mencionadas a
menos que tales actividades se soliciten explcitamente.
Tengan suficiente entendimiento en la metodologa de auditora.
Presenten sus hallazgos en trminos que los equipos de auditora
general puedan entender.
Sean expertos en las CAATs.

7. ROL DE LA AUDITORA DE SI
1
COMO APOYO A
LA REVISRA
FISCAL

CONTROLES
GENERALES DE TI
&
CONTROLES DE
APLICACIN

3
PROCEDIMIENTOS
DE A. DE S.
PREVIAMENTE
CONVENIDOS

Enfoque de AdeS
imitado dentro del
alcance de
auditora pactado
con el cliente

A. DE S. INDEPENDIENTE O COMO PARTE DE

UN EQUIPO DE AUDITORA FINANCIERA

2
COMO APOYO A
LAS
AUDITORAS
FINANCIERAS

4
Enfoque de AdeS
imitado dentro del
alcance de
auditora pactado
con el cliente

COMO APOYO A LA
AUDITORA
INTERNA

Enfoque sobre
evaluacin a los
controles de TI
implementados en
los procesos core
crticos o sensibles

7. ROL DE LA AUDITORA DE SI
Obtener la evidencia de auditora
EQUIPO DE AUDITORA

NIA 610 Auditora interna para

auditora de estados financieros

AUDITORA INTERNA

NFASIS
EN C.I.

AUDITORA
DE SISTEMAS
- A.INTERNS

C
O
M
P
L
E
M
E
N TO

Suministro
de
informacin

EVISORA
FISCA

Sector de la Entidad, Conoc.

Entidad y anlisis de riesgos
Determinacin de cuentas
sensibles y materiales

AUDITORAS EXTERNAS

FINANCIERA
NO FINANCIERA

AUDITORA
DE SISTEMAS
R. FISCAL
NFASIS
REVISIN
DE

AUDITORA
DE SISTEMAS
- A.EXTERNA
planeacin

CIFRAS
ANLISIS DE OBJETIVOS, ALCANCE,
ENFOQUE, DETALLE, RESULTADOS Y
AUDITORAS POR EJECUTAR

Suministro
de
informacin

7. ROL DE LA AUDITORA DE SI
Por fase de la Auditora
FASE DE LA AUDITORA

PARTICIPACIN DEL AUDITOR DE SI

Alcance

Apoyo al revisor fiscal en la elaboracin de la

propuesta, identificando los procesos de TI y SI
relevantes.
Determinar el nivel de complejidad de los sistemas

Identificar y evaluar el riesgo

de TI

En empresas con sistemas complejos:

Evaluar y documentar la efectividad de los CGTI

Apoyar la discusin del equipo de auditora

Establecer conjuntamente objetivos, alcances,

estrategias y enfoque de la A. de S.

Obtener evidencia de
auditora

Disear y ejecutar los procedimientos de auditora

que resulten aplicables. Validar resultados.

Formar una opinin

Evaluar con el equipo de auditora los resultados de

auditora (efecto sobre la opinin)

Informe

Preparar el informe

Diseo de la respuesta de
auditora

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI
CONOCIMIENTO

COMPRENSIN
DEL NEGOCIO

Del negocio
De la empresa
Del rea de TI

CONOCIMIENTO

IDENTIFICACIN

DE PROCESOS Y
RECURSOS

De la plataforma de TI
De los principales SI.
De los principales procesos de TI
De los riesgos de la empresa y de
los riesgos de TI

POR CADA UNO DE LOS CICLOS DE AUDITORA SUJETOS A EVALUAR, ESTABLECER:

EVALUACIN

32

ENTENDIMIENTO
DEL CONTROL
INTERNO DE TI

Seguridad lgica al nivel de aplicacin

Controles en asignacin de accesos y permisos de aplicacin
Controles de interfaz
Controles de cambio en programas y de conversin de Datos
Controles de integridad de transaccin y de integridad de datos
Controles a la programacin de trabajos (jobs) - Batch
SISTEMA ES COMPLEJO?

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI
Consideraciones para establecer la necesidad de un auditor de sistemas en una Revisora Fiscal

Es implementacin nueva?
Ha presentado cambios
durante el periodo?

Actualizacin suministrada por el

distribuidor
Paquete modificado internamente
Paquete modificado por el
proveedor
Desarrollo de software
personalizado
No hay cambios en el periodo

Naturaleza del cambio

Single sign on?

Cambios o adiciones
importantes a la funcionalidad
del sistema aplicados en el
perodo.

Cambios de mantenimiento
Cambios de configuracin
Generacin de informes
Cambios de emergencia va cdigo
fuente
Parches
Actualizaciones
No hay cambios realizados

Procesamiento en batch?
Interfaz personalizada?

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI
EVALUACIN A LOS CONTROLES GENERALES DE TI (CGTI)

Un control general es aquel que se orienta a mitigar un vasto

nmero de riesgos, usualmente comunes, tpicos e importantes y
que afectan a todos los sistemas de informacin
Cuando los CGTIs operan en forma conjunta y efectiva,
constituyen la base de un control interno informtico
confiable.
Se enfocan a mitigar riesgos de importancia material, con
probabilidad de ocurrencia y/o con alto impacto sobre los
intereses de una empresa.
Hay CGTI con enfoque a plataforma de TI con enfoque a los SI.
Estos ltimos conciernen a la Revisora Fiscal cuando buscan
mitigar riesgos importantes sobre los estados financieros

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI
UNA EVALUACIN DE CGTI PERMITE:

Establecer un nivel de confianza sobre la efectividad del control

interno informtico institucional a nivel de aseveracin
Condicionar el enfoque y la estrategia de auditora para abordar
los riesgos tecnolgicos ms importantes
Determinar el diseo, naturaleza, oportunidad y alcance de las
pruebas y procedimientos de auditora que deben ejecutarse,
enfocndose sobre los aspectos crticos identificados
CONSIDERACIONES ADICIONALES

Debe considerar eventos realizados durante el perodo auditado.

Las evaluaciones al SI financiero se refieren a aquel sistema del que fueron

obtenidos los estados financieros a la fecha de corte de la evaluacin (sistemas
en produccin) y no de aplicativos en proceso de construccin o implementacin.

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI
La efectividad de los CGTI con efecto en
SI, puede estar ligada a aspectos de
administracin de los sistemas, de las
bases de datos, de las cuentas de
usuario, de la seguridad, etc.

Para el caso de las revisoras fiscales En

Colombia, no aplican todas estas
excepciones

8. FASES DE LA AUDITORA DE SISTEMAS

Identificar y evaluar el riesgo de TI

EVALUACIN DE CGTI Plataforma de TI

Plan Estratgico de Tecnologa.
Polticas, normas, procedimientos y estndares de TI
Organizacin, capacitacin y gestin del Departamento de TI.
Gestin del recurso tecnolgico (contratos de mantenimiento Hw & Sw)
Proyectos y contratos de TI en curso
Plan para la atencin de contingencias informticas
Copias de respaldo y restauracin
Gestin al cumplimiento normativo de TI

EVALUACIN DE CGTI SI Administrativo y financiero

Segregacin de funciones de usuarios y de personal de TI
Seguridades de acceso fsico
Seguridades lgicas (efectividad del esquema de seguridad de TI)
Sistema de Gestin de la Seguridad de la Informacin
Rol del administrador de seguridad
Gestin de contraseas en cuentas de usuario
Gestin de log de auditora
Administracin del sistema, de cuentas de usuarios de BD
Desarrollo, mantenimiento y liberacin de aplicaciones.
Administracin de ambientes tecnolgicos

8. FASES DE LA AUDITORA DE SISTEMAS

Diseo de la respuesta de auditora
REUNIN CON EL EQUIPO DE AUDITORA

ACUERDO DE
ALCANCE DE LA
AUDITORA DE
SISTEMAS

Socializar conclusiones preliminares de evaluar los CGTI

Establecer conjuntamente objetivos, alcances y enfoque de la
A. de S.
Identificar las pruebas de auditora a realizar (ciclos, procesos,
sistemas, datos)
Definir conjuntamente las estrategias de la A. de S. a realizar
Elaborar la planeacin de A. de S.
Disear los programas de auditora
Alistar recursos

8. FASES DE LA AUDITORA DE SISTEMAS

Diseo de la respuesta de auditora
RIESGOS IMPORTANTES DE TI, IMPACTO Y RESPUESTA DE AUDITORA
RIESGO

IMPACTO

RESPUESTA DE AUDITORA

Errores inadvertidos en los datos

Confiabilidad de los datos del

sistema es cuestionable

Cambie la naturaleza de los

procedimientos de auditora previstos

Cambios inapropiados en
transacciones del sistema

Confiabilidad de los datos del

sistema es cuestionable

Ejecute CAATs para identificar datos

modificados en forma indebida

Las aplicaciones no permiten

ejercer una adecuada segregacin
de funciones

Probabilidad de fraude

Aplique procedimientos para identificar

indebida segregacin de funciones

Cambios no autorizados en los

programas

Probabilidad de fraude

Aplique procedimientos para identificar

indebida segregacin de funciones

Uso de programas errados

Las transacciones del sistema

podra incluir errores

Realizar CAATs para cuantificar

posibles errores

Falla en cambios de las

aplicaciones

Las transacciones del sistema

podra incluir errores

Realizar CAATs para cuantificar

posibles errores

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
ANLISIS, CONCLUSIN Y SOCIALIZACIN DE RESULTADOS

OBTENER LA
EVIDENCIA DE
AUDITORA

Ejecutar la auditora de sistemas conforme al

programa
Obtener la evidencia respectiva
Anlisis de resultados
Disear oportunidades de mejora
Documentar resultados del trabajo
Socializar y validar resultados con el auditado y
obtener sus comentarios por escrito

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
CARACTERSTICAS DE UNA A. DE S. (BASADAS EN LAS NORMAS DE ADES ISACA)

El Auditor de Sistemas debe:

Evaluar el ambiente de control de la organizacin.
Tener en cuenta el riesgo de irregularidades y acciones ilegales y comunicar sin
demora al nivel apropiado este tipo de situaciones.
Evaluar si la funcin de SI est alineada al plan estratgico de la organizacin y si
sta cuenta con una declaracin del desempeo esperado por la empresa (eficacia
y eficiencia) y evaluar su cumplimiento.
Evaluar la eficacia de los recursos de SI y el desempeo de los procesos Advos.

Evaluar los cumplimientos legales, ambientales y de calidad de la informacin, as

como los requisitos fiduciarios y de seguridad.
Considerar la necesidad del trabajo de otros expertos y establecer si resulta
adecuado y suficiente frente a los objetivos de auditora.

Validar las credenciales profesionales, competencias, experiencia recursos,

independencia y procesos de control de calidad utilizados

El proceso de auditora debe quedar debidamente documentado

Se debe aplicar el cdigo de tica profesional al realizar las tareas de auditora

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
CONFIABILIDAD Y
OPORTUNIDAD DE
LA INFORMACIN

CUMPLIMIENTO DE
NORMAS DE TI

ALCANCE DE
LA AUDITORA
DE SI COMO
APOYO A LA
R.F.

ADECUADO USO DE
LOS RECURSOS DE
TI

EFECTIVIDAD Y
EFICIENCIA EN LAS
OPERACIONES DE TI

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
Algunas normas legales colombianas relacionadas con temas de TI
De aplicacin general

De aplicacin sectorial

LEY DE LA PROTECCIN DE LOS

DATOS Y LA INFORMACIN (DELITOS
INFORMTICOS)

LEY ESTATUTARIA DE
PROTECCIN DE DATO

EJEMPLO DE NORMAS APLICABLES A

UN SECTOR:

LEY ANTITRMITES
SIMPLIFICACIN DE T
PROCEDIMIENTOS

RMITES Y

LEY DE DERECHOS DE
MATERIA DE SOFTWA

AUTOR EN
RE

LEY DE COMERCIO
ELECTRNICO, CERTI
FIRMA DIGITAL

FICADOS Y

CUMPLIMIENTO
DE NORMAS

FINANCIERO:
SECTOR
FI
CE038-2009 C.I.
CE041-2007 SARO
CE052-2007 SEG & CALIDAD

Normas y disposiciones internas

Actas de Junta Directiva

Circulares reglamentarias
Carta de valores
Procedimientos
Polticas informticas

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora

ADECUADO
USO DE LOS
RECURSOS DE
TI

EFECTIVIDAD Y
EFICIENCIA EN
LAS
OPERACIONES
DE TI

PO1 Definir el plan estratgico de TI.

PO5 Administrar la inversin en TI. Administrar
PO7recursos humanos de TI. Identificar
AI1 soluciones automatizadas. Adquirir y
AI2 mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
1 Administrar los datos.
DS1
2 Administrar el ambiente fsico.
DS1
ME1 Monitorear y evaluar el desempeo de TI.

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
EFECTIVIDAD Y
EFICIENCIA EN
OPERACIONES
DE TI

EJEMPLO: PO 1 Definir el plan estratgico de TI. Un PESI debe:

ADECUADO
USO DE LOS
RECURSOS DE
TI

Tener integradas las estrategias de negocio y de TI

Identificar las inversiones obligatorias, de sustento y discrecionales.
Los ejecutivos deben conocer las capacidades tecnolgicas actuales y decidir
sobre su rumbo futuro en funcin de las oportunidades q ue ofrece TI
Mostrar su contribucin a los objetivos de negocio (en t rminos de funcionalidad,
estabilidad, complejid ad, costos).
Establecer los riesgos relacionados con las inversiones d e TI
Mencionar cmo TI dar soporte a los programas de inve rsin corporativos
Indicar cmo se cumplirn y medirn los objetivos esper ados
Incluir el presupuesto de inversin, las fuentes de finan ciamiento, la estrategia
de adquisicin y los requerimientos legales.
Adicionalmente:
Se deben presentar a dvertencias oportunas sobre las des viaciones del plan de TI
Debe existir una rendicin de cuentas del logro de los beneficios y del control de
los costos, asignada y monitoreada.

8. FASES DE LA AUDITORA DE SISTEMAS

Aspectos de respaldo y contingencia

Aspectos del
sistema

Aspectos estratgicos y de negocio

Aspectos de proyecto
(adquisc, implement. Produc),

Aspectos de usuario
Aspectos de cumplimiento

Aspectos tcnicos del S.I.

(diseo, soporte),

Aspectos de administracin de
cambios
Aspectos funcionales y operativos
Aspectos de niveles d e servicio

CONFIABILIDAD
Y OPORTUNIDAD
DE LA
INFORMACIN

Instrumentos gerenciale s de apoyo

(FACILITADORES)

Aspectos administrativos
Aspectos de gestin del S.I. y sus
datos (Adm sist y Adm DB)

Aspectos de gestin d e riesgos

Aspectos de administracin de
terceros

Aspectos econmicos
Aspectos de
Seguridad

Aspect os de infraestructura
(capacidad, rendimiento)

Con efecto sobre la informacin contable

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora

TAACs - PRUEBAS SUSTANTIVAS A LOS DATOS DE LOS SI

Considerar naturaleza, enfoque y extensin de las

pruebas
Es requerido el apoyo
del equipo de Revisora
Fiscal en temas
contables

Pruebas de detalle de transacciones y saldos.

Procedimientos de revisin analtica, p. ej.:
identificar fluctuaciones o partidas inusuales.
Pruebas de cumplimiento de CGTI, p. ej.: probar los
procedimientos de acceso a las bibliotecas de
programas.

CONFIABILIDAD
Y
OPORTUNIDAD
DE LA
INFORMACIN

Pruebas de cumplimiento de controles de

aplicacin, p. ej.: probar validaciones, totales de
control, clculos, etc.
NIA 16: LAS TAACS SON TILES ESPECIALMENTE CUANDO
Ausencia de documentos de entrada
Rastro visible de auditora, o
Para mejorar la efectividad de los procedimientos de auditora.

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora

CONFIABILIDAD
Y
OPORTUNIDAD
DE LA
INFORMACIN

S.I CONTABLE
M1

REALIDAD

CONTABILIDAD
M3
M4

Se cumplen las aseveraciones de los EE/FF ?

EE/FF

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora
ASEVERACIONES DE
AUDITORA DE
EEFF

EXPLICACIN

Integridad

Todo lo que debiera estar en los estados financieros se incluye

Existencia

Todo lo que est en los estados financieros, debiera estar en los

estados financieros

Exactitud

Todo se ha registrado en un monto que es matemticamente

correcto, se resume en forma apropiada y se registra correctamente

Valuacin

Todo se muestra en el monto apropiado, de acuerdo con su

naturaleza y con los principios de contabilidad aplicables

Revelacin y
presentacin

Todo se encuentra clasificado, descrito y revelado en forma

apropiada en los estados financieros

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora

RIESGOS ASOCIADOS A LOS S.I.

CONFIABILIDAD
Y
OPORTUNIDAD
DE LLA
INFORMACIN

Interfaz del usuario: Posibilidad de adicionar, mod ificar o eliminar

informacin.

Procesamiento de datos: Posibilidad de cambiar e n forma indebida o

con propsitos fraudulentos la funcionalidad de los sistemas
Procesamiento de errores: Aceptacin de errores por la incapacidad
tcnica del sistema de validar su contenido, estructura o rango.
Uso indebido del sistema: Empleo del sistema con fines
malintencionados
Acceso indebido a la informacin protegida, privilegiada o privada
Extraccin y publicacin no autorizada de datos o con fines
indebidos
Prdida de integridad de la informacin por errores o cambios
indebidos a programas o a los datos.
Inutilizacin de los SI por no implementacin, implementacin
incompleta

8. FASES DE LA AUDITORA DE SISTEMAS

Obtener la evidencia de auditora

COBIT VS ASEVERACIONES DE LOS E/F:

ASEVERACIONES COBIT

Efectividad

RELEVANCIA EN AUDITORAS ASEVERACIONES DE LOS

DE ESTADOS FINANCIEROS
ESTADOS FINANCIEROS
Puntualidad, coherencia y
forma utilizable, no son
Existencia y Precisin
objetivos de una auditora
de estados financieros.

Eficiencia

No relevante

Ninguna

Confidencialidad

No relevante
Influye sobre la
confiabilidad de la
informacin financiera

Ninguna

Cumplimiento

No relevante

Ninguna

Disponibilidad

No relevante

Ninguna

Confiabilidad

La confiabilidad de los datos

utilizados influencian la
extensin de las pruebas

Todas

Integridad

Existencia y Precisin

8. FASES DE LA AUDITORA DE SISTEMAS

Formarse una opinin
INFORME DE RESULTADOS AL EQUIPO DE AUDITORA

OBTENER LA
EVIDENCIA DE
AUDITORA

Socializar resultados con el equipo de auditora

Establecer conjuntamente efectos de estos
resultados sobre:
La razonabilidad de la informacin contable
El cumplimiento de normas
La efectividad de los controles
Manejo de los recursos de TI
Eventuales irregularidades mediante la
utilizacin de los recursos de TI
Revelaciones importantes
Apoyar en la redaccin de las notas para la opinin

Muchas gracias.