Auditori A 1

Auditoría Empresarial
Investigación, consulta, revisión,

verificación, comprobación y
obtención de evidencia, desde
una posición de independencia,
sobre la documentación e
información de una organización.
Objetivos
Principal
• Establecer la situación de una
organización reflejada por la
documentación aportada.
Secundarios
➢ Planificar el trabajo para la
detección de anomalías.
➢ Contribuir al establecimiento y
mantenimiento de un sistema de
control interno adecuado.
1
Aspectos
Principio de Autenticidad
• Comprobar la corrección de lo realizado, y
que la información presentada refleja la
situación verdadera sin ambigüedades.
Clases
➢ Externa, interna.
➢ De gestión, organizativa, operacional,
financiera, contable, informática,
económica-social.
➢ Total, parcial.
➢ Permanente, eventual
Aspectos
Beneficiarios
➢ La propia organización.
➢ Accionistas o socios.
➢ Consejeros y ejecutivos.
➢ Proveedores, acreedores y otros.
➢ Inversores.
➢ El gobierno.
➢ Los empleados.
➢ Organismos públicos e instituciones
diversas.
2
Normas
Reglas de carácter general que

deben guiar a los profesionales en
la ejecución de todo trabajo de
auditoría con el fin de obtener un
informe de calidad suficiente y
homologable con los del resto de
profesionales.
Distinciones
Normas
Pautas de trabajo, fijadas con autoridad y
consentimiento profesional, cuyo objetivo es conseguir
similaridad en la calidad del trabajo.
Procedimientos
Dan cumplimiento a las normas, son pasos o etapas
que han de realizarse en el curso de la revisión
contable basados en el criterio profesional
Técnicas
Métodos o herramientas utilizados para obtener
material de evidencia. Deben ser apropiadas y
adaptarse a las circunstancias.
3
Normas Técnicas: Generales
1. Formación técnica y capacidad profesional

2. Independencia, integridad y objetividad
3. Diligencia profesional
4. Responsabilidad
5. Secreto profesional
6. Honorarios y comisiones
7. Publicidad
Normas Técnicas: Ejecución
1. Relativa a la planificación
2. Relativo al estudio y evaluación del sistema
de control interno
3. Relativa a la evidencia
4
Normas Técnicas: Informes
1. Relativo a la información proporcionada

2. Relativo a la aplicación de normas contables
generalmente aceptadas
3. Relativo a lo que refleja la información
proporcionada
4. Relativo a la opinión del auditor
Estructura del Informe
1. Título
2. Destinatario
3. Identificación de la entidad auditada
4. Párrafo de ámbito de la auditoría
5. Párrafo de consideraciones
6. Párrafo de opinión
7. Párrafo de énfasis
8. Párrafo sobre el informa de gestión
9. Identificación del auditor
10. Firma y fecha de emisión
5
Auditoría En TI
Evaluación de la tecnología de
información con respecto al
aporte a los objetivos
institucionales.
Esta evaluación considera

aspectos de software, hardware,
comunicaciones e infraestructura.
Auditoría En TI
Clasificaciones
Por organismo que la realiza
•Externa
•Interna
Por objetivos que persigue

•Financiera
•Administrativa
•Integral
6
Auditoría En TI
Proceso
• Planificación
• Análisis y evaluación del control
interno
• Aplicación de pruebas de
auditoría
• Informe de resultados
• Seguimiento a recomendaciones
Auditoría En TI
Compromiso Ético
• Con los accionistas
• De la administración
• Con los empleados
• Con los proveedores
• Con los clientes
• Con el gobierno
• Con los inversionistas
• Con la comunidad
7
Auditoría En TI
Naturaleza Ecléctica
NUMERICOS
METODOS
TELECOMUNICACIONES
AUDITORIA SISTEMAS DE
EN TI INFORMACION
Auditoría En TI
Organismos Colegiados
Perú
Capítulo ISACA
Internacional
Information Systems Audit and
Control Association
(ISACA) con sede en Chicago
Capítulos en 50 países (17,000
miembros)
10,000 auditores certificados
Programas de formación
8
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Sustentar el establecimiento y
cumplimiento apropiado de
estándares, procedimientos y
controles de los sistemas de
información
•Mantener la confidencialidad de la
información obtenida durante el
transcurso de sus actividades.
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Ser independiente y objetivo
•Mantener competencia en los campos
relacionados con la auditoría
•Precaución en la documentación de
hechos en los que basa sus
conclusiones y recomendaciones
9
Auditoría En TI
ISACA: Normatividad
Código de Ética
•Informar a las partes apropiadas
sobre resultados de la auditoría
•Promover la formación de la gerencia
y miembros de la organización para
lograr un mayor entendimiento sobre
la auditoría
•Observar una conducta personal y
profesional incuestionable
Auditoría En TI
ISACA: Estándares
Independencia
•Actitud y apariencia
•Relación organizacional
•Ética profesional
Competencia técnica
•Habilidades y conocimiento
•Educación profesional continua
10
Auditoría En TI
ISACA: Estándares
Realización del trabajo
•Planeación y supervisión
•Requerimiento de evidencia
•Cuidado profesional
Generación de reportes
•Informar la cobertura de la auditoría
•Informe de hallazgos
•Conclusiones y recomendaciones
Auditoría En TI
ISACA: Procedimientos
Técnicas manuales
•Inspección documental
•Entrevistas
•Encuestas
•Sesiones de facilitación
•Certificación
•Confirmación
•De ingeniería de información
11
Auditoría En TI
Técnicas aplicadas a la tecnología
➢ Evaluación del funcionamiento de los
componentes tecnológicos del control
interno
➢ Evaluaciones de capacidad de manejo de
transacciones
➢ Evaluación de velocidad y consistencia de
transmisión de datos
➢ Efectividad de plantas y procedimientos
➢ Eficiencia de dispositivos
➢ Características de funcionamiento de
equipos
Auditoría en TI
Técnicas asistidas por la tecnología
(Computer assisted Audit Techniques)
➢ Comparación de programas
➢ Mapeo y rastreo de programas
➢ Análisis de código de programas
➢ Datos de prueba
➢ Datos de prueba integrados
➢ Análisis de bitácoras
➢ Simulación paralela
➢ Código Integrado
➢ Análisis de datos
➢ Programas de utilería
12
Auditoría en TI
Fraudes usuales
➢ Data diddling
➢ Trojan Horse
➢ Salammi
➢ Superzapping
➢ Trapdoors
➢ Logic Bombs
➢ Scavenging
➢ Data leakage
➢ Wire tapping
➢ Virus informáticos
Auditoría Informática
Objetivos
Principal
➢ Comprobar la fiabilidad de las herramientas que
provee el área de informática y la utilización
que se hace de la misma.
Específicos
➢ Evaluación de contribución del área funcional a
los procesos institucionales
➢ Evaluación de adecuación de software
➢ Búsqueda de anomalías
➢ Evaluación de procesos de control
➢ Evaluación de métodos de desarrollo
➢ Búsqueda de fraudes
13
Estudio de fiabilidad del entorno
informático
➢ Interés de un buen control interno
➢ Conjunto de medidas que contribuyen al
dominio del entorno
➢ Demandantes de la auditoría informática
➢ Dirección, responsable del servicio,
controladores externos
➢ Componentes de la auditoría
➢ Examen de la organización general del
servicio.
➢ Examen de los procedimientos relativos al
desarrollo
➢ Examen de funciones técnicas
➢ Examen de cadenas de tratamiento
Estudio de eficacia de actuación

de la actividad informática
➢ Estudio de prestaciones VS dimensionamiento de

equipos físicos.
➢ Relación entre calificación de personal y
sofisticación de los sistemas.
➢ Relación costo beneficio de la inversión en
tecnología informática en un mediano plazo.
➢ Calificación del nivel de servicio por estrato
organizacional.
➢ Grado de satisfacción de usuarios con respecto a
las aplicaciones que emplea.
14
Estudio de fiabilidad de una
aplicación hecha con informática
➢ Objetivos de la auditoría
➢ Control de la fiabilidad del software
➢ Control de uso que se da al software
➢ Control de correspondencia con
especificaciones funcionales
➢ Control de métodos de desarrollo o de control
de calidad
➢ Control de vigencia
➢ Búsqueda de errores
➢ Búsqueda de fraudes

➢ Demandantes de la auditoría
➢ Responsable de informática
➢ Responsables de otras áreas funcionales
usuarias
➢ Externos
➢ Restricciones para la auditoría
➢ Amplitud del ámbito
➢ Diversidad de aspectos que pueden ser
sujetos de control
➢ Relativa facilidad para que errores pasen
desapercibidos
15
➢ Métodos de auditoría
➢ Juegos de prueba
➢ Uso de software para auditoría
➢ Controles de coherencia de acuerdo a
funciones
➢ Controles jerárquicos
➢ Autorizaciones de acceso
➢ Existencia de validaciones
Estructura del Servicio de Informática
Organización y Administración Informática
16
Servicio de Informática
Aspectos a evaluar
➢Planificación de actividades
➢Existencia de planes
➢Existencia de responsables
➢Existencia de portafolio de proyectos
➢Seguimiento de costes
➢Existencia de presupuestos
➢Se justifican incrementos de costes
➢Seguimiento del personal
➢Existencia de una estructura de costos
➢Determinación de costo de servicios por
usuarios
Aspectos a evaluar
➢ Aspecto contable financiero
➢ Financiamiento satisfactorio
➢ Coherencia periodo de amortización vs
periodo de utilización
➢ Servicios de usuarios
➢ Seguimiento de calidad de servicio
➢ Existencia de nexo formal entre usuarios y el
servicio de informática
➢ Hay integración de usuarios a los equipos
➢ Existencia de manual de usuarios
➢ Existencia de un sistema de ayuda en línea
17
Aspectos a evaluar
➢ Separación de funciones
➢ Control
➢ Existencia de planes de control
➢ Existencia de procedimientos
➢ Verificación de naturaleza de los resultados
➢ ¿Quiénes ejercen el control?
➢ Entorno social
➢ Tasa de rotación de personal en informática
➢ Políticas de remuneraciones
➢ Políticas de contratación
➢ Coherencia cualificación - función
➢ Control de concurso de externos
➢ Capacitación
Aspectos a evaluar
➢ Relación proveedores
➢ Normas y procedimientos de
adquisición
➢ Existencia de un registro de
proveedores
➢ Identificación de principales proveedores y/o
proveedores únicos
➢ Existencia de contratos y/o acuerdos modelo
con proveedores
➢ Registro de quejas o fallas de servicio por
parte de proveedores
18
Adquisición de equipos
➢ Forma de adquisición
➢ Licitación, compra directa
➢ Descripción de aplicaciones a procesar
➢ Volumen de transacciones
➢ Exigencias de funcionamiento
➢ Tiempo de respuesta
➢ Duración de procesos
➢ Procedimientos de reactivación
➢ Condiciones eléctricas
➢ Fecha de entrega
➢ Prestaciones complementarias
Adquisición de equipos: Contrato
➢ Compromiso respecto a las condiciones de
funcionamiento
➢ Compromiso respecto de las especificaciones
técnicas
➢ Compromiso respecto de los costos futuros de
configuración
➢ Condiciones para el mantenimiento,
modalidades, intervención por el retraso
➢ Naturaleza y alcance de la garantía. Mecanismos
de ejecución y tiempos estimados
➢ Condiciones de entrega
➢ Penalizaciones
19
Adquisición de Software: requerimientos
➢ Funciones a procesar
➢ Consideraciones de seguridad
➢ Condiciones de operatividad sobre las
plataformas usuales
➢ Volúmenes a procesar
➢ Integración con software pre-existente
➢ Uso de bases de datos pre-existentes
➢ Necesidad de capacitación y/o entrenamiento de
usuarios
Adquisición de Software
Criterios de Comparación para selección
➢ Relativas al proveedor
➢ Tamaño
➢ Calidad de interlocutores
➢ Prestig¡o
➢ Referencia de clientes
➢ Tiempo en el giro de negocio
➢ Representación autorizada de producto
20
Adquisición de Software
Criterios de Comparación para selección
➢ Relativas al software
➢ Referencias de usuarios
➢ Vida media útil
➢ Documentación
➢ Soporte
➢ Mantenimiento
➢ Satisfacción de necesidades de la
organización
➢ Orientación al usuario
Adquisición de Software: Contrato
➢ Compromiso respecto de las condiciones de
funcionamiento ofrecidas
➢ Condiciones para el mantenimiento
➢ Condiciones para el soporte
➢ Condiciones para actualización o cambio de
versión
➢ Formas y modalidad de pago
➢ Forma de entrega del producto: medios, fuentes
➢ Respecto de la conformidad de entrega
➢ Penalizaciones por incumplimiento
➢ Fueros a los que se someten
➢ Procedimientos de resolución de conflictos
21
➢ Respecto de los servicios complementarios
➢ Formación
➢ Documentación
➢ Asistencia en la implementación
➢ Mantenimiento y soporte inicial
➢ Respecto del Funcionamiento
➢ Establecimiento de pruebas
➢ Acciones relacionadas con el resultado de
pruebas
➢ Aseguramiento de compatibilidad con lo
existente
➢ Realización de software específico
➢ Conjunto de especificaciones
➢ Medios para el respeto de plazos
➢ Formas de control a lo largo del proceso
➢ Documentación a entregar y su contenido
➢ Respuesta a conjunto de pruebas
22
Procedimientos de Desarrollo y
Mantenimiento de Software
Metodología de desarrollo de aplicaciones
➢ Existe estudio previo

➢ Breve presentación de funciones a desarrollar
➢ Principales obligaciones de la aplicación
➢ Alternativas técnicas
➢ Estimación de volúmenes de transacciones
➢ Estimación de costes y beneficios
➢ Calendario tentativo
➢ Evaluación de ventajas y desventajas de
“comprar o construir”
➢ Redacción de condiciones previas a la realización

➢ Descripción de funciones
➢ Descripción de interfases de usuarios
➢ Procesos a realizar
➢ Listado y bosquejo de reportes
➢ Listado y contenido de contenedores de
datos
➢ Previsión de volúmenes de transacción
➢ Fechas límite
➢ Lista de nuevos requerimientos
23
➢ Normas que se están aplicando

➢ Para el proyecto
➢ Para el contrato de outsourcing
➢ Para la programación
➢ Para la nomenclatura de programas,
archivos, entidades, etc.
➢ Existencia de seguimiento y control de costes
Calidad de Software
➢ Existencia de controles de calidad específicos
para software
➢ Sondeo para evaluación de calidad
Documentación
➢ De estudios preliminares
➢ Para los usuarios finales
➢ Para el mantenimiento
➢ Del desarrollo
➢ De Control
➢ De fallas reportadas
24
Entorno de desarrollo
Procedimientos de puesta en marcha
➢ Garantizar separación de funciones (desarrollo /
trabajo)
➢ Elaborar historial de modificaciones
➢ Garantizar disponibilidad de código fuente
Procedimientos de captura de datos
➢ Off line
➢ En tiempo real
Consideraciones para control
➢ Fuentes de datos impresas deben tener un VºBº
➢ Claves de control para códigos numéricos
➢ Controles por totalización o acumulación en
ingresos de datos agrupados
➢ Validaciones de acuerdo a la naturaleza de los
datos requeridos
➢ Edición de datos significativos
➢ Visualización para validación
25
Aspectos de control de calidad
➢ Frecuencia de incidentes por software
➢ Tiempo de respuesta de aplicaciones interactivas
➢ Retrasos en distribución de información
➢ Frecuencia de mantenimiento
➢ Frecuencia de actualización de registros
Gestión de copias de seguridad
➢ Permitir un arranque en un plan de contingencia
➢ Permitir corregir un fallo en un dispositivo
magnético
➢ Permitir un arranque en una locación externa
➢ Responder a las obligaciones legales
➢ Frecuencia de copias
➢ Tipo de copia: total, parcial
➢ Gestión del acervo de copias
➢ Accesos
➢ Almacenamiento
➢ Distribución
26
Seguridad Física
➢ Acceso al entorno de desarrollo
➢ Protección contra desastres naturales
➢ Prevención contra intrusiones
➢ Prevención contra fallos operativos de servicios
Seguros
➢ Naturaleza de los riesgos
➢ Coberturas
➢ Tipo de contrato
Obligaciones de declaración
➢ Respecto a la transmisión de datos
➢ Respecto a la información contable / financiera
➢ Respecto a las licencias de uso
➢ Respecto a las obligaciones con el personal
27
Funciones de Asistencia Técnica
➢ Definición de normas y métodos

➢ Gestión de las bases de datos
➢ Gestión de redes
➢ Gestión de la seguridad
➢ Administración de los recursos de informática
➢ Administración de los servicios
Bases de datos
➢ Existencia de responsable
➢ Implantación física
➢ Optimización
➢ Coherencia técnica
➢ Eliminación de redundancia
➢ Búsqueda de integridad de datos
➢ Existencia de un diccionario de datos
➢ Optimización de búsquedas para consultas
➢ Control de consistencia
28
Gestión de redes
➢ Existencia de listas de compatibilidad
➢ Comprobación de configuraciones
➢ Asistencia a usuarios
➢ Instalación de nuevas estaciones
➢ Sistemas de ayuda
➢ Programación de mantenimiento
➢ Control de accesos
➢ Definición de usuarios
➢ Establecimiento de perfiles
➢ Establecimiento de privilegios y restricciones
Gestión de redes
➢ Existencia de procedimientos de back up y
recuperación en procesos a distancia
➢ Previsiones para funcionamientos alternativos
➢ Software de administración de dispositivos
➢ Software de administración y control de redes
29
Microinformática
➢ Coordinación y procedimientos para:
➢ Adquisición de equipos
➢ Adquisición de software
➢ Capacitación
➢ Proveedores elegibles
➢ Condiciones contractuales
➢ Modalidades de mantenimiento
➢ Control de este nivel
➢ Seguridad de datos
➢ Licencias
Métodos
➢ Existencia de un responsable
➢ Existencia de formas de difusión
➢ Existencia de controles habituales respecto a
aplicación de normas
Servicios
➢ Sistemas de ayuda
➢ Equipos dedicados
➢ Orientación al usuario
30
Seguridad
➢ Existencia de gestión de riesgos
➢ Existencia de responsable
➢ Existencia de planes de seguridad
31

Auditori A 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Auditori A 1

Cargado por

Copyright:

Formatos disponibles

Auditoría Empresarial

Investigación, consulta, revisión,

Reglas de carácter general que

1. Formación técnica y capacidad profesional

1. Relativo a la información proporcionada

Esta evaluación considera

Por objetivos que persigue

Estudio de eficacia de actuación

➢ Estudio de prestaciones VS dimensionamiento de

Estudio de fiabilidad de una

Organización y Administración Informática

➢ Existe estudio previo

➢ Redacción de condiciones previas a la realización

➢ Normas que se están aplicando

➢ Definición de normas y métodos

También podría gustarte