planeaciÓn de la auditoria en informÁtica
TRANSCRIPT
PLANEACIÓN DE LA AUDITORIA
EN INFORMÁTICA
Objetivos
• Conocerá las distintas fases que comprende la auditoría en informática.
• Comprenderá la importancia en el trabajo de auditoría de la planeación, examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.
FASES DE LA AUDITORÍA
La auditoría en informática es el
proceso de recolección y
evaluación de evidencias para
determinar cuándo son
salvaguardados los activos de
los sistemas computarizados,
de que manera se mantiene la
integridad de los datos y como
se logran los objetivos de la
organización eficazmente y se
usan los recursos consumidos
eficientemente.
FASES DE LA AUDITORÍA
La auditoría interna tiene el
objetivo de apoyar a los
miembros de la
organización en el
desempeño de sus
responsabilidades.
FASES DE LA AUDITORÍA
Los auditores internos son
responsables de
proporcionar información
acerca de la adecuación
y efectividad del sistema
de control interno de la
organización y de la
calidad de la gestión
FASES DE LA AUDITORÍA
El auditor interno debe ser independiente de las actividades que audita.
Las normas de auditoría interna comprenden:
• Las actividades auditadas y la objetividad de los auditores internos.
FASES DE LA AUDITORÍA
• El conocimiento técnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su función.
• El alcance del trabajo de auditoría interna en el área de informática.
• El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditoría a informática
FASES DE LA AUDITORÍA
Los auditores deben ser independiente y con un buen criterio para no tomar decisiones subjetivas.
La objetividad es una actitud de independencia mental que los auditores internos deben mantener al realizar las auditorias.
FASES DE LA AUDITORÍA
El departamento de
auditoría interna deberá
asignar a cada auditoría a
aquellas personas que en
su conjunto posean los
conocimientos, la
experiencia y la disciplina
necesarios para conducir
apropiadamente la
auditoría.
FASES DE LA AUDITORÍA
El departamento de
auditoría interna deberá
asegurarse:
• Que las auditorias sean
supervisadas en forma
apropiada. La supervisión
es un proceso continuo
que comienza con la
planeación y termina con
el trabajo de auditoría.
FASES DE LA AUDITORÍA
• Que los informes de auditoría
sean precisos, objetivos, claros,
concisos, constructivos y
oportunos.
• Que se cumplan los objetivos
de la auditoría.
• Que la auditoría sea
debidamente documentada y
que se conserve la evidencia
apropiada de la supervisión.
FASES DE LA AUDITORÍA
• Que los auditores cumplan
con las normas
profesionales de
conducta.
• Que los auditores en
informática posean los
conocimientos,
experiencias y disciplinas
esenciales para realizar sus
auditorias.
FASES DE LA AUDITORÍA
Cada auditor interno
requiere de ciertos
conocimientos y
experiencias:
• Se requiere pericia en la
aplicación de las normas,
procedimientos y técnicas
de auditoría interna para
el desarrollo de las
revisiones.
FASES DE LA AUDITORÍA
• Tener la habilidad para
aplicar conocimiento a
posibles situaciones que se
presenten, reconocer las
desviaciones significativas
y poder llevar a cabo las
investigaciones necesarias
para alcanzar soluciones
razonables.
FASES DE LA AUDITORÍA
Los auditores deberán evaluar si
el empleo de los recursos se
realiza de forma económica y
eficiente.
La administración es responsable
de establecer los estándares
de operación para medir la
eficiencia y economía en el uso
de los recursos.
FASES DE LA AUDITORÍA
Los auditores internos son
responsables de determinar si:
• Los estándares para medir la
economía y la eficiencia en el
uso de los recursos son los
adecuados.
• Los estándares de operación
establecidos han sido
entendidos y se cumplen.
FASES DE LA AUDITORÍA
• Las desviaciones a los
estándares de operación se
identifican, analizan y se
comunican a los responsables
para que se tomen las medidas
correctivas.
• Se toman las medidas
correctivas.
FASES DE LA AUDITORÍA
Las auditorias relacionadas
con el uso económico y
eficiente de los recursos
deberán i9dentificar
situaciones tales como:
• Subutilización de
instalaciones.
• Trabajo no productivos.
FASES DE LA AUDITORÍA
• Procedimientos que no
justifican su costo.
• Exceso o insuficiencia de
personal.
• Uso indebido de las
instalaciones.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
El trabajo de auditoría
deberá incluir la
planeación de la
auditoría, el examen y la
evaluación de la
información, la
comunicación de los
resultados y el
seguimiento.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
La planeación deberá ser documentada e incluirá:
• El establecimiento de los objetivos y el alcance del trabajo.
• La obtención de información de apoyo sobre las actividades que se auditarán.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
• La determinación de los
recursos necesarios para
realizar la auditoría.
• La determinación de los
recursos necesarios para
realizar la auditoría.
• El establecimiento de la
comunicación necesaria con
todos los que estarán
involucrados en la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
• La realización, en la forma más
apropiada, de una inspección
física para familiarizarse con las
actividades y controles a
auditar, así como identificación
de las áreas en las que se
deberá hacer énfasis al realizar
la auditoría y promover
comentarios y la promoción de
los auditados.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
• La preparación por escrito del programa de auditoría.
• La determinación de cómo, cuándo y a quién se le comunicarán los resultados de la auditoría.
• La obtención de la aprobación del plan de trabajo de la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
En el caso de la auditoría en
informática, la planeación es
fundamental, pues habrá que
hacerla desde el punto de vista
de varios objetivos:
• Evaluación administrativa del
área de procesos electrónicos.
• Evaluación de los sistemas y
procedimientos.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
• Evaluación de los equipos
de cómputo.
• Evaluación del proceso de
datos, de los sistemas y de
los equipos de cómputo
(software, hardware,
redes, bases de datos,
comunicaciones).
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
• Seguridad y
confidencialidad de la
información.
• Aspectos legales de los
sistemas y de la
información.
PLANEACIÓN DE LA AUDITORÍA EN
INFORMÁTICA
El proceso de planeación comprende el establecer:
• Metas.
• Programas de trabajo de auditoría.
• Planes de contratación de personal y presupuesto financiero.
• Informes de actividades.
REVISIÓN PRELIMINAR
El primer paso en el
desarrollo de la auditoría,
después de la planeación,
es la revisión preliminar del
área de informática.
REVISIÓN PRELIMINAR
El objetivo de la revisión
preliminar es el de obtener
la información necesaria
para que el auditor pueda
tomar la decisión de cómo
proceder en la auditoría.
REVISIÓN PRELIMINAR
Al terminar la revisión preliminar el
auditor puede proceder en
uno de los tres caminos
siguientes:
1. Diseño de la auditoría. Puede
haber problemas debido a la
falta de competencia técnica
para realizar la auditoría.
REVISIÓN PRELIMINAR
2. Realizar una revisión detallada de los controles
internos de los sistemas con
la esperanza de que se
deposite la confianza en los controles de los sistemas y
de que una serie de
pruebas sustantivas puedan
reducir las consecuencias.
REVISIÓN PRELIMINAR
La RP significa la recolección de evidencias por medio
de: (1) entrevistas con el
personal de la instalación,
(2) la observación de las actividades en la
instalación y (3) la revisión
de la documentación
preliminar.
REVISIÓN PRELIMINAR
Las evidencias se pueden
recolectar por medio de:
• Cuestionarios iniciales
• Entrevistas
• Documentación narrativa
REVISIÓN PRELIMINAR
Debemos considerar que
ésta será solo una
información inicial que
nos permitirá elaborar el
plan de trabajo, la cual
se profundizará en el
desarrollo de la auditoría.
REVISIÓN DETALLADA
Los objetivos de la fase
detallada son los de
obtener la información
necesaria para que el
auditor tenga un
profundo entendimiento
de los controles usados
dentro del área de
informática.
REVISIÓN DETALLADA
En la fase de evaluación
detallada es importante
para el auditor identificar
las causas de las pérdidas
existentes dentro de la
instalación y los controles
para reducir las pérdidas
y los efectos causados
por éstas.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
Los auditores deberán
obtener, analizar,
interpretar y documentar
la información para
apoyar los resultados de
la auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
El proceso de examen y
evaluación de la información
es el siguiente:
• Se deben obtener la
información de todos los
asuntos relacionados con los
objetivos y alcances de la
auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
• La información deberá
ser suficiente,
competente, relevante y
útil para que proporcione
bases sólidas en relación
con los hallazgos y
recomendaciones de la
auditoría.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
• Los procedimientos de
auditoría, incluyendo el
empleo de las técnicas de
pruebas selectivas y el
muestreo estadístico, deberán
ser elegidos con anterioridad,
cuando esto sea posible, y
ampliarse o modificarse
cuando las circunstancias lo
requieran.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
• El proceso de recabar,
analizar, interpretar y
documentar la información
deberá supervisarse para
proporcionar una seguridad
razonable de que la
objetividad del auditor se
mantuvo y que las metas de
auditoría se cumplieron.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
• Los documentos de trabajo de la auditoría, deberán sewr preparados por los auditores y revisados por la gerencia de auditoría. Estos documentos deberán registrar la información obtenida y el análisis realizado, y deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que se harán.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
El auditor deberá discutir las conclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final.
La opinión de los auditados respecto a este informe se los puede incluir como anexos.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
El director de auditoría en informática deberá establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar:
• Descripciones de los puestos de cada nivel de auditoría en informática.
• Selección de los individuos calificados y competentes.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
• Entrenamiento y oportunidad
de capacitación profesional
continua para todos y cada
uno de los auditores.
• Evaluación del trabajo de
cada uno de los auditores por
lo menos una vez al año.
• Asesoría a los auditores en lo
referente a su trabajo y a su
desarrollo profesional.
EXAMEN Y EVALUACIÓN DE LA
INFORMACIÓN
La supervisión del trabajo de los auditores en informática deberá llevarse a cabo continuamente para asegurarse de que está trabajando de acuerdo con las normas, políticas y programas de auditoría en informática.
PRUEBAS DE CONSENTIMIENTO
El objetivo de la fase de prueba
de consentimiento es el de
determinar si los controles
internos operan como fueron
diseñados para operar. El
auditor debe determinar si los
controles declarados en
realidad existen y si realmente
trabajan confiablemente.
PRUEBAS DE CONTROLES DEL
USUARIO
En algunos casos el auditor
puede decidir el no confiar en
los controles internos dentro
de las instalaciones
informáticas, porque el
usuario ejerce controles que
compensan cualquier
debilidad dentro de los
controles internos de
informática.
PRUEBAS DE CONTROLES DEL
USUARIO
Estas pruebas que
compensan las
deficiencias de los
controles internos se
pueden realizar mediante
cuestionarios, entrevistas,
vistas y evaluación
hechas directamente con
los usuarios.
PRUEBAS SUSTANTIVAS
El objetivo de la fase de pruebas
sustantivas es obtener
evidencia suficiente que
permita al auditor emitir su
juicio en las conclusiones
acerca de cuándo pueden
ocurrir pérdidas materiales
durante el procesamiento de
la información.
PRUEBAS SUSTANTIVAS
Se pueden identificar ocho
diferentes pruebas sustantivas:
• Pruebas para identificar
errores en el procesamiento o
de falta de seguridad o
confidencialidad.
• Pruebas para asegurar la
calidad de los datos.
PRUEBAS SUSTANTIVAS
• Pruebas para identificar la
inconsistencia de los datos.
• Pruebas para comparar con
los datos o contadores físicos.
• Confirmación de datos con
fuentes externas
PRUEBAS SUSTANTIVAS
• Pruebas para confirmar la adecuada comunicación.
• Pruebas para determinar
falta de seguridad.
• Pruebas para determinar
problemas de legalidad.
PRUEBAS SUSTANTIVAS
El auditor debe participar en tres estados del sistema:
• Durante la fase del diseño del sistema.
• Durante la fase de operación.
• Durante la fase posterior a la auditoría.
PRUEBAS SUSTANTIVAS
El que el auditor participe en el
diseño del sistemas pueda
afectar a la independencia
del mismo, existen formas en
las cuales se puede eliminar
esto:
• Aumentando los
conocimientos en informática
del auditor.
PRUEBAS SUSTANTIVAS
• Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al posterior a la auditoría.
• Crear una sección de auditoría en informática dentro del departamento de auditoría interna, especializado en auditoría en informática.
• Obtener mayor soporte de la alta gerencia.
PRUEBAS SUSTANTIVAS
Realizar una auditoría en
informática es un trabajo
complejo. Para ello, para
lograr los objetivos, el auditor
necesita dividir los sistemas en
una serie de subsistemas,
identificando los
componentes que realizan las
actividades básicas de cada
subsistema.
PRUEBAS SUSTANTIVAS
Evaluar la confianza de
cada componente, y la
de los subsistemas, y en
forma agregada evaluar
cada subsistema hasta
llegara a una evaluación
global sobre la confianza
total del sistema.
PRUEBAS SUSTANTIVAS
“La suma de los óptimos
parciales de los
subsistemas no es igual al
óptimo del sistema, pero
nos da una buena
aproximación.”
PRUEBAS SUSTANTIVAS
Investigación
detallada Prueba los
controles
críticos
Pruebas
sustantivas
Invesigación
Preliminar
Conclusión
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Una de las formas de evaluar la
importancia que puede tener
para la organización de un
determinado sistema, es
considerar el riesgo que
implica el que no sea utilizado
adecuadamente, la pérdida
de la información o bien el
que sea usado por personal
ajeno a la organización
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Algunos sistemas de aplicaciones
son de más alto riesgo que
otros debido a que:
• Son susceptibles a diferentes
tipos de pérdida económica.
Ejemplo: Fraudes y desfalcos
entre los cuales están los
sistemas financieros
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
Las fallas pueden impactar grandemente a la organización.
Ejemplo: Una falla en el procesamiento de la nómina puede tener como consecuencia una huelga.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
• Interfieren con otros
sistemas, y los errores
generados inciden a otros
sistemas.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
• Potencialmente, alto riesgo debido a daños en la competencia. Algunos sistemas le dan a la organización un nivel competitivo muy alto dentro del mercado.
Ejemplo: Sistemas de planeación estratégica. Patentes. Derechos de autor, los cuales son las mayores fuentes de recursos de la organización. Otros a través de los cuales su pérdida puede destruir la imagen de la organización.
EVALUACIÓN DE LOS SISTEMAS DE
ACUERDO AL RIESGO
• Sistemas de tecnología de punta o avanzada. Si los sistemas utilizan tecnología avanzada o de punta.
Ejemplo: Sistemas de base de datos, sistemas distribuidos o de comunicación, tecnología sobre la cual la organización tenga muy poca experiencia o respaldo, la cual es más probable que sea una fuente de problemas de control.