Documentos de Académico
Documentos de Profesional
Documentos de Cultura
de informacin
La auditora de sistemas
como apoyo a la Revisora
Fiscal
Pgina 1
CONTENIDO:
1. La funcin de la revisora fiscal
2. Definicin de auditora de sistemas (AdeS) ISACA
3. Definicin de AdeS como apoyo a una revisora fiscal
4. Caractersticas de una AdeS. (basadas en las Normas de A.
de S. ISACA)
5. Estndares y marcos de referencia de la auditora
de SI
6. Rol del auditor de SI
7. Rol de la auditora de SI
8. Fases de la Auditora de Sistemas
Pgina 2
1. LA FUNCIN DE LA REVISORA FISCAL (R.F.)
CIRCULAR EXTERNA 115-000011 DE LA SUPERINTENDENCIA DE SOCIEDADES
Pgina 3
1. LA FUNCIN DE LA REVISORA FISCAL (R.F.)
CIRCULAR EXTERNA 115-000011 DE LA SUPERINTENDENCIA DE SOCIEDADES
Funciones de la R.F.:
Pgina 4
1. LA FUNCIN DE LA REVISORA FISCAL (R.F.)
CIRCULAR EXTERNA 115-000011 DE LA SUPERINTENDENCIA DE SOCIEDADES
Funciones de la R.F.:
Inspeccionar los bienes de la sociedad (o bajo custodia) y procurar que se
tomen oportunamente las medidas de conservacin de los mismos.
Impartir las instrucciones, practicar las inspecciones y solicitar los
informes para establecer un control permanente sobre los valores sociales
Autorizar con su firma cualquier balance que se haga, con su dictamen o
informe correspondiente
Convocar a la asamblea o a la junta de socios a reuniones extraordinarias
cuando lo juzgue necesario.
Cumplir las dems atribuciones que le sealen las leyes o los estatutos y
las que le encomiende la asamblea o junta de socios.
Verificar si hay y son adecuadas las medidas de control interno, de
conservacin y custodia de los bienes de la sociedad o de terceros en
poder de la compaa
Pgina 5
1. LA FUNCIN DE LA REVISORA FISCAL (R.F.)
CIRCULAR EXTERNA 115-000011 DE LA SUPERINTENDENCIA DE SOCIEDADES
Dar fe pblica:
Pgina 6
2. DEFINICIN DE AUDITORA DE SISTEMAS ISACA
Pgina 7
3. DEFINICIN DE AUDITORA DE SISTEMAS
COMO APOYO A UNA REVISORA FISCAL
Pgina 8
4. CARACTERSTICAS DE UNA A. DE S. (basadas en
las Normas de A. de S. ISACA)
Pgina 9
5. Estndares y marcos de referencia de la
auditora de SI
COBIT: Control Objectives for Information and related
Technology
ITIL: The Information Technology Infrastructure Library
ISO 20000 Estndar internacional en gestin de servicios de TI
COSO: Committee of Sponsoring Organizations of the Treadway
Commission
ISO 27001 Estndar internacional para la implementacin de
SGSI
MAGERIT: "Metodologa de Anlisis y Gestin de Riesgos de los
Sistemas de Informacin (creado en Espaa por Consejo
Superior de Administracin Electrnica)
ISO 27005: Estndar para la administracin del riesgo de
seguridad de la informacin
Pgina 10
6. ROL DEL AUDITOR DE SI
Pgina 11
6. ROL DEL AUDITOR DE SI
Pgina 12
7. ROL DE LA AUDITORA DE SI
1 3
CONTROLES Enfoque de AdeS
PROCEDIMIENTOS
COMO APOYO A GENERALES DE TI imitado dentro del
DE A. DE S.
LA REVISRA & alcance de
PREVIAMENTE
FISCAL CONTROLES DE auditora pactado
CONVENIDOS
APLICACIN con el cliente
2
4 Enfoque sobre
COMO APOYO A Enfoque de AdeS evaluacin a los
LAS imitado dentro del COMO APOYO A LA controles de TI
AUDITORAS alcance de AUDITORA implementados en
FINANCIERAS auditora pactado INTERNA los procesos core
con el cliente crticos o sensibles
Pgina 13
7. ROL DE LA AUDITORA DE SI
Obtener la evidencia de auditora
NIA 610 Auditora interna para EQUIPO DE AUDITORA
auditora de estados financieros
REVISORA FISCAL
AUDITORA INTERNA AUDITORAS EXTERNAS
Pgina 15
8. FASES DE LA AUDITORA DE SISTEMAS
Identificar y evaluar el riesgo de TI
CONOCIMIENTO CONOCIMIENTO
Del negocio De la plataforma de TI
De los principales SI.
COMPRENSIN De la empresa IDENTIFICACIN
DEL NEGOCIO DE PROCESOS Y De los principales procesos de TI
1 Del rea de TI 2 RECURSOS
De los riesgos de la empresa y de
los riesgos de TI
EVALUACIN
Seguridad lgica al nivel de aplicacin
Controles en asignacin de accesos y permisos de aplicacin
ENTENDIMIENTO
DEL CONTROL Controles de interfaz
32
INTERNO DE TI
Controles de cambio en programas y de conversin de Datos
Controles de integridad de transaccin y de integridad de datos
Controles a la programacin de trabajos (jobs) - Batch
SISTEMA ES COMPLEJO?
Pgina 16
8. FASES DE LA AUDITORA DE SISTEMAS
Identificar y evaluar el riesgo de TI
Consideraciones para establecer la necesidad de un auditor de sistemas en una Revisora Fiscal
Cambios o adiciones
Es implementacin nueva?
importantes a la funcionalidad
Ha presentado cambios
del sistema aplicados en el
durante el periodo?
Actualizacin suministrada por el
perodo.
distribuidor Cambios de mantenimiento
Paquete modificado internamente Cambios de configuracin
Paquete modificado por el Generacin de informes
proveedor Cambios de emergencia va cdigo
Desarrollo de software fuente
personalizado Parches
No hay cambios en el periodo Actualizaciones
No hay cambios realizados
Naturaleza del cambio
Procesamiento en batch?
Single sign on?
Interfaz personalizada?
Pgina 17
8. FASES DE LA AUDITORA DE SISTEMAS
Identificar y evaluar el riesgo de TI
CONSIDERACIONES ADICIONALES
Debe considerar eventos realizados durante el perodo auditado.
Las evaluaciones al SI financiero se refieren a aquel sistema del que fueron
obtenidos los estados financieros a la fecha de corte de la evaluacin (sistemas
en produccin) y no de aplicativos en proceso de construccin o implementacin.
Pgina 19
8. FASES DE LA AUDITORA DE SISTEMAS
Identificar y evaluar el riesgo de TI
La efectividad de los CGTI con efecto en
SI, puede estar ligada a aspectos de
administracin de los sistemas, de las
bases de datos, de las cuentas de
usuario, de la seguridad, etc.
Pgina 22
8. FASES DE LA AUDITORA DE SISTEMAS
Diseo de la respuesta de auditora
RIESGOS IMPORTANTES DE TI, IMPACTO Y RESPUESTA DE AUDITORA
RIESGO IMPACTO RESPUESTA DE AUDITORA
Cambios inapropiados en Confiabilidad de los datos del Ejecute CAATs para identificar datos
transacciones del sistema sistema es cuestionable modificados en forma indebida
Falla en cambios de las Las transacciones del sistema Realizar CAATs para cuantificar
aplicaciones podra incluir errores posibles errores
Pgina 23
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
5
EVIDENCIA DE
AUDITORA
Obtener la evidencia respectiva
Anlisis de resultados
Disear oportunidades de mejora
Documentar resultados del trabajo
Socializar y validar resultados con el auditado y
obtener sus comentarios por escrito
Pgina 24
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
CARACTERSTICAS DE UNA A. DE S. (BASADAS EN LAS NORMAS DE ADES ISACA)
El Auditor de Sistemas debe:
Evaluar el ambiente de control de la organizacin.
Tener en cuenta el riesgo de irregularidades y acciones ilegales y comunicar sin
demora al nivel apropiado este tipo de situaciones.
Evaluar si la funcin de SI est alineada al plan estratgico de la organizacin y si
sta cuenta con una declaracin del desempeo esperado por la empresa (eficacia
y eficiencia) y evaluar su cumplimiento.
Evaluar la eficacia de los recursos de SI y el desempeo de los procesos Advos.
Evaluar los cumplimientos legales, ambientales y de calidad de la informacin, as
como los requisitos fiduciarios y de seguridad.
Considerar la necesidad del trabajo de otros expertos y establecer si resulta
adecuado y suficiente frente a los objetivos de auditora.
Validar las credenciales profesionales, competencias, experiencia recursos,
independencia y procesos de control de calidad utilizados
El proceso de auditora debe quedar debidamente documentado
Se debe aplicar el cdigo de tica profesional al realizar las tareas de auditora
Pgina 25
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
CONFIABILIDAD Y
CUMPLIMIENTO DE
OPORTUNIDAD DE
NORMAS DE TI
LA INFORMACIN
ALCANCE DE
LA AUDITORA
DE SI COMO
APOYO A LA
R.F.
Pgina 26
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
Algunas normas legales colombianas relacionadas con temas de TI
De aplicacin general De aplicacin sectorial
Pgina 27
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
PO1 Definir el plan estratgico de TI.
PO5 Administrar la inversin en TI.
PO7 Administrar recursos humanos de TI.
ADECUADO AI1 Identificar soluciones automatizadas.
USO DE LOS AI2 Adquirir y mantener el software aplicativo.
RECURSOS DE AI3 Adquirir y mantener la infraestructura tecnolgica
TI
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
EFECTIVIDAD Y DS4 Garantizar la continuidad del servicio.
EFICIENCIA EN DS5 Garantizar la seguridad de los sistemas.
LAS DS6 Identificar y asignar costos.
OPERACIONES DS7 Educar y entrenar a los usuarios.
DE TI
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
ME1 Monitorear y evaluar el desempeo de TI.
Pgina 28
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
EFECTIVIDAD Y ADECUADO
EFICIENCIA EN USO DE LOS
OPERACIONES RECURSOS DE
DE TI TI
EJEMPLO: PO1 Definir el plan estratgico de TI. Un PESI debe:
Tener integradas las estrategias de negocio y de TI
Identificar las inversiones obligatorias, de sustento y discrecionales.
Los ejecutivos deben conocer las capacidades tecnolgicas actuales y decidir
sobre su rumbo futuro en funcin de las oportunidades que ofrece TI
Mostrar su contribucin a los objetivos de negocio (en trminos de funcionalidad,
estabilidad, complejidad, costos).
Establecer los riesgos relacionados con las inversiones de TI
Mencionar cmo TI dar soporte a los programas de inversin corporativos
Indicar cmo se cumplirn y medirn los objetivos esperados
Incluir el presupuesto de inversin, las fuentes de financiamiento, la estrategia
de adquisicin y los requerimientos legales.
Adicionalmente:
Se deben presentar advertencias oportunas sobre las desviaciones del plan de TI
Debe existir una rendicin de cuentas del logro de los beneficios y del control de
los costos, asignada y monitoreada.
Pgina 29
8. FASES DE LA AUDITORA DE SISTEMAS
Aspectos del
Aspectos de respaldo y contingencia Aspectos estratgicos y de negocio
sistema
Aspectos de proyecto
Aspectos de usuario
(adquisc, implement. Produc),
S.I CONTABLE
M1
M3
M4
Pgina 32
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
ASEVERACIONES DE
AUDITORA DE EXPLICACIN
EEFF
Pgina 33
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora CONFIABILIDAD
Y
OPORTUNIDAD
RIESGOS ASOCIADOS A LOS S.I. DE LA
INFORMACIN
Interfaz del usuario: Posibilidad de adicionar, modificar o eliminar
informacin.
Procesamiento de datos: Posibilidad de cambiar en forma indebida o
con propsitos fraudulentos la funcionalidad de los sistemas
Procesamiento de errores: Aceptacin de errores por la incapacidad
tcnica del sistema de validar su contenido, estructura o rango.
Uso indebido del sistema: Empleo del sistema con fines
malintencionados
Acceso indebido a la informacin protegida, privilegiada o privada
Extraccin y publicacin no autorizada de datos o con fines
indebidos
Prdida de integridad de la informacin por errores o cambios
indebidos a programas o a los datos.
Inutilizacin de los SI por no implementacin, implementacin
incompleta
Pgina 34
8. FASES DE LA AUDITORA DE SISTEMAS
Obtener la evidencia de auditora
COBIT VS ASEVERACIONES DE LOS E/F:
RELEVANCIA EN AUDITORAS ASEVERACIONES DE LOS
ASEVERACIONES COBIT
DE ESTADOS FINANCIEROS ESTADOS FINANCIEROS
Puntualidad, coherencia y
forma utilizable, no son
Efectividad Existencia y Precisin
objetivos de una auditora
de estados financieros.
Eficiencia No relevante Ninguna
Confidencialidad No relevante Ninguna
Influye sobre la
Integridad confiabilidad de la Existencia y Precisin
informacin financiera
Cumplimiento No relevante Ninguna
Disponibilidad No relevante Ninguna
La confiabilidad de los datos
Confiabilidad utilizados influencian la Todas
extensin de las pruebas
Pgina 35
8. FASES DE LA AUDITORA DE SISTEMAS
Formarse una opinin
Pgina 36
Muchas gracias.
Pgina 37