AUDITORÍA EXTERNA

A Es el examen crítico, sistemático y

U detallado de un sistema de información de
D
I una unidad económica, realizado por un
T Contador Público sin vínculos laborales con
O la misma, utilizando técnicas determinadas
R
I y con el objeto de emitir una opinión
A independiente sobre la forma como opera
E
X el sistema, el control interno del mismo y
T formular sugerencias para su mejoramiento.
E
R
N
A
A
U
D En General realizada la auditoria se
I
T obtiene:
O
R
I El dictamen u opinión independiente tiene
A trascendencia a los terceros, pues da
E plena validez a la información generada
X
T por el sistema ya que se produce bajo la
E figura de la Fe Pública, que obliga a los
R mismos a tener plena credibilidad en la
N
A información examinada.
 Objetivo de la Auditoría Externa
A
U  Obtención de elementos de juicio
D fundamentados en la naturaleza de los
I
T hechos examinados
O
R  Medición de la magnitud de un error ya
I conocido detección de errores supuestos o
A confirmación de la ausencia de errores.
E
X  Propuesta de sugerencias, en tono
T constructivo para ayudar a la gerencia.
E  Detección de los hechos importantes
R
N ocurridos tras el cierre de ejercicio.
A  Control de las actividades de investigación
y desarrollo.
 Razones para contratar Auditores
Externos
A  Necesidad de auditar una materia
U de gran especialización, para la
D cual los servicios propios no están
I
T suficientemente capacitados.
O
R
I  Contrastar algún Informe interno
A con el que resulte del externo, en
E aquellos supuestos de emisión
X
T interna de graves
E recomendaciones que chocan con
R la opinión generalizada de la
N
A propia empresa.
 Razones para contratar auditores
externos
A Cont.
U  Servir como mecanismo protector
D de posibles auditorías informáticas
I externas decretadas por la misma
T
O empresa.
R
I  Aunque la auditoría interna sea
A
E independiente del Departamento
X de Sistemas, sigue siendo la misma
T empresa, por lo tanto, es necesario
E
R que se le realicen auditorías
N externas como para tener una visión
A
desde afuera de la empresa.
 Auditoria Interna y Externa

D Existen diferencias substanciales entre

I la Auditoría Interna y la Auditoría
F Externa, algunas de las cuales se
E pueden detallar así:
R
E
N  En la Auditoría Interna existe un
vínculo laboral entre el auditor y la
C
empresa, mientras que en la
I
Auditoría Externa la relación es de
A tipo civil.
S
D Auditoria Interna y Externa:
I  En la Auditoría Interna el diagnóstico del
F auditor, esta destinado para la empresa;
E en el caso de la Auditoría Externa este
R dictamen se destina generalmente para
E terceras personas o sea ajena a la
N empresa.
C
I  La Auditoría Interna está inhabilitada para
A dar Fe Pública, debido a su vinculación
S contractual laboral, mientras la Auditoría
Externa tiene la facultad legal de dar Fe
Pública.
A
U
D Síntomas de Necesidad de una
I
T Auditoría de Sistema
O
R
I
A
E
X
T
E
R
N
A
 Síntomas de Necesidad de una
Auditoría
A
U
D Las empresas acuden a las auditorías
I externas cuando existen síntomas bien
T
O perceptibles de debilidad. Estos síntomas
R pueden agruparse en clases:
I
A
E 1. Síntomas de descoordinación y
X desorganización:
T
E
R  No coinciden los objetivos de la
N Informática de la Compañía y de la
A
propia Compañía.
 Síntomas de Necesidad de una
Auditoría Sistema
A
U
D
I
T • Los estándares de productividad se
O desvían sensiblemente de los promedios
R conseguidos habitualmente.
I
A [Puede ocurrir con algún cambio masivo
E de personal, o en una reestructuración
X fallida de alguna área o en la
T
E modificación de alguna Norma
R importante].
N
A
 2. Síntomas de mala imagen e insatisfacción
de los usuarios:

A • No se atienden las peticiones de

U
D cambios de los usuarios. Ejemplos:
I cambios de Software en los terminales
T de usuario, refrescamiento de paneles,
O
R variación de los ficheros que deben
I ponerse diariamente a su disposición,
A
E etc.
X
T • No se reparan las averías de Hardware
E
R ni se resuelven incidencias en plazos
N razonables. El usuario percibe que está
A abandonado y desatendido
permanentemente.
 2. Síntomas de mala imagen e insatisfacción
A de los usuarios:
U - No se atienden las peticiones de cambios
D
I de los usuarios. Ejemplos: cambios de
T Software en los terminales de usuario,
O
R refrescamiento de paneles, variación de
I los ficheros que deben ponerse
A diariamente a su disposición, etc.
E
X - No se reparan las averías de Hardware ni
T se resuelven incidencias en plazos
E razonables. El usuario percibe que está
R
N abandonado y desatendido
A permanentemente.
A 2. Síntomas de mala imagen e insatisfacción
U de los usuarios:
D
I
T - No se cumplen en todos los casos los
O plazos de entrega de resultados
R
I periódicos. Pequeñas desviaciones
A pueden causar importantes desajustes
E en la actividad del usuario, en especial
X
T en los resultados de Aplicaciones críticas
E y sensibles.
R
N
A
 3. Síntomas de debilidades económico-
financiero:
A
U - Incremento desmesurado de costes.
D
I
T - Necesidad de justificación de Inversiones
O
R Informáticas (la empresa no está
I absolutamente convencida de tal
A necesidad y decide contrastar opiniones).
E
X - Desviaciones Presupuestarias significativas.
T - Costes y plazos de nuevos proyectos
E (deben auditarse simultáneamente a
R
N Desarrollo de Proyectos y al órgano que
A realizó la petición).
 4. Síntomas de Inseguridad: Evaluación de nivel
de riesgos :
A
U - Seguridad Lógica- Seguridad Física –
D
I Confidencialidad: Los datos son propiedad
T inicialmente de la organización que los
O
R genera. Los datos de personal son
I especialmente confidenciales]
A
E
X - Continuidad del Servicio. Es un concepto
T aún más importante que la Seguridad.
E Establece las estrategias de continuidad
R
N entre fallos mediante Planes de
A Contingencia* Totales y Locales.
A 4. Síntomas de Inseguridad: Evaluación de
U nivel de riesgos :
D
I
T
O Centro de Proceso de Datos fuera de
R
I control. Si tal situación llegara a percibirse,
A sería prácticamente inútil la auditoría. Esa
E es la razón por la cual, en este caso, el
X
T síntoma debe ser sustituido por el mínimo
E indicio.
R
N
A - Planes de Contingencia
M
E
T
O
D METODOLOGÍAS DE AUDITORÍA
O INFORMÁTICA
L
O
G
Í
A
S Dexia Colmenárez

Auditoría de Sistemas de Información

 AUDITORÍA DE SISTEMAS
M
E
T • La metodología usada por el auditor
O interno debe ser diseñada y
D desarrollada por el propio auditor
O
L • Se basa en su grado de experiencia
O y habilidad
G • Se deben crear las metodologías
Í necesarias para auditar los distintos
A aspectos definidos en el plan auditor
S informático
Auditoría de Sistemas de Información
 PLAN AUDITOR INFORMÁTICO

M
E • Es el esquema metodológico más
T
importante del auditor informático
O
D • Describe todo sobre esta función y el
O trabajo que realiza
L
O
G
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • Las partes que lo componen deben ser al
menos las siguientes:
T
• Funciones
O
• Procedimientos
D
O • Tipos de auditorías que realiza
L • Sistema de evaluación
O • Nivel de exposición
G • Lista de distribución de informes
Í • Seguimiento de acciones correctoras
A • Plan de trabajo
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • FUNCIONES
T • Ubicación en el organigrama.
O • Deben describirse las funciones en forma
D precisa y la organización interna del
O departamento, con todos sus recursos
L
O
G
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E
T • PROCEDIMIENTOS
O • Para las distintas tareas de las auditorías
D • Definición de debilidades, entrega del
O informe preliminar, cierre de la auditoría,
L redacción del informe final, etc.
O
G
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • TIPOS DE AUDITORÍAS que realiza
T • Metodologías y cuestionarios de las mismas
O • Ejemplo: revisión de la seguridad física, de
D controles internos, de la aplicación de
O facturación, entre otros.
L • Existen tres tipos, según el alcance:
O • Full o Completa de un área
G
• Limitada a un aspecto
Í
A • Comprobación de acciones correctivas
S de auditorías anteriores (Corrective Action
Review)
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • SISTEMA DE EVALUACIÓN y los distintos
T aspectos que evalúa
O • Se deben definir varios aspectos (gestión
D económica, de RH, cumplimiento de normas)
O • Se debe realizar una evaluación global de
L resumen para toda la auditoría (Bien, Regular,
Mal, significando la visión del grado de
O gravedad)
G
• La evaluación determina la fecha de repetición
Í de la auditoría en el futuro, dependiendo del
A nivel de exposición encontrado.
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E
• NIVEL DE EXPOSICIÓN
T
O • Nos permite definir la fecha de repetición
D de una auditoría dependiendo de la
evaluación final de la última realizada
O
L • Puede significar la suma de factores como
O impacto, peso del área, situación de
G control en el área
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • LISTA DE DISTRIBUCIÓN DE INFORMES.
T • Se define la cantidad de informes con el
O resultado final de la auditoría que se van
D a distribuir
O
L
O
G
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E
T
O • SEGUIMIENTO DE ACCIONES CORRECTIVAS
D • Dependiendo de las acciones correctivas
O sugeridas en el informe final, se realiza un
L adecuado seguimiento.
O
G
Í
A
S
Auditoría de Sistemas de Información
 PARTES DEL PLAN AUDITOR
INFORMÁTICO
M
E • PLAN DE TRABAJO
T
• Se estiman tiempos y se realiza un
O calendario con horas de trabajo previstas
D
• Se definen los recursos que se necesitarán
O
L
O
G
Í
A
S
Auditoría de Sistemas de Información
M Las metodologías de
E auditoría informática son
T del tipo cualitativo-
O subjetivo. Están basadas
D
O
en profesionales de gran
L
nivel de experiencia y
O formación, capaces de
G dictar recomendaciones
Í técnicas, operativas y
A jurídicas
S
Auditoría de Sistemas de Información
I
N • Es el reporte que el auditor provee a
F
O las partes interesadas una vez
R finalizada la auditoría
M
E
D
E • Establece el alcance, objetivos,
A
U
período de cobertura, y la
D naturaleza y extensión del trabajo de
I
T
auditoría realizado.
O
R
Í
A

Auditoría de Sistemas de Información

I
N • Identifica la organización, las partes
F
O
interesadas y cualquier restricción
R acerca de su distribución.
M
E
D
E • Incluye resultados, conclusiones,
A recomendaciones y cualquier reserva
U
D o calificación que el auditor tenga
I respecto de la auditoría.
T
O
R
Í
A

Auditoría de Sistemas de Información

I
N • Es el medio formal para comunicar los
F objetivos de la auditoría, las normas
O
R de auditoría utilizadas, el alcance y
M
E
resultados, conclusiones y
D recomendaciones de la auditoría.
E
A • El reporte debe ser objetivo, claro,
U
D
conciso, constructivo y oportuno.
I
T
• Existen esquemas recomendados con
O los requisitos mínimos aconsejables
R respecto a estructura y contenido
Í
A

Auditoría de Sistemas de Información

I
N
F 1. Identificación del Informe
O
R
M 2. Identificación del cliente
E
D 3. Identificación de la entidad
E
A auditada
U
D
I
T
O
R
Í
A

Auditoría de Sistemas de Información

I 4. Objetivos de la auditoría informática
N
F • Declaración de los objetivos para
O
R identificar propósito.
M
E • Si algún objetivo no fue satisfecho,
D
E éste hecho debe notificarse en el
A
U reporte.
D
I 5. Normativa aplicada y excepciones
T
O • Identificación de normas legales
R
Í utilizadas, excepciones de uso y el
A posible impacto de los resultados
de la auditoría Auditoría de Sistemas de Información
 EL INFORME DE AUDITORÍA
I
6.
N Alcance de la Auditoría
F
O • Naturaleza y extensión del trabajo
R
M realizado
E
D • Identificación del área de auditoría y el
E
A período cubierto
U
D • Sistemas de información, aplicaciones o
I ambiente revisado
T
O
R • Limitaciones al alcance
Í
A • Restricciones del auditado
Auditoría de Sistemas de Información
I 7. Conclusiones
N
F
O • Es la evaluación del área auditada
R
M • Debe contener uno de los
E
D
siguientes tipos de opinión:
E favorable, con salvedades,
A
U desfavorable, denegada
D
I • Se deben expresar
T
O recomendaciones para acciones
R correctivas.
Í
A

Auditoría de Sistemas de Información

 DISTRIBUCIÓN DEL INFORME

I • El informe debe identificar al auditado e

N indicar la fecha de emisión de éste.
F
O • Especificar cuáles reportes son sólo para
R
M información, cuáles destinados a un grupo
E
D como los auditores, panel de directores,
E gerencia y cuáles son destinados a
A
U personas fuera de la institución (ejemplo,
D agencias de gobierno).
I
T • El reporte debe también declarar
O
R cualquier restricción que haya para su
Í
A distribución
Auditoría de Sistemas de Información