Está en la página 1de 10

ndice 1.Auditora 1 1.1Definicin de adutora 1 1.1.1 Concepto antiguo 1 1.1.2 Concepto moderno 1 1.2 Tipos de auditora 1 1.2.

1 Formas de clasificacin de la auditora 2 1.3 Definicin de auditora de sistemas 2 1.3.1 Proceso de auditora de SI 2 1.3.2 Que se evala y que se verifica 3 1.4 Auditora de TI Eclectica 3 2. Programa de auditora 4 2.1 Estructura y fases de un plan de auditora. 4 2.2 Planificacin de auditora 5 2.2.1 Plan de auditora 5 2.2.2 Metodologa estructurada para preparar un plan de auditora y 5 prueba 3. Perfil de auditor 9

1. Auditora
La palabra auditora proviene del latn auditorius, Tiene la Virtud de Or. 1.1 Definicin de auditora La auditora es: y Una disciplina regida por reglas y principios que buscan estandarizacin y aceptacin general y Es realizada por personas independientes de la operacin y Busca evaluar el cumplimiento de los objetivos institucionales La auditora debe tener una participacin contundente en el logro de los objetivos de una organizacin y por ende debe estar comprometida hasta sus ltimas consecuencias. El auditor debe ampliar su visin y adoptar una actitud proactiva, aportando un valor agregado a su funcin. 1.1.1 Concepto antiguo (auditor revisor) La tarea de auditoria se ha realizado histricamente como una evaluacin cuyo nico fin es detectar errores y sealar fallas. A causa de esto se la suele asociar con la concepcin de fallas en la organizacin que requeran esta actividad para investigarlas. Caractersticas: y Orientada a aspectos administrativos y Daba poco valor agregado y Posea altos riesgos de auditora y Orientada a objetivos de segundo nivel. 1.1.2 Concepto moderno (auditor colaborador) El concepto moderno la define como un examen crtico que se realiza con el fin de evaluar la eficiencia y eficacia de un organismo en el cumplimiento de su misin y objetivos, contemplando visin estratgica de la org y la evaluacin del riesgo para conseguir los objetivos de negocio de la organizacin. La actividad de la auditora se traduce en la organizacin como una funcin que contribuye a lograr los aspectos sustantivos del negocio, dndole valor agregado a la org. Caractersticas: y Apoyo a objetivos institucionales y Visin estratgica y Valor agregado y Riesgo de negocio y Aspectos sustantivos del negocio 1.2 Tipos de auditora

TIPO AUDITORA Estados Contables Estratgica Operativa

OBJETIVO Situacin del negocio contable y razonablemente reflejada. Plan estratgico Gerencial Cumplimiento de normativa, eficiencia,
2

Calidad Ambiental Sistemas


1.2.1 Formas de clasificacin de la auditora y

eficacia. ( COSO). Eficacia del sistema de gestin de calidad. Conformidad con las regulaciones ecolgicas. Gobernabilidad de las tecnologas de la informacin.

Quien realiza la auditora o Auditora externa: Se realiza por un equipo de auditores completamente independientes de la organizacin. Se presupone una mayor objetividad que en la auditora interna, debido al mayor distanciamiento entre auditores y auditados. o Auditora interna: Realizada con recursos materiales y humanos de la organizacin auditada. Existe por decisin de la Organizacin. Es la actividad de evaluacin llevada a cabo por un conjunto de auditores empleados de la organizacin, cuyas funciones son independientes a la operacin de dicha organizacin. Objetivos que se persiguen: o Auditora financiera emitir una opinin sobre los estados financieros de una organizacin o Auditora administrativa evaluar los objetivos de control puramente administrativos sobre la productividad y eficiencia de las operaciones de una organizacin. o Auditora integral se realiza con el fin de evaluar en su totalidad los objetivos que existen en una organizacin.

1.3 Definicin de auditora de sistemas de informacin Es el proceso de revisin y evaluacin de todos los aspectos del procesamiento de sistemas soportados por tecnologas de la informacin, incluyendo procesos manuales relacionados y las interfaces que existen entre ellos. Es la disciplina que engloba tcnicas y procedimientos aplicados a una organizacin por personal independiente a la operacin, con el propsito de evaluar la funcin de servicios de sistemas e informacin y su aporte al cumplimiento de los objetivos de la organizacin, emitiendo una opinin al respecto y efectuando recomendaciones para mejorar el cumplimiento de dichos objetivos. La auditora de sistemas, recibe su autoridad de la misma organizacin la que concede el libre acceso en cualquier momento a todos los recursos de los sistemas y tecnologas relacionadas. 1.3.1 El proceso de auditora de SI

Recursos

de TI

Procesos de trabajo

Requerimientos de negocio

Datos Sistemas de Informacin Tecnologa Instalaciones Recursos humanos

Planeacin y organizacin Adquisicin e implementacin Prestacin de servicios y soporte Monitoreo

Efectividad

Eficiencia Confidencialidad
Integridad Disponibilidad Cumplimiento Confiabilidad

La auditora informtica debe ser una actividad dirigida a evaluar el proceso de generacin de informacin para alcanzar los requerimientos del negocio. La auditora de SI interna particularmente cuenta con ventajas, ya que puede actuar peridicamente como parte de su plan anual y de su actividad normal. Los auditados conocen los planes de auditora se habitan, especialmente cuando las consecuencias de las recomendaciones benefician su trabajo. La funcin auditora debe ser absolutamente independiente y sus conclusiones no son vinculantes, siendo la org. La que deber tomar decisiones. 1.3.2 Que se evala y que se verifica. Para cumplir con el objetivo de la funcin auditora de SI, se debe verificar y evaluar: y El uso, estado y resguardo de los sistemas de informacin y sus recursos de tecnologa y La aplicacin de criterios de calidad y productividad en las actividades relacionadas a los SI, conforme a polticas, normas y estndares establecidos y Los procedimientos de desarrollo y mantenimiento de los sistemas de informacin y La gestin eficiente del entorno de produccin y asistencia tcnica y La org. General del servicio informtico respecto de su estructura, planificacin de actividades, seguimiento de costos, relaciones con usuarios, separacin de funciones, etc.

1.4 Auditora de SI una actividad eclctica. Significa que La interaccin de distintas ciencias o reas de conocimiento en la resolucin de un problema que resulta demasiado complejo para una de ellas actuando en forma aislada. Es decir que la auditora de SI, debida a su complejidad requiere, en general, un equipo multidisciplinario para poder realizar sus tareas. Las auditorias de sistemas son desarrolladas por un equipo multidisciplinario, resulta muy difcil que un solo individuo rena todos los conocimientos y las disciplinas que interactan son las siguientes: y Teora General de Sistemas y Sistemas de Informacin y Comportamiento Humano y Finanzas y Contabilidad y Administracin de organizaciones y Telecomunicaciones y Mtodos numricos. El profesional que participa en un programa de auditora de SI debe tener un perfil con conocimientos y habilidades que deben comprender: y Estndares y lineamientos internacionales para la auditora de SI y Cdigo de tica profesional y Prcticas y tcnicas corrientes de auditora de S.I. y Tcnicas de obtencin de informacin y Direccin, historia y controles relacionados. y Riesgo de negocio debido a los SI

2 Plan de auditora
Para ejecutar una auditora de SI se debe realizar una planificacin adecuada, por esto, el auditor debe evaluar los riesgos generales y desarrollar un programa de auditora que consista de objetivos y procedimientos de auditora para alcanzar el objetivo. Para esto, el auditor, debe recoger evidencia a fin de evaluar los controles y preparar un informe de auditora que presente esos aspectos en una forma objetiva a la gestin. 2.1 Estructura y fases de un plan de auditora (Programa de auditora) El programa de auditora se convierte en una gua para documentar las diferentes tareas que deben llevarse a cabo, el alcance y tipos de evidencia a solicitar. Un programa de auditora no sigue una seria especifica de pasos, pero el auditor, seguir los pasos del programa con el desarrollo de las tareas especficas, para poder conocer a la entidad auditada, evaluando as los controles.

Sujeto de Auditora Objetivo Auditora de

y la y

Alcance de la Auditora

Planificacin antes de la auditora. Pre auditora (Planeacin pre eliminar)

y y

y Procedimientos de y auditora y medidas para recoger datos y y Auditora y Procedimientos para y evaluar los resultados de la prueba o de la revisin Procedimientos para y la comunicacin con la gestin Preparacin del y

Fases del Programa de Auditora Identificar el rea a ser auditada. Area del centro de computo Identificar el propsito de la auditora. Por ejemplo, un objetivo podra ser el determinar que los cambios en el cdigo fuente del programa ocurren en un entorno bien definido y controlado. Sistemas y funcion Identificar los sistemas especficos, la funcin o unidad de la organizacin que debe ser incluida en la revisin. Por ejemplo, en los cambios del programa arriba mencionado, la declaracin del alcance podra limitar la revisin a una sola aplicacin del sistema o a un tiempo limitado. Identificar las capacidades tcnicas y recursos necesarios. Identificar las fuentes de informacin por ser probadas o revisadas, tales como organigramas funcionales, polticas, normas, procedimientos y documentos de trabajo anteriores a la auditora. Identificar los lugares o instalaciones que sern auditados. Identificar y seleccionar el enfoque de la auditora para verificar y probar los controles. Identificar una lista de auditados para entrevistarlos. Identificar y obtener las polticas departamentales, normas y guas a ser revisadas. Desarrollar las herramientas de auditora y metodologa para probar y verificar el control. Especfico a la organizacin.

Especfico a la organizacin Revisar los procedimientos para hacer el seguimiento.


5

informe de auditora Informe

y y y

Procedimientos para evaluar/probar la eficiencia y efectividad operacional. Procedimientos para probar los controles. Revisar y evaluar la solidez de los documentos, polticas y procedimientos.

2.2 Planificacin de auditora Con la informacin obtenida en los pasos anteriores del programa de auditora se determina el plan de auditora, el tipo de procedimientos de revisin, el personal responsable y la fecha de trabajo. 2.2.1 Plan de auditora El rea de auditora debe confeccionar un plan de trabajo que contemple las reas bajo revisin, metodologa y herramientas a aplicar y la poca de ejecucin de las tareas. Este debe ser aprobado por el rgano de cual depende el rea y debe revisarse constantemente. Tipo de planes: y Plan estratgico(5 aos): permite el desarrollo general de la funcin auditora. Productos o Evaluacin de la correcta aplicacin de polticas, procedimientos y estndares que aseguren la disponibilidad de los datos para los sistemas de informacin. o Evaluacin del correcto desarrollo/adquisicin de SI. y Plan tctico (1-2 aos): permite el desarrollo de ciclos de auditora. o Evaluar la implementacin de polticas, normas y estndares de seguridad en las reas de servicio informtico. o Evaluar el desarrollo/implementacin de planes de contingencia. o Evaluar la seguridad y administracin de las redes de tratamiento de datos. y Plan Operacional: Permite el desarrollo de las auditoras. 2.2.2 Metodologa estructurada para preparar un plan de auditora y prueba 1 Planificar y conducir una pre-auditora del rea por ser auditada Consiste de dos partes: y Fase de escritorio: El auditor piensa y se familiariza con los elementos bsicos del rea por auditar y estudia materiales relacionados al tpico. y Fase de campo: Consiste de hacer una visita preliminar al campo para conocer a los protagonistas. Observar, inspeccionar y escuchar. 2 Revisar la documentacin sobre el anlisis de riesgo y los controles del sistema para determinar las reas de alta exposicin. Si existe documentacin previa sobre el anlisis de riesgo y los objetivos de control, el auditor debe estudiar esta informacin para obtener una idea de los puntos crticos de exposicin y sensibilidad, para enfocar las pruebas. 3 Formular la estrategia de auditora, los objetivos claves y el alcance de auditora y el nivel de riesgo de auditora aceptable Se moldea la estrategia y las premisas claves de la auditora, se obtiene el punto de vista y las sugerencias de la gerencia de auditora y se determina cuan importante es la auditora para la org., que nivel de riesgo presenta el rea por auditarse y que nivel de riesgo se puede aceptar durante la planificacin y ejecucin de la auditora. El gerente establece los criterios de cmo se van a medir los resultados de la auditora y la actuacin del auditor. El auditor debe obtener una clara aprobacin del alcance y la estratgica de la auditora. Factores que influencian la estratgica de la auditora. y La filosofa personal del Gerente de auditora en cuanto al riesgo de auditora. 6

y y y y y 4

El tipo de sistema de informacin que se est por auditar. Si el sistema procesa informacin que esta sujeta a cumplimientos de regulaciones y/o leyes. Las consecuencias legales y de contrato que estn asociadas con la informacin del sistema. El nivel de habilidades tcnicas del personal de sistemas y operaciones. La estructura del grupo de auditora (centralizada, descentralizada)

Determinar el enfoque de prueba que se usar en las pruebas del sistema Seleccin del enfoque de prueba (ciertos enfoques de prueba no pertenecen o no son adecuados para ciertos tipos de SI) Enfoques: y Enfoque basados en procesos informticos: Se elige cuando existe inters en realizar una evaluacin de algunos procesos informticos. o Procesos sustantivos Planificacin estratgica de sistemas, desarrollo de sistemas, administracin de proyectos, capacitacin o Procesos de administracin Instalacin de la infraestructura informtica, admin de rrhh y de recursos materiales. Enfoque basado en proyectos: El auditor puede efectuar la evaluacin de un proyecto especfico que corresponda a un proceso informtico.( Ej, al evaluar el proceso de integracin de paquetes de Software, el auditor, puede optar por evaluar la aplicacin de dicho proceso para un proyecto especfico.) La diferencia entre revisar un proyecto y revisar un proceso, radica en que el primero no se encuentra en produccin, mientras que el segundo el proyecto ya fue concluido y es un producto. Enfoque basado en elementos de infraestructura. Se elige cuando se desea evaluar elementos de infraestructura informtica. Las reas de servicio de informacin cuentan con esta infraestructura, cuya correcta administracin y desempeo tiene un impacto general en los servicios que proporcione. Enfoque basado en sistemas: Se utiliza cuando se desea efectuar la evaluacin de un sistema en forma particular. Pese a las diferencias de sistemas entre las org. Se puede generalizar a los sistemas como un conjunto de programas, archivos y procedimientos que se encuentran encapsulados en un mismo diseo. Seguir el flujo de tpico de los sistemas: o Identificacin de eventos o Entrada de datos o Salida de datos o Proceso de datos o omunicacin de datos. Enfoque basado en procesos de negocio: Un proceso es un conjunto de actividades que se desarrollan secuencialmente en forma horizontal y atraviesan las fronteras entre departamentos o funciones de una org. (Proceso de ventas). Este enfoque toma en cuenta el soporte tecnolgico que recibe un proceso.

Anticipar los tipos de prueba de auditora a utilizar Se debe anticipar los tipos de pruebas que se van a usar, tales como pruebas de cumplimiento y pruebas sustantivas o pruebas en el ambiente del sistema. Ej. Si los objetivos generales de auditora especifican la determinacin de la integridad de los bienes o de la informacin de la BD hay una indicacin muy fuerte que uno tenga que recurrir a pruebas sustantivas para determinar la presencia de los bienes en la BD. Determinar los objetivos especficos de auditora y prueba. Se prepara el conjunto de objetivos de auditora y prueba. Estos objetivos representan el programa de las tareas que tienen que ejecutarse mediante las tcnicas de prueba para obtener la evidencia necesaria para: y Verificar si los controles trabajan y Obtener la informacin de soporte para poder formular la opinin sobre la suficiencia de los controles. 7

Los objetivos generales tienden a ser de alcance amplio y sugieren la direccin de lo que debe hacerse. En cambio, los objetivos especficos son a nivel tarea. Para poder vincular los objetivos especficos de prueba con los objetivos de control que se aplican al sistema o rea auditada, se debe cambiar la palabra del objetivo especfico de control. Ej. Objetivo especfico de control Asegurar que personas no autorizadas no puedan acceder la estacin de trabajo del sistema xx Objetivo especfico de prueba Verificar que personas no autorizadas no puedan accerder la estacin de trabajo del sistema xx. 7 Seleccionar las tcnicas y herramientas ms efectivas para satisfacer los objetivos de prueba Los objetivos de auditora y prueba solo indican el que se debe efectuar para satisfacer los objetivos generales del proyecto. Las tcnicas de auditora proveen el mecanismo de como probar los controles para satisfacer los objetivos de auditora y prueba. Procedimiento general para la seleccin de herramientas y tcnicas de auditora. y Determine el tipo de sistema involucrado (batch,etc) y Revise los objetivos generales de auditora, defina el alcance de la auditora y los tipos de prueba de auditora. y Liste herramientas y tcnicas de auditora posibles y Inicie el proceso de eliminacin de herramientas y tcnicas (no aplicable, no rentables). 8 Preparar las matrices detalladas de auditora en base a los objetivos de prueba. Elabore matrices de auditora y prueba, las que son la base para el plan de pruebas e indican que tareas se ejecutarn durante la auditora. La matriz de auditora contiene 4 columnas: y El punto de prueba aquella transaccin, dispositivo fsico, individuo, etc donde la amenaza tiene una buena posibilidad de concretarse( la prueba tiene que hacerse en el punto de riesgo) y El objetivo de auditora y prueba es lo que se desea satisfacer mediante las pruebas y Las tcnicas y herramientas de prueba a usar medios por los cuales se ejecutan las pruebas (tcnicas ms efectivas de verificacin del cumplimiento del control) y Los criterios de prueba. Objetivo de control: ADQUISICION E IMPLEMENTACION DE SOLUCIONES Zona de auditora n : rea Informtica Objetivo de prueba: Verificar los procedimientos de Identificacin de Soluciones. Tipos de Prueba: Cumplimiento OBJETIVO DE CONTROL: Tcnica de prueba: Revisar la documentacin y procedimientos relacionados a la Definicin de Requerimientos de Informacin. Criterio de aceptacin / rechazo: 1. Verificar que la metodologa del ciclo de vida de desarrollo de sistemas de la organizacin asegure que los requerimientos del negocio ya satisfechos por el sistema actual y a ser satisfechos por el sistema nuevo propuesto o modificado (software, datos e infraestructura), estn claramente definidos antes de aprobar cualquier proyecto de desarrollo, implementacin o modificacin. Verificar que la metodologa del ciclo de vida de desarrollo de sistemas ya exija que los 8 Definicin de Requerimientos de Informacin

2.

requerimientos de las soluciones funcionales y operacionales sean especificados, incluyendo desempeo, proteccin, confiabilidad, compatibilidad, seguridad y legislacin. 9 Determinar los criterios de aceptacin y rechazo de los resultados de la prueba Da un punto de determinar si la prueba que se ejecut fue aceptable y una idea de si el control es efectivo para reducir la exposicin. El criterio de prueba provee una medida para la aceptacin y/o rechazo. La seleccin de los criterios de prueba dependen del tipo de prueba y la situacin especfica que uno enfrenta. Los criterios de prueba se elaboran en la misma manera como los profesionales de sistemas tienen que elaborar los criterios de aceptacin contra pruebas en el proceso de limpiar y validar sus sistemas. Los criterios de prueba pueden ser: y De naturaleza cuantitativa sobre cifras pre-calculadas y Tener como medida de ref el cumplimiento de reglas y/o parmetros y Especificaciones y Tener un rango de validez. 10 Determinar los recursos necesarios para ejecutar las pruebas Como adicional a las matrices de prueba se puede hacer una estimacin del tiempo y preparar un presupuesto del nivel de recursos que se requiere para efectuar las pruebas y el tiempo que estas llevarn. El auditor debe preparar una tabla de tiempos y determine los recursos de maquinas, personas, etc y los datos que se necesitan para efectuar las pruebas. 11 Evaluar costo-efectividad del plan de auditora y prueba considerando la sensibilidad del sistema y el riesgo de auditora aceptado Implica una discusin entre el auditor a cargo del proyecto y su Gerente sobre el mrito relativo de ejecutar el plan de auditora con relacin al beneficio que se obtendra con los resultados de las pruebas. 12 Considerar enfoques alternativos de prueba si el plan no es costo-efectivo Involucra la bsqueda de otros enfoques de ejecutar el plan de pruebas si el anlisis de costefectividad indica que el ndice de suficiencia es bajo o el costo del programa de auditora es alto. Esto puede estar dado debido a la menor importancia del sistema con relacin al riesgo del auditor. 13 Preparar los procedimientos detallados para ejecutar el plan de auditora Comprende tareas logsticas de preparacin de procedimientos de prueba, instrucciones y listas de cosas por hacer y por evitar. Si alguna de las tareas son efectuadas por terceros el auditor de sistemas debe tener procedimientos ad-hoc para suplirlos. Lo ms importante es la atencin al detalle y el trabajo por hacer no difiere con las tareas que el auditor prepara para otros tipos de auditora. Se debe especificar como se va documentar la evidencia y los resultados. 14 Ejecutar el plan de auditora, analizar los resultados y emitir la opinin para la gerencia. Culminacin de la auditora mediante las sgtes tareas: y Coleccionar la evidencia de una manera organizada y Revisar los hallazgos con los grupos auditados para corroborar los hechos y obtener reacciones y Formar una opinin sobre el estado de los controles e iniciar una revisin formal con los gerentes/supervisores de auditora para obtener un con censo. y Preparar recomendaciones que sean costo-efectivas para la mejora de los controles. y Informar a la Gerencia y cerrar los papeles de trabajo

El objetivo de las pruebas sustantivas es obtner evidencia suficiente que permita al auditor emitir su juicio en las concluciones acerca de cuando pueden ocurrir perdidad materiales durante el proceso de la informacion. se peden identificar 8 diferentes pruebas sustantivas: 1 pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2 prueba para asegurar la calidad de los datos. 3 pruebas para identificar la inconsistencia de datos. 4 prueba para comparar con los datos o contadores fisicos. 5 confirmacion de datos con fuentes externas 6 pruebas para confirmar la adecuada comunicacion. 7 prueba para determinar falta de seguridad. 8 pruebas para determinar problemas de legalidad.

10