Documentos de Académico
Documentos de Profesional
Documentos de Cultura
AUDITORIA
GENERALMENTE
ACEPTADAS, (NAGAS).
CONCEPTO
Las Norma de Auditoría Generalmente Aceptadas (NAGAS), son
los principios fundamentales de Auditoría, a los que deben
enmarcarse su desempeño los auditores durante el proceso de su
realización.
Glosario de TÈrminos
NORMA INTERNACIONAL DE CONTROL DE CALIDAD 1 (ISQCs, 1)
Control de calidad para firmas que desempeÒan auditorÌas y revisiones
de informaciÛn financiera histÛrica, y otros trabajos para atestiguar y de
servicios relacionados
MARCO DE REFERENCIA
Marco de Referencia Internacional para trabajos para Atestiguar
AUDITORÕAS Y REVISIONES DE INFORMACI”N FINANCIERA
HISTORICA
C Control
OB OBjectives
I for Information
T and Related Technology
(Objetivos de Control para Tecnología de
Información y Tecnologías relacionadas)
COBIT es un marco creado por ISACA para la gestión y control de la
tecnología de la información (TI) y tecnologías relacionadas. COBIT es el
conjunto de mejores practicas enfocadas en la gestión y control de la TI y
de tecnologías relacionadas bajo un marco de control, seguridad y
gobierno de la información. Los dominios y procesos de este marco están
centrados en el control y no en la ejecución
COBIT es un marco de
gobierno de las COBIT enfatiza el
tecnologías de cumplimiento regulatorio,
información que COBIT permite el ayuda a las
proporciona una serie desarrollo de las organizaciones a
de herramientas para políticas y buenas incrementar su valor a
que la gerencia pueda prácticas para el control través de las
conectar los de las tecnologías en tecnologías, y permite su
requerimientos de toda la organización alineamiento con los
control con los aspectos objetivos del negocio
técnicos y los riesgos del
negocio
De la auditoría a un marco de gobierno de TI
Gobierno Corporativo de TI
Gobierno de TI
Evolución del Alcance
Val IT 2.0
(2008)
Administración
Control
Risk IT
(2009)
Auditoría
© 2012 ISACA. This work, and any derivatives thereof, may not be offer for sale alone or as part any other publication or product.
Marco Integrador
Satisfacer las
necesidades
Conductores de
de las partes valor para los
relacionadas
Interesados
Enfoque al
Separar el Cubrir la
empresa de
Negocio y su
gobierno de
la gestión extremo a Contexto para
Principios extremo
toda la
de COBIT organización
Fundamentado en
facilitadores
Aplicar un Estructurado de
Hacer posible marco de
un enfoque referencia manera separada
holístico único
aplicado para el Gobierno
y la Gestión
Procesos de TI
- Los Tres Niveles
Agrupación Natural de procesos,
Dominios normalmente corresponden a un
dominio o una responsabilidad
organizacional
Procesos
Conjuntos o series de actividades
unidas con delimitación o cortes de
control.
Actividades
Acciones requeridas para lograr un
o tareas resultado medible. Las Actividades
Tienen un ciclo de vida mientras
que las tareas son discretas.
Procesos de TI
- Dominios
Dominios
Procesos TI
Procesos
Actividades
OBJETIVOS DE
NEGOCIOS
PO1 definir un plan TI estratégico
PO2 definir la arquitectura de información
PO3 determinar la dirección tecnológica
PO4 definir la organización TI y relaciones
M1 monitorear los procesos PO5 administrar la inversión en TI
PO6 comunicar a gerencia metas y dirección
M2 evaluar adecuación de control
interno
M3 lograr garantía independiente
COBIT PO7 administrar recursos humanos
PO8 asegurar cumplimiento con
requerimientos externos
M4 disponer de auditoría interna PO9 evaluar riesgos
PO10 administrar proyectos
PO11 administrar calidad
INFORMACION
·
·
·
efectividad
eficiencia
confidencialidad
· integridad
· disponibilidad
MONITOREO · cumplimiento PLANIFICACION &
· confiabilidad ORGANIZACION
RECURSOS TI
ENTREGA & ADQUISICIÓN &
RESPALDO IMPLEMENTACION
· gente
· sistemas de
aplicaciones
· tecnología
· instalaciones
DS1 definir niveles de servicio ·
DS2 administrar servicios de terceros datos
DS3 administrar desempeño y capacidad
DS4 asegurar servicio continuo AI1 identificar soluciones
DS5 asegurar seguridad de sistemas
DS6 identificar y atribuir costos AI2 adquirir y mantener software de
DS7 adecuar y capacitar a usuarios aplicaciones
DS8 ayudar y aconsejar a clientes de TI AI3 adquirir y mantener arquitectura de
DS9 administrar la configuración tecnología
DS10 administrar problemas e incidentes AI4 desarrollar y mantener recursos TI
DS11 administrar datos
DS12 administrar instalaciones AI5 instalar y acreditar sistemas
DS13 administrar operaciones
AI6 administrar cambios
Por lo que COBIT mide el nivel de madurez de los
procesos relacionados con la TI y tecnologías
relacionadas, sin embargo, la última versión del
COBIT (COBIT 5), no utiliza un modelo propio para
determinar dicha madurez, sino que adopta el
modelo de la norma ISO 15504, también conocida
como SPICE (Software Process Improvement
Capability Determination). Este modelo presenta 6
niveles de capacidad:
1.Incompleto
2.Alcanzado
3.Gestionado
4.Establecido
5.Predecible
6.Optimizado
TÉCNICAS DE AUDITORÍA
ASISTIDAS POR
COMPUTADOR – TAAC’s
TAAC’s
Las TAAC’s son un conjunto Incluyen métodos y
de técnicas y herramientas procedimientos empleados
utilizados en el desarrollo de por el auditor para efectuar
las auditorias informáticas su trabajo y que pueden ser
con el fin de mejorar la administrativos, analíticos,
eficiencia, alcance y informáticos, entre otros; y,
confiabilidad de los análisis los cuales, son de suma
efectuados por el auditor, a importancia para el auditor
los sistemas y los datos de la informático cuando este
entidad auditada. realiza una auditoría.
El uso de los TAAC’s le permiten al auditor obtener
suficiente evidencia confiable sobre el cual, sustentar
sus observaciones y recomendaciones, lo que obliga
al auditor a desarrollar destrezas especiales en el
uso de estas técnicas, tales como: mayores
conocimientos informáticos, discernimiento en el uso
adecuado de las herramientas informáticas y
analíticas, eficiencia en la realización de los análisis,
etc.; sin dejar a un lado las técnicas tradicionales de
auditoría como son la inspección, observación,
confirmación, revisión, entre otros
Las TAAC's pueden ser usadas en:
Pruebas de detalles
• Recálcalos de intereses, extracción de ventas por
de transacciones y encima de cierto valor, etc
balances
Procedimientos • por ejemplo identificación de inconsistencias o
analíticos fluctuaciones significativas.
Recálculos
EL PROCESO DE AUDITORÍA DE LA INFORMACIÓN
• Antes de utilizar las taac’s el auditor debe diseñar la forma en que se va a llevar a
cabo el examen, mediante el establecimiento oportuno de los objetivos que busca el
examen, establecer los sistemas de información críticos de la organización y la
disponibilidad que se tiene para acceder a ellos, seleccionar los métodos y pruebas
a realizarse durante la ejecución del examen, definir los reportes que se deberán
generar como evidencias e informes de auditoria y otros procedimientos adicionales
necesarios para la ejecución exitosa del examen.
• Es necesario tener mucho cuidado respecto a la confidencialidad de los datos y
sistemas a los cuales acceda durante su revisión. Para ello, debe realizarse una
adecuada planificación, selección y diseño de las técnicas y herramientas a utilizar,
que permita tener una seguridad razonable sobre la efectividad, confiabilidad y
confidencialidad de los resultados que se vayan a obtener durante el examen.
AUDITANDO A TRAVÉS DEL COMPUTADOR
• Cuando se audita a través del computador, el auditor sigue
las pistas de auditoría a través de la fase de operaciones
internas o proceso automatizado de datos.
• Los intentos de verificación de los procesos de control
involucran el uso de Programas de SI.
• Los enfoques primarios son:
1) Programas de testeo,
2) Programas computarizado s de validación
3) Software de revisión de sistemas
4) Auditoría continua.
AUDITORÍA DENTRO DEL COMPUTADOR
Una de las ventajas más notorias de las taac’s es la versatilidad que estas
presentan para la realización del trabajo de campo de la auditoría, (se pueden
utilizar sin importar el tipo de organización, su tamaño, sus operaciones y sector del
mercado).
Para ello el auditor debe tener el suficiente discernimiento y experiencia
profesional para establecer la técnica o herramienta a utilizar.
El auditor dispone de una clasificación estandarizada respecto a las principales
taac’s aplicadas por auditores de todo el mundo:
Técnicas administrativas.
Técnicas para evaluar los controles de aplicaciones en producción.
Técnicas para análisis de transacciones.
Técnicas para análisis de datos.
Técnicas para análisis de aplicaciones.
DECLARACIONES
INTERNACIONALE
S DE PRACTICAS
DE AUDITORIA -
DIPA
LAS DIPAS Son guías de cumplimiento para
efectuar la auditoría mediante sistemas
integrados de cómputo para evaluar y
aplicar las técnicas necesarias.
Toda esta información será ingresada en
una base de datos en la computadora en
donde se procederá a evaluarse de una
manera más ágil y razonable. Esto nos
permitirá detectar deficiencias en las
organizaciones de informática y en los
sistemas que se desarrollan en ellas.
Importancia de las DIPAS en la Auditoria de Sistemas
radican en:
Evidencia de la auditoría:
Registros, declaraciones de hechos o
cualquier otra información que son
pertinentes para los criterios de auditoría
(3.2) y que son verificables.
Nota La evidencia de la auditoría puede ser cualitativa o cuantitativa.
[ISO 9000:2005, definición 3.9.4]
Hallazgos de la auditoría:
Resultados de la evaluación de la
evidencia de la auditoría recopilada
frente a los criterios de auditoría.
Nota 1 Los hallazgos de auditoría indican conformidad o no conformidad.
Nota 2 Los hallazgos de auditoría pueden llevar a la identificación de
oportunidades de mejora o al registro de mejores prácticas.
Nota 3 Si los criterios de auditoría son seleccionados de requisitos legales o
de otra índole, los hallazgos de auditoría se denominan “cumplimiento” o
“Incumplimiento”.
Nota 4. Adaptado de ISO 9000:2005, definición 3.9.5.
Conclusiones de la auditoría:
resultado de una auditoría, tras
considerar los objetivos de la auditoría
y todos los hallazgos de la auditoría.
Nota Adaptado de ISO 9000:2005, definición 3.9.6.
¨Proceso sistemático,
independiente y documentado, para
obtener evidencias de la auditoría y
evaluarlas de manera objetiva con el fin
de determinar la extensión en que se
cumplen los criterios de auditoría¨
(ISO 19011)
Sistemático • Conjunto de procedimientos o pasos lógicos y organizados
NormaISO14001:2015.SistemadeGesti
ónAmbiental.