Está en la página 1de 31

Auditora de Tecnologas de

Informacin

Premisa
Dotar a la auditora de una actitud
proactiva que permita proporcionar
un valor agregado al servicio que
presta a sus clientes, el mismo que
hasta la fecha parece no haberse
logrado

ITGI 2004 - not for commercial use.

Auditora de Tecnologas de
Informacin

Socializacin del slabo

ITGI 2004 - not for commercial use.

Auditora de Tecnologas de
Informacin

Antecedentes
Orgenes
auditory
Inicialmente, informar sobre cualquier
irregularidad en las operaciones y
mantener un balance adecuado de ellas
Ahora su papel ha pasado de ser un
detector de problemas a un identificador
de oportunidades y emisor de propuestas

de valor
ITGI 2004 - not for commercial use.

Auditora en general, definicin

La disciplina que mediante tcnicas y


procedimientos aplicados en una
organizacin por personas independientes
de la operacin de la misma, evalan el
cumplimiento de los objetivos
institucionales, emite una opinin al
respecto y efecta recomendaciones para
mejorar el nivel de cumplimiento de
dichos objetivos.
ITGI 2004 - not for commercial use.

Significado de la definicin de
Auditora
Es una disciplina
Es aplicada por personas independientes de
la operacin
Busca evaluar el cumplimiento de los
objetivos institucionales
Emite un juicio sobre el cumplimiento de los
objetivos
Efecta recomendaciones

ITGI 2004 - not for commercial use.

Cmo definir la Auditora de


TI?
Es decir, cmo convertir la anterior
definicin en una definicin de auditora de
TI
Qu cambiaran?
Dnde cambiaran?
O necesitamos una nueva definicin?

ITGI 2004 - not for commercial use.

Auditora en general, definicin

La disciplina que mediante tcnicas y


procedimientos aplicados en una
organizacin por personas independientes
de la operacin de la misma, evalan el
cumplimiento de los objetivos
institucionales, emite una opinin al
respecto y efecta recomendaciones para
mejorar el nivel de cumplimiento de
dichos objetivos.
ITGI 2004 - not for commercial use.

Auditora de TI, definicin

La disciplina que mediante tcnicas y


procedimientos aplicados en una
organizacin por personas independientes
de la operacin de la misma, evala la
funcin de tecnologa de informacin y su
contribucin al cumplimiento de los
objetivos institucionales, emite una
opinin al respecto y efecta
recomendaciones para mejorar el nivel de
cumplimiento de dichos objetivos.
ITGI 2004 - not for commercial use.

Clasificacin de la auditora

A. externa

Mediante contrato con


auditores
independientes de la
empresa

Con base a
quien la
realiza

A. interna

ITGI 2004 - not for commercial use.

Auditores empleados
formalmente por la
empresa

Auditora externa

Auditores son independientes


Relacin se limita a un contrato
Antigua y exitosa. Razones:
Alto nivel tcnico alcanzado por las firmas de
auditora
Exigida como aval reconocido
Legislacin de muchos gobiernos las exige

Price WaterhouseCoopers, Arthur


Andersen, Ernst and Young, Deloitte and
Touch, KPMG-Peat Marwick
ITGI 2004 - not for commercial use.

10

Auditora interna
Auditores son empleados de las empresa
Ajenos a la operacin de la misma
Elemento fundamental de los sistemas de
administracin
Orientacin
Eficiencia operativa
Cumplimiento de normatividad

Reporta
Directorio

Ejemplos
Citybank, mundo
Contralora General, SBS, Per
ITGI 2004 - not for commercial use.

11

Clasificacin de la auditora

Financiera

Con base en
los objetivos

Administrativa

Integral

ITGI 2004 - not for commercial use.

Opinin sobre los


estados financieros

Evaluacin de
eficiencia y
productividad de las
operaciones

Financiera, proteccin
activos, eficiencia y
eficacia,
normatividad,etc
12

Dnde encaja la auditora de


TI?
Tipo

Auditora de TI

Externa

Interna

Financiera

Administrativa

Integral

ITGI 2004 - not for commercial use.

13

Estructura del Proceso de Auditora


segn COBIT

Identificacion
y
Documentacin

Evaluacin

Pruebas de
Cumplimiento

ITGI 2004 - not for commercial use.

Pruebas
Sustantivas

14

Otra versin del proceso de


auditora
Actividades
Planeacin

Anlisis y evaluacin
del CI
Aplicacin de pruebas
Informe
Seguimiento

ITGI 2004 - not for commercial use.

S
U
P
E
R
V
I
S
I

15

Planeacin de la auditora

1. Qu da inicio a la P. de la auditora?
2. Por qu es necesario planificar la auditora?
3. Qu informacin necesitamos para la P?
4. Para qu nos servira la anterior informacin?
5. Por qu es importante una buena P?
6. Cules son los productos de la planeacin?

ITGI 2004 - not for commercial use.

16

Planeacin de la auditora
Parte de un requerimiento inicial
Obtener entendimiento general
Caractersticas del negocio, infraestructura
tecnolgica, sistemas de informacin, reas
de riesgos, objetivos estratgicos, otros
asuntos

Determinar
Procedimientos, personal responsables,
fechas y duracin aproximada
ITGI 2004 - not for commercial use.

17

Analizar y evaluar el CI

Recordemos primero las definiciones de control ya vis


Definicin de
Control

Las politicas, procedimientos, prcticas y estructuras


organizacionales diseadas para proporcionar certeza
razonable de la consecucin de los objetivos de negocios
y prevencin, deteccin o correccin de eventos
indeseables

Definicin de
Objetivo de
Control de TI

Un enunciado del resultado deseado o propsito a lograr


mediante la implementacin de prcticas de control en una
actividad particular de TI

ITGI 2004 - not for commercial use.

18

Analizar y evaluar el CI
Plan auditora deviene en programa de

trabajo especfico para evaluar los


procedimientos de control
Cmo? Mediante entrevistas,

observacin, inspeccin documental


Informacin obtenida se documenta
Utiliza para fundamentar anlisis sobre

efectividad y eficiencia del control


ITGI 2004 - not for commercial use.

19

Aplicar pruebas de
auditora
Pruebas de cumplimiento
Comprobar los procesos de trabajo de la empresa,

particularmente los de TI
Ratificar o rectificar el juicio preliminar
Ejemplos:

Pruebas sustantivas
Evaluar los productos de los procesos de trabajo
Se expresan en informacin
Aplicables a los SI o a la infraestructura tecnolgica
Ejemplos:

ITGI 2004 - not for commercial use.

20

Aplicar pruebas de
auditora
Resultados:
Adecuacin y confiabilidad del control

interno con pruebas de cumplimiento


Medida en que se logran los objetivos

a cuyo cumplimiento estn orientados


los procedimientos de control, con
pruebas sustantivas

ITGI 2004 - not for commercial use.

21

Informar sobre los


resultados
Elaborar un informe sobre su trabajo,

los resultados del mismo,


conclusiones y recomendaciones
Presentar su opinin, abstenerse de

la misma o presentar una opinin


negativa
Sealar si hubo limitaciones
ITGI 2004 - not for commercial use.

22

Efectuar seguimiento
Las recomendaciones se convierten

en compromisos para las reas de


auditora
El auditor deber efectuar revisiones

de seguimiento

ITGI 2004 - not for commercial use.

23

Supervisar el trabajo
Actividad permanente
El auditor ser el principal

responsable del trabajo realizado por


su equipo

ITGI 2004 - not for commercial use.

24

Stakeholders o interesados
Empresa
Accionistas
Administracin
Proveedores

Empleados
Gobierno

Clientes
Auditora
Comunidad

Inversionistas
ITGI 2004 - not for commercial use.

25

Procedimientos y tcnicas
de AI
Procedimiento
Definicin
Pruebas

Tcnicas
Manuales
Aplicadas a la tecnologa
Asistidas por la tecnologa

ITGI 2004 - not for commercial use.

26

Tcnicas manuales
Inspeccin documental
Entrevistas
Encuestas
Niveles de satisfaccin

Sesiones facilitadas (focus groups)


Certificacin
Confirmacin
Circularizacin

Tcnicas de Ingeniera de Informacin


ITGI 2004 - not for commercial use.

27

Tcnicas aplicadas a la
tecnologa
Sirven para evaluar el componente

tecnolgico del CI y no sus productos o


resultados
Ejemplos. La evaluacin o medicin de:
la capacidad de un computador para
manejar altos volmenes de tx
la velocidad y consistencia de un canal
de comunicaciones
La eficiencia y exactitud de los lectores
pticos

ITGI 2004 - not for commercial use.

28

CAAT? o TAAC
Qu son? para qu sirven?

Computer assited audit techiques


Asistir en la evaluacin de la
efectividad del
CI mediante el examen de sus
productos o
resultados
Formas de implementacin:
Utilizando equipo e instalaciones de la
propia empresa mediante programas de
utilera, reporteadores o software
especializado de auditora
ITGI 2004 - not for commercial use.

29

Tcnicas ms utilizadas
Programas controlados

Mapeo y rastreo de programas


Anlisis de cdigo de programas
Ambiente de prueba
Ambiente integrado de prueba (ITF,

ingls)

Anlisis de bitcoras (logs)


Simulacin paralela
Cdigo de auditora integrado
Anlisis de datos
utilidad
Programas de
ITGI 2004 - not for commercial use.

30

Planeacin de la auditora
Dos situaciones
Planificar el trabajo de todo un ao
Planificar una auditora especfica

ITGI 2004 - not for commercial use.

31