Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Auditoría Empresarial
Objetivos
Principal
• Establecer la situación de una
organización reflejada por la
documentación aportada.
Secundarios
➢ Planificar el trabajo para la
detección de anomalías.
➢ Contribuir al establecimiento y
mantenimiento de un sistema de
control interno adecuado.
1
Auditoría Empresarial
Aspectos
Principio de Autenticidad
• Comprobar la corrección de lo realizado, y
que la información presentada refleja la
situación verdadera sin ambigüedades.
Clases
➢ Externa, interna.
➢ De gestión, organizativa, operacional,
financiera, contable, informática,
económica-social.
➢ Total, parcial.
➢ Permanente, eventual
Auditoría Empresarial
Aspectos
Beneficiarios
➢ La propia organización.
➢ Accionistas o socios.
➢ Consejeros y ejecutivos.
➢ Proveedores, acreedores y otros.
➢ Inversores.
➢ El gobierno.
➢ Los empleados.
➢ Organismos públicos e instituciones
diversas.
2
Auditoría Empresarial
Normas
Auditoría Empresarial
Distinciones
Normas
Pautas de trabajo, fijadas con autoridad y
consentimiento profesional, cuyo objetivo es conseguir
similaridad en la calidad del trabajo.
Procedimientos
Dan cumplimiento a las normas, son pasos o etapas
que han de realizarse en el curso de la revisión
contable basados en el criterio profesional
Técnicas
Métodos o herramientas utilizados para obtener
material de evidencia. Deben ser apropiadas y
adaptarse a las circunstancias.
3
Auditoría Empresarial
Normas Técnicas: Generales
Auditoría Empresarial
Normas Técnicas: Ejecución
1. Relativa a la planificación
2. Relativo al estudio y evaluación del sistema
de control interno
3. Relativa a la evidencia
4
Auditoría Empresarial
Normas Técnicas: Informes
Auditoría Empresarial
Estructura del Informe
1. Título
2. Destinatario
3. Identificación de la entidad auditada
4. Párrafo de ámbito de la auditoría
5. Párrafo de consideraciones
6. Párrafo de opinión
7. Párrafo de énfasis
8. Párrafo sobre el informa de gestión
9. Identificación del auditor
10. Firma y fecha de emisión
5
Auditoría En TI
Evaluación de la tecnología de
información con respecto al
aporte a los objetivos
institucionales.
Auditoría En TI
Clasificaciones
Por organismo que la realiza
•Externa
•Interna
6
Auditoría En TI
Proceso
• Planificación
• Análisis y evaluación del control
interno
• Aplicación de pruebas de
auditoría
• Informe de resultados
• Seguimiento a recomendaciones
Auditoría En TI
Compromiso Ético
• Con los accionistas
• De la administración
• Con los empleados
• Con los proveedores
• Con los clientes
• Con el gobierno
• Con los inversionistas
• Con la comunidad
7
Auditoría En TI
Naturaleza Ecléctica
NUMERICOS
METODOS
TELECOMUNICACIONES
AUDITORIA SISTEMAS DE
EN TI INFORMACION
Auditoría En TI
Organismos Colegiados
Perú
Capítulo ISACA
Internacional
Information Systems Audit and
Control Association
(ISACA) con sede en Chicago
Capítulos en 50 países (17,000
miembros)
10,000 auditores certificados
Programas de formación
8
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Sustentar el establecimiento y
cumplimiento apropiado de
estándares, procedimientos y
controles de los sistemas de
información
•Mantener la confidencialidad de la
información obtenida durante el
transcurso de sus actividades.
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Ser independiente y objetivo
•Mantener competencia en los campos
relacionados con la auditoría
•Precaución en la documentación de
hechos en los que basa sus
conclusiones y recomendaciones
9
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Informar a las partes apropiadas
sobre resultados de la auditoría
•Promover la formación de la gerencia
y miembros de la organización para
lograr un mayor entendimiento sobre
la auditoría
•Observar una conducta personal y
profesional incuestionable
Auditoría En TI
ISACA: Estándares
Independencia
•Actitud y apariencia
•Relación organizacional
•Ética profesional
Competencia técnica
•Habilidades y conocimiento
•Educación profesional continua
10
Auditoría En TI
ISACA: Estándares
Realización del trabajo
•Planeación y supervisión
•Requerimiento de evidencia
•Cuidado profesional
Generación de reportes
•Informar la cobertura de la auditoría
•Informe de hallazgos
•Conclusiones y recomendaciones
Auditoría En TI
ISACA: Procedimientos
Técnicas manuales
•Inspección documental
•Entrevistas
•Encuestas
•Sesiones de facilitación
•Certificación
•Confirmación
•De ingeniería de información
11
Auditoría En TI
ISACA: Procedimientos
Técnicas aplicadas a la tecnología
➢ Evaluación del funcionamiento de los
componentes tecnológicos del control
interno
➢ Evaluaciones de capacidad de manejo de
transacciones
➢ Evaluación de velocidad y consistencia de
transmisión de datos
➢ Efectividad de plantas y procedimientos
➢ Eficiencia de dispositivos
➢ Características de funcionamiento de
equipos
Auditoría en TI
ISACA: Procedimientos
Técnicas asistidas por la tecnología
(Computer assisted Audit Techniques)
➢ Comparación de programas
➢ Mapeo y rastreo de programas
➢ Análisis de código de programas
➢ Datos de prueba
➢ Datos de prueba integrados
➢ Análisis de bitácoras
➢ Simulación paralela
➢ Código Integrado
➢ Análisis de datos
➢ Programas de utilería
12
Auditoría en TI
Fraudes usuales
➢ Data diddling
➢ Trojan Horse
➢ Salammi
➢ Superzapping
➢ Trapdoors
➢ Logic Bombs
➢ Scavenging
➢ Data leakage
➢ Wire tapping
➢ Virus informáticos
Auditoría Informática
Objetivos
Principal
➢ Comprobar la fiabilidad de las herramientas que
provee el área de informática y la utilización
que se hace de la misma.
Específicos
➢ Evaluación de contribución del área funcional a
los procesos institucionales
➢ Evaluación de adecuación de software
➢ Búsqueda de anomalías
➢ Evaluación de procesos de control
➢ Evaluación de métodos de desarrollo
➢ Búsqueda de fraudes
13
Estudio de fiabilidad del entorno
informático
➢ Interés de un buen control interno
➢ Conjunto de medidas que contribuyen al
dominio del entorno
➢ Demandantes de la auditoría informática
➢ Dirección, responsable del servicio,
controladores externos
➢ Componentes de la auditoría
➢ Examen de la organización general del
servicio.
➢ Examen de los procedimientos relativos al
desarrollo
➢ Examen de funciones técnicas
➢ Examen de cadenas de tratamiento
14
Estudio de fiabilidad de una
aplicación hecha con informática
➢ Objetivos de la auditoría
➢ Control de la fiabilidad del software
➢ Control de uso que se da al software
➢ Control de correspondencia con
especificaciones funcionales
➢ Control de métodos de desarrollo o de control
de calidad
➢ Control de vigencia
➢ Búsqueda de errores
➢ Búsqueda de fraudes
15
Estudio de fiabilidad de una
aplicación hecha con informática
➢ Métodos de auditoría
➢ Juegos de prueba
➢ Uso de software para auditoría
➢ Controles de coherencia de acuerdo a
funciones
➢ Controles jerárquicos
➢ Autorizaciones de acceso
➢ Existencia de validaciones
Auditoría Informática
Estructura del Servicio de Informática
16
Auditoría Informática
Servicio de Informática
Aspectos a evaluar
➢Planificación de actividades
➢Existencia de planes
➢Existencia de responsables
➢Existencia de portafolio de proyectos
➢Seguimiento de costes
➢Existencia de presupuestos
➢Se justifican incrementos de costes
➢Seguimiento del personal
➢Existencia de una estructura de costos
➢Determinación de costo de servicios por
usuarios
Auditoría Informática
Servicio de Informática
Aspectos a evaluar
➢ Aspecto contable financiero
➢ Financiamiento satisfactorio
➢ Coherencia periodo de amortización vs
periodo de utilización
➢ Servicios de usuarios
➢ Seguimiento de calidad de servicio
➢ Existencia de nexo formal entre usuarios y el
servicio de informática
➢ Hay integración de usuarios a los equipos
➢ Existencia de manual de usuarios
➢ Existencia de un sistema de ayuda en línea
17
Auditoría Informática
Servicio de Informática
Aspectos a evaluar
➢ Separación de funciones
➢ Control
➢ Existencia de planes de control
➢ Existencia de procedimientos
➢ Verificación de naturaleza de los resultados
➢ ¿Quiénes ejercen el control?
➢ Entorno social
➢ Tasa de rotación de personal en informática
➢ Políticas de remuneraciones
➢ Políticas de contratación
➢ Coherencia cualificación - función
➢ Control de concurso de externos
➢ Capacitación
Auditoría Informática
Servicio de Informática
Aspectos a evaluar
➢ Relación proveedores
➢ Normas y procedimientos de
adquisición
➢ Existencia de un registro de
proveedores
➢ Identificación de principales proveedores y/o
proveedores únicos
➢ Existencia de contratos y/o acuerdos modelo
con proveedores
➢ Registro de quejas o fallas de servicio por
parte de proveedores
18
Auditoría Informática
Servicio de Informática
Adquisición de equipos
➢ Forma de adquisición
➢ Licitación, compra directa
➢ Descripción de aplicaciones a procesar
➢ Volumen de transacciones
➢ Exigencias de funcionamiento
➢ Tiempo de respuesta
➢ Duración de procesos
➢ Procedimientos de reactivación
➢ Condiciones eléctricas
➢ Fecha de entrega
➢ Prestaciones complementarias
Auditoría Informática
Servicio de Informática
Adquisición de equipos: Contrato
➢ Compromiso respecto a las condiciones de
funcionamiento
➢ Compromiso respecto de las especificaciones
técnicas
➢ Compromiso respecto de los costos futuros de
configuración
➢ Condiciones para el mantenimiento,
modalidades, intervención por el retraso
➢ Naturaleza y alcance de la garantía. Mecanismos
de ejecución y tiempos estimados
➢ Condiciones de entrega
➢ Penalizaciones
19
Auditoría Informática
Servicio de Informática
Adquisición de Software: requerimientos
➢ Funciones a procesar
➢ Consideraciones de seguridad
➢ Condiciones de operatividad sobre las
plataformas usuales
➢ Volúmenes a procesar
➢ Integración con software pre-existente
➢ Uso de bases de datos pre-existentes
➢ Necesidad de capacitación y/o entrenamiento de
usuarios
Auditoría Informática
Servicio de Informática
Adquisición de Software
Criterios de Comparación para selección
➢ Relativas al proveedor
➢ Tamaño
➢ Calidad de interlocutores
➢ Prestig¡o
➢ Referencia de clientes
➢ Tiempo en el giro de negocio
➢ Representación autorizada de producto
20
Auditoría Informática
Servicio de Informática
Adquisición de Software
Criterios de Comparación para selección
➢ Relativas al software
➢ Referencias de usuarios
➢ Vida media útil
➢ Documentación
➢ Soporte
➢ Mantenimiento
➢ Satisfacción de necesidades de la
organización
➢ Orientación al usuario
Auditoría Informática
Servicio de Informática
Adquisición de Software: Contrato
➢ Compromiso respecto de las condiciones de
funcionamiento ofrecidas
➢ Condiciones para el mantenimiento
➢ Condiciones para el soporte
➢ Condiciones para actualización o cambio de
versión
➢ Formas y modalidad de pago
➢ Forma de entrega del producto: medios, fuentes
➢ Respecto de la conformidad de entrega
➢ Penalizaciones por incumplimiento
➢ Fueros a los que se someten
➢ Procedimientos de resolución de conflictos
21
Auditoría Informática
Servicio de Informática
Adquisición de Software: Contrato
➢ Respecto de los servicios complementarios
➢ Formación
➢ Documentación
➢ Asistencia en la implementación
➢ Mantenimiento y soporte inicial
➢ Respecto del Funcionamiento
➢ Establecimiento de pruebas
➢ Acciones relacionadas con el resultado de
pruebas
➢ Aseguramiento de compatibilidad con lo
existente
Auditoría Informática
Servicio de Informática
Adquisición de Software: Contrato
➢ Realización de software específico
➢ Conjunto de especificaciones
➢ Medios para el respeto de plazos
➢ Formas de control a lo largo del proceso
➢ Documentación a entregar y su contenido
➢ Respuesta a conjunto de pruebas
22
Auditoría Informática
Procedimientos de Desarrollo y
Mantenimiento de Software
Metodología de desarrollo de aplicaciones
Auditoría Informática
Procedimientos de Desarrollo y
Mantenimiento de Software
Metodología de desarrollo de aplicaciones
23
Auditoría Informática
Procedimientos de Desarrollo y
Mantenimiento de Software
Metodología de desarrollo de aplicaciones
Auditoría Informática
Procedimientos de Desarrollo y
Mantenimiento de Software
Calidad de Software
➢ Existencia de controles de calidad específicos
para software
➢ Sondeo para evaluación de calidad
Documentación
➢ De estudios preliminares
➢ Para los usuarios finales
➢ Para el mantenimiento
➢ Del desarrollo
➢ De Control
➢ De fallas reportadas
24
Auditoría Informática
Entorno de desarrollo
Procedimientos de puesta en marcha
➢ Garantizar separación de funciones (desarrollo /
trabajo)
➢ Elaborar historial de modificaciones
➢ Garantizar disponibilidad de código fuente
Procedimientos de captura de datos
➢ Off line
➢ En tiempo real
Auditoría Informática
Entorno de desarrollo
Consideraciones para control
➢ Fuentes de datos impresas deben tener un VºBº
➢ Claves de control para códigos numéricos
➢ Controles por totalización o acumulación en
ingresos de datos agrupados
➢ Validaciones de acuerdo a la naturaleza de los
datos requeridos
➢ Edición de datos significativos
➢ Visualización para validación
25
Auditoría Informática
Entorno de desarrollo
Aspectos de control de calidad
➢ Frecuencia de incidentes por software
➢ Tiempo de respuesta de aplicaciones interactivas
➢ Retrasos en distribución de información
➢ Frecuencia de mantenimiento
➢ Frecuencia de actualización de registros
Auditoría Informática
Entorno de desarrollo
Gestión de copias de seguridad
➢ Permitir un arranque en un plan de contingencia
➢ Permitir corregir un fallo en un dispositivo
magnético
➢ Permitir un arranque en una locación externa
➢ Responder a las obligaciones legales
➢ Frecuencia de copias
➢ Tipo de copia: total, parcial
➢ Gestión del acervo de copias
➢ Accesos
➢ Almacenamiento
➢ Distribución
26
Auditoría Informática
Entorno de desarrollo
Seguridad Física
➢ Acceso al entorno de desarrollo
➢ Protección contra desastres naturales
➢ Prevención contra intrusiones
➢ Prevención contra fallos operativos de servicios
Seguros
➢ Naturaleza de los riesgos
➢ Coberturas
➢ Tipo de contrato
Auditoría Informática
Entorno de desarrollo
Obligaciones de declaración
➢ Respecto a la transmisión de datos
➢ Respecto a la información contable / financiera
➢ Respecto a las licencias de uso
➢ Respecto a las obligaciones con el personal
27
Auditoría Informática
Funciones de Asistencia Técnica
Auditoría Informática
Funciones de Asistencia Técnica
Bases de datos
➢ Existencia de responsable
➢ Implantación física
➢ Optimización
➢ Coherencia técnica
➢ Eliminación de redundancia
➢ Búsqueda de integridad de datos
➢ Existencia de un diccionario de datos
➢ Optimización de búsquedas para consultas
➢ Control de consistencia
28
Auditoría Informática
Funciones de Asistencia Técnica
Gestión de redes
➢ Existencia de listas de compatibilidad
➢ Comprobación de configuraciones
➢ Asistencia a usuarios
➢ Instalación de nuevas estaciones
➢ Sistemas de ayuda
➢ Programación de mantenimiento
➢ Control de accesos
➢ Definición de usuarios
➢ Establecimiento de perfiles
➢ Establecimiento de privilegios y restricciones
Auditoría Informática
Funciones de Asistencia Técnica
Gestión de redes
➢ Existencia de procedimientos de back up y
recuperación en procesos a distancia
➢ Previsiones para funcionamientos alternativos
➢ Software de administración de dispositivos
➢ Software de administración y control de redes
29
Auditoría Informática
Funciones de Asistencia Técnica
Microinformática
➢ Coordinación y procedimientos para:
➢ Adquisición de equipos
➢ Adquisición de software
➢ Capacitación
➢ Proveedores elegibles
➢ Condiciones contractuales
➢ Modalidades de mantenimiento
➢ Control de este nivel
➢ Seguridad de datos
➢ Licencias
Auditoría Informática
Funciones de Asistencia Técnica
Métodos
➢ Existencia de un responsable
➢ Existencia de formas de difusión
➢ Existencia de controles habituales respecto a
aplicación de normas
Servicios
➢ Sistemas de ayuda
➢ Equipos dedicados
➢ Orientación al usuario
30
Auditoría Informática
Funciones de Asistencia Técnica
Seguridad
➢ Existencia de gestión de riesgos
➢ Existencia de responsable
➢ Existencia de planes de seguridad
31