Está en la página 1de 18

27/10/2010

Ing. Luis A. Otake
Ing. Luis A. Otake
Sesión 5
Sesión 5

27/10/2010

27/10/2010 La Auditoría es un proceso sistemático por el cual un equipo o una persona calificada,
La Auditoría es un proceso sistemático por el cual un equipo o una persona calificada,
La Auditoría es un proceso sistemático por el
cual un equipo o una persona calificada,
competente e independiente obtiene y evalúa
objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin
de formarse una opinión sobre el particular e
informar sobre el grado de cumplimiento en
que se implementa dicha afirmación.
e informar sobre el grado de cumplimiento en que se implementa dicha afirmación. (Ramírez y Álvarez,
e informar sobre el grado de cumplimiento en que se implementa dicha afirmación. (Ramírez y Álvarez,

(Ramírez y Álvarez, 2003)

27/10/2010

27/10/2010 Seguridad: • Confidencialidad • Integridad • Disponibilidad Calidad • Efectividad • Eficiciencia
Seguridad: • Confidencialidad • Integridad • Disponibilidad
Seguridad:
• Confidencialidad
• Integridad
• Disponibilidad
Calidad • Efectividad • Eficiciencia
Calidad
• Efectividad
• Eficiciencia
Fiduciaria • Cumplimiento • Confiabilidad
Fiduciaria
• Cumplimiento
• Confiabilidad
Servicio
Servicio
Capacidad
Capacidad
• Cumplimiento • Confiabilidad Servicio Capacidad Obtención y documentación del conocimiento sobre el
Obtención y documentación del conocimiento sobre el área/objeto de la auditoría Valoración de riesgos y
Obtención y documentación del conocimiento sobre el área/objeto de la
auditoría
Valoración de riesgos y planeación general de la auditoría y cronograma
Planeación de auditoría detallada
Revisión preliminar del área/objeto de la auditoría
Evaluación del área/objeto de la auditoría

27/10/2010

27/10/2010 Verificación y evaluación de lo adecuado de los controles diseñados para cumplir los objetivos de
Verificación y evaluación de lo adecuado de los controles diseñados para cumplir los objetivos de
Verificación y evaluación de lo adecuado de los controles diseñados para
cumplir los objetivos de control
Pruebas de cumplimiento (pruebas de la implementación de controles y
su aplicación consistente)
Pruebas sustantivas (que confirmen la exactitud de la información)
Informes (comunicación de los resultados)
Seguimiento en casos en los que hay una función de auditoría interna
en casos en los que hay una función de auditoría interna Conjunto de procedimientos documentados de
Conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de auditoría planeados.
Conjunto de procedimientos documentados de
auditoría diseñados para alcanzar los objetivos de
auditoría planeados.
Sus componentes son una declaración del alcance, una
declaración de los objetivos de la auditoría y una
declaración de los programas de auditoría.
Debería ser establecida y aprobada por la gerencia de
auditoría, y formalizada y comunicada a todo el
personal de auditoría.

27/10/2010

27/10/2010 Supervisar el trabajo de auditoría Analizar y Informar los Aplicar Planear la evaluar el resultados
27/10/2010 Supervisar el trabajo de auditoría Analizar y Informar los Aplicar Planear la evaluar el resultados
27/10/2010 Supervisar el trabajo de auditoría Analizar y Informar los Aplicar Planear la evaluar el resultados
Supervisar el trabajo de auditoría Analizar y Informar los Aplicar Planear la evaluar el resultados
Supervisar el trabajo de auditoría
Analizar y
Informar los
Aplicar
Planear la
evaluar el
resultados
Efectuar
pruebas de
auditoría
control
de la
seguimiento
auditoría
interno
auditoría
evaluar el resultados Efectuar pruebas de auditoría control de la seguimiento auditoría interno auditoría 5

27/10/2010

27/10/2010 Riesgo inherente • Que exista un error que podría ser importante o significativo • La
27/10/2010 Riesgo inherente • Que exista un error que podría ser importante o significativo • La
27/10/2010 Riesgo inherente • Que exista un error que podría ser importante o significativo • La
Riesgo inherente • Que exista un error que podría ser importante o significativo • La
Riesgo inherente
• Que exista un error
que podría ser
importante o
significativo
• La posibilidad de una
falsa declaración
importante en
ausencia de
controles
relacionados.
• Existen
independientemente
de una auditoría y
pueden ocurrir
debido a la
naturaleza del
negocio.
Riesgo de control Riesgo de detección • Cuando no es prevenido ni detectado oportunamente por
Riesgo de control
Riesgo de detección
• Cuando no es
prevenido ni
detectado
oportunamente por
el sistema de
controles internos.
• Que un auditor use
un procedimiento
inadecuado de
prueba y concluya
que no existen
errores importantes
cuando en realidad
existen.
Riesgo de auditoría general • La combinación de categorías individuales de riesgos de auditoría valorados
Riesgo de auditoría
general
• La combinación de
categorías
individuales de
riesgos de auditoría
valorados para cada
objetivo de control
específico.
• Nivel que un auditor
está preparado a
aceptar

27/10/2010

27/10/2010 Sistema de puntuación (scoring) • Considera variables (complejidad técnica, nivel de procedimientos de
Sistema de puntuación (scoring) • Considera variables (complejidad técnica, nivel de procedimientos de control y
Sistema de puntuación
(scoring)
• Considera variables
(complejidad técnica,
nivel de procedimientos
de control y nivel de
pérdida financiera).
• Las variables pueden o
no ser ponderadas.
• Los valores de riesgo se
comparan entre sí.
Dependiente del juicio profesional • Se requiere conocimiento del negocio, directivas de la dirección ejecutiva,
Dependiente del juicio
profesional
• Se requiere
conocimiento del
negocio, directivas de la
dirección ejecutiva,
perspectivas históricas,
metas del negocio y
factores ambientales.
históricas, metas del negocio y factores ambientales. Permite que la dirección asigne de manera efectiva los
Permite que la dirección asigne de manera efectiva los recursos limitados de la auditoría. Asegura
Permite que la dirección asigne de manera efectiva los recursos limitados de la
auditoría.
Asegura que se haya obtenido información relevante de todos los niveles de la
gerencia, para que las actividades de auditoría se orienten a las áreas de alto
riesgo, lo cual generará valor a la dirección.
Establece las bases para gestionar el departamento de auditoría de manera
efectiva.
Provee un resumen de cómo se relaciona el sujeto individual de la auditoría con
el resto de la organización, así como también con los planes de negocios.

27/10/2010

27/10/2010 Son las metas específicas que deben cumplirse por parte de la auditoría. Se enfocan a
Son las metas específicas que deben cumplirse por parte de la auditoría. Se enfocan a
Son las metas específicas que deben cumplirse por parte de la
auditoría.
Se enfocan a menudo en validar que existen controles internos, y que
éstos funcionen como se espera.
Incluyen el aseguramiento del cumplimiento con requisitos legales y
regulatorios así como también la confidencialidad, integridad,
confiabilidad y disponibilidad de recursos de información y de TI.
y disponibilidad de recursos de información y de TI. Realizar una revisión independiente de las actividades,
Realizar una revisión independiente de las actividades, áreas o funciones especiales de una institución, a
Realizar una revisión independiente de las actividades, áreas o funciones especiales
de una institución, a fin de emitir un dictamen profesional sobre la razonabilidad de
sus operaciones y resultados.
Hacer una revisión especializada, desde un punto de vista profesional y autónomo,
del aspecto contable, financiero y operacional de las áreas de una empresa.
Evaluar el cumplimiento de los planes, programas, políticas, normas y lineamientos
que regulan la actuación de los empleados y funcionarios de una institución, así como
evaluar las actividades que se desarrollan en sus áreas y unidades administrativas.
Dictaminar de manera profesional e independiente sobre los resultados obtenidos
por una empresa y sus áreas, así como sobre el desarrollo de sus funciones y el
cumplimiento de sus objetivos y operaciones.

27/10/2010

27/10/2010 Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el
Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el
Realizar una evaluación con personal multidisciplinario y capacitado en el área de sistemas, con el fin de emitir un
dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestión administrativa del área de
informática.
Hacer una evaluación sobre el uso de los recursos financieros en las áreas de centro de información, así como del
aprovechamiento del sistema computacional, sus equipos periféricos e instalaciones.
Evaluar el uso y aprovechamiento de los equipos de cómputo, sus periféricos, las instalaciones y mobiliario del centro
de cómputo, así como el uso de sus recursos técnicos y materiales para el procesamiento de la información.
Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y
paqueterías de aplicación y desarrollo, así como el desarrollo e instalación de nuevos sistemas.
Evaluar el cumplimiento de planes, programas, estándares, políticas, normas y lineamientos que regulan las funciones
y actividades de las áreas y de los sistemas de procesamiento de información, así como de su personal y de los usuarios
del centro de información.
Realizar la evaluación de las áreas, actividades y funciones de una empresa, contando con el apoyo de los sistemas
computacionales, de los programas especiales para auditoría y de la paquetería que sirve de soporte para el desarrollo
de auditorías por medio de la computadora.
el desarrollo de auditorías por medio de la computadora. Prueba de cumplimiento Prueba sustantiva Recolección

Prueba de cumplimiento

Prueba sustantiva

Recolección de evidencia con el fin de

La evidencia se recoge para evaluar la

comprobar el cumplimiento de una organización con los procedimientos de control.

integridad de transacciones individuales, datos u otra información.

Determina si los controles están siendo aplicados de manera que cumplen con las

políticas y los procedimientos de gestión.

Fundamenta la integridad de un procesamiento real.

Ej.: para proveer la certeza de que sólo se realizan modificaciones autorizadas a los programas de producción.

Ej.: Provee evidencia de la validez e integridad los saldos en los estados financieros y de las transacciones que respaldan dichos saldos.

Pueden usarse para probar la existencia y

efectividad de un proceso definido, el

cual puede incluir una pista de evidencia documental y/o automatizada.

Pueden usarse para comprobar si hay

errores monetarios que afecten

directamente los saldos de los estados financieros u otros datos relevantes de la organización.

27/10/2010

27/10/2010 Existe una correlación directa entre el nivel de controles internos y la cantidad de pruebas
Existe una correlación directa entre el nivel de controles internos y la cantidad de pruebas
Existe una correlación directa entre el nivel de controles internos y la
cantidad de pruebas sustantivas requeridas.
Si los resultados de las pruebas a los controles (pruebas de
cumplimiento) revelaran la presencia de controles internos adecuados,
entonces el auditor tiene una justificación para minimizar los
procedimientos sustantivos.
Si la prueba a los controles revelara debilidades en los controles que
podrían generar dudas sobre la integridad, exactitud o validez de las
cuentas, las pruebas sustantivas pueden responder a esas dudas.
las pruebas sustantivas pueden responder a esas dudas. Derechos de acceso a usuarios Procedimientos de control
Derechos de acceso a usuarios Procedimientos de control de cambio de programas Procedimientos de documentación
Derechos de acceso a usuarios
Procedimientos de control de cambio de programas
Procedimientos de documentación
Documentación de programas
Excepciones de seguimiento
Revisión de registros
Auditorías de licencia de software

27/10/2010

27/10/2010 Desempeño de un cálculo complejo en una muestra de cuentas o una muestra de transacciones
Desempeño de un cálculo complejo en una muestra de cuentas o una muestra de transacciones
Desempeño de un cálculo
complejo en una muestra de
cuentas o una muestra de
transacciones para garantizar
una documentación de respaldo
complejo en una muestra de cuentas o una muestra de transacciones para garantizar una documentación de
complejo en una muestra de cuentas o una muestra de transacciones para garantizar una documentación de

27/10/2010

27/10/2010 Independencia del proveedor de la evidencia (las fuentes externas son más confiables) Objetividad de la
Independencia del proveedor de la evidencia (las fuentes externas son más confiables)
Independencia del
proveedor de la
evidencia (las fuentes
externas son más
confiables)
Objetividad de la evidencia
Objetividad de la
evidencia
Credenciales de la persona que suministra la información o evidencia
Credenciales de la
persona que suministra
la información o
evidencia
Tiempo de disponibilidad de la evidencia
Tiempo de
disponibilidad de la
evidencia
o evidencia Tiempo de disponibilidad de la evidencia Revisión de las estructuras organizacionales de SI
Revisión de las estructuras organizacionales de SI
Revisión de las
estructuras
organizacionales de SI

Revisión de la

documentación

de SI

Revisión de las políticas y procedimientos de SI
Revisión de las
políticas y
procedimientos de SI
Revisión de las normas de SI
Revisión de las normas
de SI
Entrevistas al personal apropiado Observación de procesos y desempeño de empleados (pe, fotografías)
Entrevistas al personal
apropiado
Observación de
procesos y desempeño
de empleados (pe,
fotografías)

27/10/2010

27/10/2010 Documentos de inicio del desarrollo de sistemas (pe, estudio de factibilidad) Planes e informes de
Documentos de inicio del desarrollo de sistemas (pe, estudio de factibilidad)
Documentos de inicio
del desarrollo de
sistemas (pe, estudio
de factibilidad)

Planes e informes de pruebasdel desarrollo de sistemas (pe, estudio de factibilidad) Manuales de operación Documentación suministrada por

Manuales de operación
Manuales de operación
Documentación suministrada por proveedores externos de aplicación
Documentación
suministrada por
proveedores externos
de aplicación
Programa y documentos de operaciones
Programa y
documentos de
operaciones
Documentos relacionados con la seguridad (pe, planes de seguridad, valoración del riesgo)
Documentos
relacionados con la
seguridad (pe, planes
de seguridad,
valoración del riesgo)
Contratos de nivel de servicio con proveedores externos de TI
Contratos de nivel de
servicio con
proveedores externos
de TI

Registro (logs) e historial de cambios a programasde nivel de servicio con proveedores externos de TI Requisitos funcionales y especificaciones de diseño

Requisitos funcionales y especificaciones de diseñode TI Registro (logs) e historial de cambios a programas Manuales de usuario Informes de Planes

Manuales de usuarioRequisitos funcionales y especificaciones de diseño Informes de Planes de continuidad del negocio

Informes de Planes de continuidad del negocio aseguramiento de calidad
Informes de
Planes de continuidad
del negocio
aseguramiento de
calidad
Reportes sobre métricas de seguridad
Reportes sobre
métricas de seguridad
de calidad Reportes sobre métricas de seguridad Ayuda a un auditor de SI a identificar •
Ayuda a un auditor de SI a identificar • Funciones reales • La persona realmente
Ayuda a un auditor de SI a identificar
• Funciones reales
• La persona realmente está haciendo el trabajo que se le asignó
• ¿Cómo se entienden y ponen en práctica las políticas y procedimientos?
• Procesos/procedimientos reales
Obtiene evidencia de cumplimiento o desviaciones
• Útil para los controles físicos
• Concientización sobre seguridad
Comprensión y práctica de buenas medidas de seguridad preventivas y de
detección para salvaguardar los activos y datos
• Líneas de reporte
Asegurar que se practiquen las responsabilidades asignadas y una adecuada
segregación de funciones

27/10/2010

27/10/2010 Usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas
Usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas
Usado cuando las
consideraciones
de tiempo y de
costo impiden una
verificación total
de todas las
transacciones o
eventos
Puede ser: Estadístico No estadístico: De criterio
Puede ser:
Estadístico
No estadístico:
De criterio
Puede ser: Estadístico No estadístico: De criterio Para determinar si las operaciones revisadas están bien
Para determinar si las operaciones revisadas están bien controladas y son efectivas Requiere juicio y
Para determinar si las operaciones revisadas están bien
controladas y son efectivas
Requiere juicio y experiencia del auditor
Debe valorar las fortalezas y debilidades de los controles
evaluados y luego determinar si son efectivos para cumplir
los objetivos de control establecidos en la planeación

27/10/2010

27/10/2010 Es la entrevista final que le provee al auditor de SI la oportunidad de discutir
Es la entrevista final que le provee al auditor de SI la oportunidad de discutir
Es la entrevista final que le provee al auditor
de SI la oportunidad de discutir los hallazgos
y las recomendaciones con la gerencia.
Los objetivos y el alcance de la auditoría
pueden ser discutidos y el proceso de
auditoría puede ser explicado.
discutidos y el proceso de auditoría puede ser explicado. El auditor de SI debería: • Asegurarse
El auditor de SI debería:
El auditor de SI debería:

Asegurarse de que los hechos presentados en

el informe estén correctos

Asegurarse de que las recomendaciones sean realistas y rentables, y si no lo fueran, buscar alternativas negociando con la gerencia del auditado

Sugerir fechas de implementación para las recomendaciones acordadas

27/10/2010

27/10/2010 Técnicas de presentación • Resumen ejecutivo: minimizar el uso de terminología compleja (perspectiva de
Técnicas de presentación
Técnicas de presentación

Resumen ejecutivo: minimizar el uso de terminología compleja (perspectiva de negocio); los anexos

pueden ser técnicos

Presentación visual: diapositivas o gráficos

• Presentación visual: diapositivas o gráficos Introducción: • Objetivos • Limitaciones y alcance
Introducción:
Introducción:

Objetivos Limitaciones y alcance Período cubierto

Declaración general sobre el carácter y la extensión de los procedimientos de auditoría realizados y los procesos

examinados durante la auditoría Declaración sobre la metodología de la auditoría y lineamientos seguidos

Incluir los hallazgos en anexos separados.
Incluir los hallazgos en anexos separados.

Se pueden agrupar en secciones por importancia y/o receptor previsto

Conclusión y opinión generales del auditor
Conclusión y opinión generales del auditor

Si los controles y procedimientos examinados son adecuados Sobre los riesgos potenciales detectados

Las reservas o calificaciones del auditor
Las reservas o calificaciones del auditor

Pueden declarar que se encontró que los controles o procedimientos examinados son adecuados o inadecuados

Los hallazgos detallados y las recomendaciones
Los hallazgos detallados y las recomendaciones

Decidir qué incluir

27/10/2010

27/10/2010 La planeación y preparación del alcance y objetivos de la auditoría La descripción y/o recorridos
La planeación y preparación del alcance y objetivos de la auditoría La descripción y/o recorridos
La planeación y preparación del alcance y objetivos de la auditoría
La descripción y/o recorridos en el área de auditoría vista
El programa de auditoría
Los pasos de auditoría realizados y la evidencia de auditoría recopilada
El uso de servicios de otros auditores y expertos
Los hallazgos, conclusiones y recomendaciones de auditoría
La documentación de auditoría relacionada con la identificación y fechas de documentos
relacionada con la identificación y fechas de documentos Fechados Relevantes Inicializados Completos Debidamente
Fechados
Fechados
Relevantes
Relevantes
Inicializados
Inicializados
Completos
Completos
Debidamente Archivados etiquetados
Debidamente
Archivados
etiquetados
Páginas numeradas
Páginas
numeradas
Claros
Claros
Mantenidos en custodia
Mantenidos
en custodia

27/10/2010

27/10/2010 Es el puente o interfaz entre los objetivos de auditoría y el reporte final Debería
Es el puente o interfaz entre los objetivos de auditoría y el reporte final Debería
Es el puente o interfaz entre los
objetivos de auditoría y el reporte
final
Debería apoyar los hallazgos y las
conclusiones y opiniones
entre los objetivos de auditoría y el reporte final Debería apoyar los hallazgos y las conclusiones