Академический Документы
Профессиональный Документы
Культура Документы
Contenido
1. 2.
3. 4.
5.
6. 7.
Normas y Directrices para la Auditora de SI Anlisis de Riesgos Controles Internos Metodologa de Auditora de SI Tendencias en Auditora
Auditora en Tecnologa I 2
I. Fundamentos de Auditora
1. Conceptos Clave
Auditora: La recopilacin y evaluacin de datos sobre informacin de una entidad para determinar e informar sobre el grado de correspondencia entre la informacin y los criterios establecidos. La auditora debe ser realizada por una persona competente e independiente [Gustavo Alonso Cepeda]. Es el examen objetivo, sistemtico y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones [Kell Zeigler]. Servicios de Expresin de Opinin: Se refieren a la diversa gama de servicios que prestan los Contadores Pblicos Autorizados. Principalmente los servicios de auditora y de expresin de opinin. Principios de Contabilidad Generalmente Aceptados: Normas que establecen organismos de regulacin y que son aceptados por los contadores para preparar informes financieros adecuados. (NIIFs)
10/03/2012
Auditora en Tecnologa I
10/03/2012
Auditora en Tecnologa I
I. Fundamentos de Auditora
2. Conceptos Auditora de Sistemas Tecnolgicos
El proceso de recoleccin y evaluacin de evidencia para determinar si un sistema automatizado:
Dao Destruccin Uso no autorizado Robo
Salvaguarda activos
08/10/2010
Auditora en Tecnologa I
I. Fundamentos de Auditora
2. Conceptos Auditora de Sistemas Tecnolgicos
Es el examen o revisin de carcter objetivo (independiente), crtico (evidencia), sistemtico (normas), selectivo (muestras) de las polticas, normas, prcticas, funciones, procesos, procedimientos e informes relacionados con los sistemas de tecnologa de informacin, con el fin de emitir una opinin profesional (imparcial) con respecto a: Eficiencia en el uso de los recursos informticos Validez de la informacin Efectividad de los controles establecidos
08/10/2010
Auditora en Tecnologa I
I. Fundamentos de Auditora
3. Tipos de Auditora
Auditora Interna: Cuando es ejecutada por auditores internos que tienen la condicin de empleados de la entidad. La auditora interna es un elemento del sistema de control interno de una entidad, ejecutada como un servicio a la alta direccin, destinada a salvaguardar los recursos, verificar la exactitud y veracidad de la informacin de las operaciones, estimular la observancia de las polticas previstas y lograr el cumplimiento de las metas y objetivos programados. Auditora Externa: Es practicada por profesionales independientes a la entidad sujeta a examen, con el objeto de emitir un juicio sobre la razonabilidad de los estados financieros, la misma que es realizada por firmas privadas de auditora contratadas para el efecto o por auditores de la Contralora (en el caso del sector pblico)
10/03/2012
Auditora en Tecnologa I
I. Fundamentos de Auditora
4. Normas de Auditora Generalmente Aceptadas (NAGAs)
Principios bsicos que deben guiar el desempeo de los auditores durante el proceso de la auditoria. Calidad del trabajo profesional del auditor. Emitidas originalmente por el Comit de Auditora del Instituto Americano de Contadores Pblicos de EEUU (AICPA) en 1948. (Statement on Auditing Standard SAS). Normas Generales o Personales
Cuidado o esmero profesional Planeamiento y Supervisin Estudio y Evaluacin del Control Interno Evidencia Suficiente y Competente Aplicacin de los Principios de Contabilidad Generalmente Aceptados Consistencia Revelacin Suficiente Opinin del Auditor
Auditora en Tecnologa I 8
10/03/2012
I. Fundamentos de Auditora
5. Normas Internacionales de Auditora y Aseguramiento (NIAA)
Son un conjunto de principios, reglas o procedimientos que obligatoriamente debe seguir el profesional Contador Pblico que se dedique a labores de auditoria de estados financieros, con la finalidad de evaluar de una manera razonable y confiable la situacin financiera de la empresa o ente por l auditados, y en base de aquello le permita emitir su opinin en forma independiente con criterio y juicio profesionales acertados. El IFAC (Internacional Federation of Accountants) cre el Comit IAASB (Internacional Auditing and Assurance Standards Board) con el fin uniformizar las prcticas de auditora y servicios relacionados. El IASSB emite las NIAs, usadas para reportar sobre confiabilidad de informacin preparada bajo NIIFs, Estndares Internacionales para trabajos de aseguramiento (ISAE), Control de Calidad (ISQC), y servicios relacionados (ISRS).
10/03/2012
Auditora en Tecnologa I
I. Fundamentos de Auditora
5. 1 Aplicacin de las Normas de Auditora en el Ecuador
SECTOR PRIVADO NO FINANCIERO:
1.
2. 3. 4. 5.
Disposiciones sealadas por la Superintendencia de Bancos y Seguros Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Internacionales de Auditora (NIAs) Normas Internacionales para Ejercicio Profesional de la Auditora Interna Directrices de Auditora del ISACA
2.
3.
Normas Ecuatorianas de Auditora Gubernamental (NEAGs) Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Ecuatorianas de Auditora (NEAs)
Disposiciones sealadas por la Superintendencia de Bancos y Seguros Normas Ecuatorianas de Auditora Gubernamental (NEAGs) Normas de Auditora Generalmente Aceptadas (NAGAs) Normas Internacionales de Auditora (NIAs)
10/03/2012
Auditora en Tecnologa I
10
I. Fundamentos de Auditora
6. Riesgo de Auditora y Evidencia
Riesgo de Auditora: es el riesgo de que los auditores emitan una opinin o criterio en su informe sobre la auditora realizada, que contenga desviaciones sustanciales respecto de la realidad del cliente, rea o proceso en revisin. El riesgo de auditora se reduce con la reunin de la evidencia, mientras ms competente sea la evidencia, menor es el riesgo de auditora asumido. El riesgo de auditora a su vez comprende los siguientes:
Riesgo Inherente: es la posibilidad de un error material en una afirmacin antes de evaluar o examinar el control interno del cliente. Riesgo de Control: es el riesgo de que el control interno del cliente no haya evitado o detectado un error en forma oportuna. Riesgo de Deteccin: es el riesgo de que los auditores no descubran los errores al aplicar sus procedimientos. El riesgo de deteccin se limita efectuando pruebas sustantivas.
Evidencia de Auditora: conjunto de hechos comprobados, suficientes, competentes y pertinentes que sustentan las conclusiones del auditor.
10/03/2012
Auditora en Tecnologa I
11
08/10/2010
Auditora en Tecnologa I
12
10/03/2012
Auditora en Tecnologa I
13
I. Fundamentos de Auditora
8. Procedimientos de Auditora
Los auditores realizan procedimientos para obtener evidencia sobre lo que estn revisando. En el caso de una auditora financiera por ejemplo, ver si los estados financieros del cliente se ajustan a los principios de contabilidad generalmente aceptados. Estos procedimientos hacen uso de las tcnicas de auditora, as por ejemplo:
1. 2. 3. 4.
Realizar una inspeccin del inventario de la compaa. Observar el proceso de produccin de materiales. Realizar una entrevista para conocer el estado de proyectos estratgicos. Comprobar la legalidad de las facturas de venta generadas.
Los procedimientos que permiten mitigar el riesgo de error material (riesgo inherente y de control) son conocidos como Procedimientos de Control o Cumplimiento y se realizan de la siguiente forma:
Conocer el cliente y su ambiente a fin de evaluar los riesgos de error material. Conocer el control interno del cliente. Disear y realizar pruebas de controles para verificar su eficiencia operativa en la prevencin o deteccin de errores materiales.
Los procedimientos que apuntan a disminuir el riesgo de deteccin son los Procedimientos Analticos o Sustantivos, estas son revisiones ms detalladas, sobre algn proceso, sistema, informtico, cuenta, etc.
Auditora en Tecnologa I 14
10/03/2012
I. Fundamentos de Auditora
9. Papeles de Trabajo de Auditora
Los papeles de trabajo o documentacin de la auditora son todos los documentos elaborados por el auditor durante el curso de la auditora, que fundamentan y respaldan su informe. Algunos de sus propsitos son:
Registrar de forma sistemtica las labores o tareas efectuadas al llevar a cabo una auditora. Registrar la informacin y evidencia obtenidas. Respaldar el informe de auditora es decir los hallazgos, conclusiones y recomendaciones resultantes de la labor de auditora. Facilitar la revisin y supervisin del proceso realizado.
10/03/2012
Auditora en Tecnologa I
15
I. Fundamentos de Auditora
10. Hallazgos de Auditora
Los hallazgos para que sean efectivos en su propsito de comunicar la debilidad encontrada, deben contener en su redaccin 4 atributos: Condicin, Criterio, Causa y Efecto.
Condicin Lo que es Es la situacin que se presenta. Diferencia con lo que debe ser. Base legal, reglamentos, disposiciones internas, externas, que no se cumplen El motivo por el cual se produjo este hecho o desviacin Las consecuencias que produjo a la institucin, empresa, entidad
Criterio
Causa
Por qu sucedi
Efecto
10/03/2012
Auditora en Tecnologa I
16
10/03/2012
Proliferacin de uso de tecnologas de informacin y comunicacin (TICs) en la ltima dcada. La sociedad de fines del siglo XX sociedad de la informacin. La importancia de la informacin para el desarrollo econmico y social - activo de informacin. Auge y crecimiento del comercio por Internet - era digital - economa digital. Conexin a Internet abre oportunidades, pero tambin complejos tipos de Amenazas - incremento de Vulnerabilidad. Datos tratados mediante TICs - importancia control, seguridad y auditora en tecnologa. Desarrollo de estndares y mejores prcticas: ISACA CobIT, ISO 17799, ISO 27000, ITIL. Auditor SI Certificacin CISA; Oficial de Seguridad Informacin Certificacin CISM. Auditora Integral
Auditora en Tecnologa I 17
Buscar una mejor relacin costo-beneficio de los sistemas tecnolgicos Incrementar la satisfaccin de los usuarios de los sistemas tecnolgicos Asegurar una mayor integridad, confidencialidad, disponibilidad y confiabilidad de la informacin mediante la recomendacin de seguridades y controles. Conocer la situacin actual del rea informtica y las actividades y esfuerzos necesarios para lograr los objetivos propuestos. Seguridad de personal, datos, hardware, software e instalaciones Apoyo de funcin informtica a las metas y objetivos de la organizacin Minimizar la existencia de riesgos en el uso de Tecnologa de informacin Capacitacin y educacin sobre controles en los Sistemas de Informacin
Auditora en Tecnologa I 18
10/03/2012
Aumento considerable e injustificado del presupuesto de TI Desconocimiento en el nivel directivo de la situacin informtica de la empresa Falta total o parcial de seguridades lgicas y fsicas que garanticen la integridad del personal, equipos e informacin. Descubrimiento de fraudes informticos Falta de una planificacin informtica Organizacin que no funciona correctamente, falta de polticas, objetivos, normas, metodologa, asignacin de tareas y adecuada administracin del Recurso Humano Descontento general de los usuarios por incumplimiento de plazos y mala calidad de los resultados (informacin) Falta de documentacin o documentacin incompleta de sistemas que revela la dificultad de efectuar el mantenimiento de los sistemas en produccin
Auditora en Tecnologa I 19
10/03/2012
Desarrollar e implementar una estrategia de auditora basada en los riesgos de la organizacin en cumplimiento con las normas, directrices y mejores prcticas de auditora de SI. Planificar auditoras especficas para validar que TI y los sistemas de negocio son protegidos y controlados. Conducir auditoras de SI en conformidad con las normas, directrices y mejores prcticas de auditora de SI para alcanzar los objetivos planeados de auditora. Comunicar los hallazgos emergentes, riesgos potenciales y resultados de auditoras a los stakeholders clave. Aconsejar en la implementacin de una estrategia de Administracin de Riesgos y prcticas de control dentro de la organizacin al tiempo que se mantiene la independencia.
10/03/2012
Auditora en Tecnologa I
20
Establece la responsabilidad, objetivos de la administracin y delegacin de autoridad para la funcin de auditora de SI. Describe la autoridad, alcance y responsabilidades generales de la funcin de Auditora.
Aprobacin del Estatuto de Auditora Cambios en el Estatuto de Auditora Servicios provistos por auditores externos Nivel de Reporte e Independencia
10/03/2012
Auditora en Tecnologa I
21
Nmero limitado de auditores de SI. Mantenimiento de su competencia tcnica. Conformacin del equipo de auditora idneo. Plan de capacitacin anual Proveer al auditor de SI recursos de TI:
Software de Auditora Herramientas de monitoreo Herramientas para pruebas de vulnerabilidad de red Pruebas de penetracin de la red
10/03/2012
Auditora en Tecnologa I
22
Referencia de problemas de control Cambios tecnolgicos Cambios en los procesos de negocio Rotacin de personal Tcnicas mejoradas de evaluacin
10/03/2012
Pasos de la Auditora de SI
1. 2.
Obtener un entendimiento de la misin, objetivos, propsito y procesos del negocio Identificar el estado de contenidos especficos
(polticas, normas, directrices, procedimientos y estructura organizacional)
3. 4. 5.
6.
7. 8.
9.
10/03/2012
Realizar un anlisis de riesgos Conducir una revisin de control interno Establecer el alcance y los objetivos de la auditora Desarrollar el enfoque o la estrategia de auditora Asignar los recursos de personal a la auditora y dirigir la logstica del trabajo de auditora Documentar hallazgos Comunicar resultados
Auditora en Tecnologa I 24
Identificar los requerimientos externos Documentar las leyes y requerimientos pertinentes Evaluar si la administracin y la funcin de TI han considerado los requerimientos externos Revisar los documentos con resultados sobre el cumplimiento regulatorio Determinar el cumplimiento de los procedimientos establecidos
10/03/2012
Auditora en Tecnologa I
25
El Cdigo de tica Profesional de ISACA provee una gua de conducta profesional y personal para los miembros de la Asociacin y/o los poseedores de la certificacin CISA o CISM.
Normas_ISACA.pdf
(www.isaca.org)
10/03/2012
Auditora en Tecnologa I
26
Informar a la direccin y a otros interesados sobre las expectativas de la profesin en relacin con el trabajo de los auditores. Informar a los auditores de SI del nivel mnimo de desempeo requerido aceptable para cumplir con las responsabilidades profesionales establecidas en el Cdigo de tica de ISACA.
10/03/2012
Auditora en Tecnologa I
27
Normas de Auditora de SI
1. 2. 3. 4.
5.
6.
7. 8.
Estatuto de Auditora Independencia tica y Estndares Competencia Planeacin Desempeo del trabajo de Auditora Reporte Seguimiento de las actividades
9.
10. 11.
12.
13.
Irregularidades y actos ilegales Gobierno de TI Uso de la evaluacin de riesgos en la planeacin de auditora Materialidad de Auditora Usar el trabajo de expertos Evidencia de Auditora Controles de TI Comercio electrnico
28
10/03/2012
Auditora en Tecnologa I
1.
Propsito, responsabilidad, autoridad y obligacin de rendir cuentas Aprobacin Independencia Profesional Independencia Organizacional Cdigo de tica Profesional Debido cuidado Profesional
2.
Independencia
3.
10/03/2012
Auditora en Tecnologa I
29
4.
Habilidades y conocimiento Educacin Profesional Continua Alcance del Plan de Auditora de SI Desarrollar y documentar el enfoque de auditora basado en riesgos Desarrollar y documentar el plan de auditora Desarrollar el programa y los procedimientos de auditora
5.
Planeacin
10/03/2012
Auditora en Tecnologa I
30
Supervisin Evidencia Documentacin Identificar organizacin, destinatarios y cualquier restriccin Establecer el alcance, objetivos, perodo cubierto y naturaleza del trabajo de auditora realizado Establecer los hallazgos, conclusiones y recomendaciones, y limitaciones Justificar los resultados reportados Firmado, fechado y distribuido segn estatuto de auditora
Auditora en Tecnologa I 31
7.
Reporte
10/03/2012
Actividades de Seguimiento
Revisin previa de conclusiones y recomendaciones Revisin previa de hallazgos relevantes Determinar si la administracin ha tomado las acciones apropiadas de manera oportuna Considerar el riesgo de irregularidades y actos ilegales Mantener una actitud de escepticismo profesional Obtener un entendimiento de la organizacin y ambiente Considerar relaciones inusuales e inesperadas Evaluar lo adecuado del control interno Evaluar cualquier declaracin errnea
Auditora en Tecnologa I 32
9.
10/03/2012
9.
Obtener declaraciones escritas de la administracin Tener conocimiento de cualquier alegato, irregularidad o acto ilegal Comunicar irregularidades y actos ilegales materiales Tomar acciones apropiadas en caso de ver afectada su capacidad para continuar con el trabajo de auditora Documentar comunicaciones, planeacin, resultados, evaluaciones y conclusiones relacionadas con irregularidades o actos ilegales.
Auditora en Tecnologa I 33
10/03/2012
Gobierno de TI
10/03/2012
Revisar y evaluar la alineacin de la TI con la misin, visin, valores, objetivos y estrategias de la organizacin. Revisar el estatuto de la funcin de TI acerca del desempeo esperado y evaluar su cumplimiento. Revisar y evaluar la efectividad de TI en la administracin de los recursos y del desempeo Revisar y evaluar el cumplimiento con los requerimientos legales, ambientales, de calidad de la informacin, fiduciarios y de seguridad Usar un esquema basado en riesgos para evaluar la funcin de TI Revisar y evaluar los riesgos que puedan afectar a la TI
Auditora en Tecnologa I 34
11.
Usar tcnicas de evaluacin de riesgos en el desarrollo de todo el plan de auditora de SI Identificar y evaluar los riesgos relevantes en la planeacin de auditoras individuales
10/03/2012
Auditora en Tecnologa I
35
Normas
Deben ser seguidos por el Auditor
Directrices
Proveen asistencia sobre cmo puede el Auditor implementar las normas
Procedimientos
Proveen ejemplos de cmo implementar las normas
10/03/2012
Auditora en Tecnologa I
36
10/03/2012
Auditora en Tecnologa I
37
10/03/2012
Auditora en Tecnologa I
39
10/03/2012
Auditora en Tecnologa I
40
El potencial de que una amenaza determinada explote vulnerabilidades de un activo o grupo de activos causando prdida o dao a la organizacin.
ISO/IEC PDTR 13335-1
Amenaza: factor externo fuera de nuestro control Vulnerabilidad: factor interno susceptible de control Activo: informacin, Hw, Sw, Personal TI, Instalaciones Prdida o dao: Impacto ($)
10/03/2012
Auditora en Tecnologa I
41
Riesgo: Interrupcin de la operacin de aplicaciones Impacto: Prdida de ingresos, reputacin Probabilidad de ocurrencia: Alta: 3 incidentes ltimo ao
10/03/2012 Auditora en Tecnologa I 42
El anlisis de riesgos es parte de la planeacin de auditora y ayuda a identificar riesgos y vulnerabilidades para que el Auditor pueda determinar los controles necesarios para mitigar esos riesgos. S11 Uso de la evaluacin de riesgos en la Planeacin de Auditora
El auditor de SI debe utilizar una tcnica o enfoque apropiado de evaluacin de riesgos al desarrollar el plan general de auditora de SI y al determinar prioridades para la asignacin eficaz de los recursos de auditora de SI. Al planear revisiones individuales, el auditor de SI debe identificar y evaluar los riesgos relevantes del rea bajo revisin.
Auditora en Tecnologa I 43
10/03/2012
V. Controles Internos
1. Concepto y Clasificacin
Los Controles Internos son polticas, procedimientos, prcticas y estructuras organizacionales implementadas para reducir los Riesgos. Son desarrollados para proveer una certeza razonable a la Gerencia de que se alcanzarn los objetivos de negocio y de que se prevendrn o detectarn y corregirn los eventos de riesgo. Pueden ser manuales o manejados por recursos de informacin automatizados. Operan en todos los niveles dentro de una organizacin. Clasificacin de los Controles Internos:
V. Controles Internos
1. Concepto y Clasificacin
Clase Preventivos Funcin
Detectar problemas antes que surjan Monitorear operaciones e ingreso de datos Impedir que ocurran errores, omisiones o actos deliberados Usar controles que detecten y reporten que ha ocurrido un error, una omisin o un acto malicioso.
Ejemplos
Segregar funciones Controlar acceso fsico Autorizacin de transacciones Usar SW Control Acceso Usar SW de Encripcin Totales de control Puntos de revisin Doble verificacin de clculos Reportes peridicos de desempeo Funciones de auditora interna Revisar logs para detectar intentos de acceso no autorizado
Detectivos
Correctivos
Minimizar el impacto de una amenaza Remediar problemas descubiertos por los controles detectivos Identificar la causa de un problema Corregir errores resultantes de un problema
10/03/2012
Auditora en Tecnologa I
46
V. Controles Internos
3. Objetivos de Control de SI
Los objetivos de control interno son declaraciones del resultado deseado o del propsito a ser alcanzado con la implementacin de actividades de control (procedimientos). Los objetivos de control interno aplican a todas las reas, ya sean manuales o automatizadas. Por lo tanto, conceptualmente, los objetivos de control interno en ambientes automatizados permanecen invariables respecto de un ambiente manual.
10/03/2012
Auditora en Tecnologa I
48
V. Controles Internos
3. Objetivos de Control de SI
Salvaguarda de activos informacin protegida Asegurar la integridad de los ambientes de sistema operativo en general operaciones y gestin de red. Asegurar la integridad de los ambientes de sistemas de aplicacin sensibles y crticos, a travs de:
Autorizacin para ingreso de datos Validacin de la entrada de datos Exactitud e integridad del procesamiento de transacciones Confiabilidad de las actividades de procesamiento de informacin en general Exactitud, integridad y seguridad de la informacin de salida Integridad, disponibilidad y confidencialidad de la base de datos
10/03/2012
Auditora en Tecnologa I
49
V. Controles Internos
3. Objetivos de Control de SI
Asegurar la eficiencia y efectividad de las operaciones (objetivos operativos) Cumplimiento con los requisitos de usuarios, polticas y procedimientos organizaciones, as como leyes aplicables (objetivos de cumplimiento) Asegurar la disponibilidad de los servicios de TI desarrollando Planes de Continuidad de Negocio (BCP) y de Recuperacin ante Desastres (DRP) Aumentar la proteccin de datos y sistemas desarrollando un Plan de Respuesta ante Incidentes. Asegurar la integridad y confiabilidad de los sistemas implementando procedimientos efectivos de Gestin de Cambios.
10/03/2012
Auditora en Tecnologa I
50
V. Controles Internos
3. Objetivos de Control de SI
COSO-ERM
Marco integrado de Control Interno y Gestin de Riesgos Corporativos
COBIT
Marco de referencia de Control de Tecnologa de Informacin y procesos relacionados
10/03/2012
Auditora en Tecnologa I
51
V. Controles Internos
3.1 COSO-ERM
10/03/2012
Auditora en Tecnologa I
52
V. Controles Internos
4. CobiT
Provee un marco con 34 objetivos de control de alto nivel agrupados en un modelo genrico de procesos organizado en 4 dominios
10/03/2012
Auditora en Tecnologa I
53
V. Controles Internos
4. CobiT
10/03/2012
Auditora en Tecnologa I
54
10/03/2012
V. Controles Internos
5. Procedimientos de Control de Negocio y de TI El sistema de control interno de la organizacin impacta en TI a tres niveles:
Al nivel de direccin ejecutiva, se fijan los objetivos de negocio, se establecen polticas y se toman decisiones de cmo aplicar y administrar los recursos empresariales para ejecutar la estrategia de la compaa. Al nivel de procesos de negocio, se aplican controles para actividades especficas del negocio. La mayora de los procesos de negocio estn automatizados e integrados con los sistemas aplicativos de TI, por eso se conocen como controles de aplicacin. A nivel de TI, los controles aplicados a todas las actividades de servicio de TI se conocen como controles generales de TI.
Auditora en Tecnologa I 56
10/03/2012
V. Controles Internos
5. Procedimientos de Control de Negocio y de TI
Estrategia y Direccin Organizacin general y administrativa Polticas y normas de contabilidad Normas de operacin relacionadas con el da a da de las operaciones Controles administrativos relacionados con la eficiencia operacional y la adherencia a las polticas de la administracin Polticas y procedimientos organizacionales de seguridad Polticas generales para el diseo y uso de documentos y registros Procedimientos para el acceso autorizado a los activos Polticas de administracin del recurso humano Polticas del negocio: Ej: Crdito, Inventarios, Produccin
Auditora en Tecnologa I 57
10/03/2012
V. Controles Internos
5. Procedimientos de Control de Negocio y de TI Controles de Aplicacin:
Los controles incluidos en las aplicaciones de los procesos del negocio se conocen por lo general como controles de aplicacin:
Preparacin y Autorizacin de Informacin Fuente Recoleccin y Entrada de Informacin Fuente Chequeos de Exactitud, Integridad y Autenticidad Integridad y Validez del Procesamiento Autenticacin e Integridad de Transacciones Autorizacin de Transacciones Segregacin de funciones Revisin de Salidas, Reconciliacin y Manejo de Errores Registro de pistas de auditora
Auditora en Tecnologa I 58
10/03/2012
V. Controles Internos
5. Procedimientos de Control de Sistemas de Informacin Controles Generales de TI:
Planes de TI Controles de acceso a los datos y programas Metodologa de Desarrollo de Sistemas y Control de Cambios Operaciones de Procesamiento de Datos Programacin de sistemas y funciones de soporte tcnico Procedimientos para aseguramiento de calidad Controles de acceso fsico Planeacin de la Continuidad de Negocios y Recuperacin de Desastres Controles de Redes y Comunicaciones Administracin de Base de Datos Seguridad fsica para todos los centros de datos Revisiones independientes de TI
Auditora en Tecnologa I 59
10/03/2012
4.
5.
Planeacin Valorar los riesgos generales y de aplicacin Desarrollar un programa de auditora Ejecucin de procedimientos de auditora Elaborar informe de auditora
10/03/2012
Auditora en Tecnologa I
60
Obtener conocimiento sobre el objeto de auditora Valorar los riesgos y planeacin general de la auditora Planeacin detallada de auditora Revisin preliminar del rea/objeto de la auditora Evaluacin del rea/objeto de la auditora Verificacin y evaluacin de controles Pruebas de cumplimiento Pruebas sustantivas Comunicar resultados
Auditora en Tecnologa I 61
10/03/2012
10/03/2012
Auditora en Tecnologa I
64
Pregunta de Repaso
10/03/2012
10/03/2012
Auditora en Tecnologa I
67
El auditor debe evaluar los riesgos para determinar las reas funcionales a ser auditadas. Metodologas cualitativas y cuantitativas Sistema de puntuacin (scoring) para priorizar auditoras con base en una evaluacin de factores de riesgo:
10/03/2012
Auditora en Tecnologa I
68
Los objetivos de la auditora se enfocan generalmente en validar que existen controles para minimizar los riesgos del negocio, y que estos funcionan como se espera:
Traducir los objetivos generales de una auditora integral en objetivos especficos de control de SI. En la planeacin el auditor debe identificar los objetivos de control y los controles relacionados que tratan el objetivo. La revisin inicial del SI identificar los controles clave tanto generales como de aplicacin; y, entonces decidir si se los prueba para verificar su cumplimiento. Tambin se puede valorar la integridad de los datos de un informe financiero (prueba sustantiva) a travs de TAACs.
Auditora en Tecnologa I 69
10/03/2012
Es la informacin usada por el auditor para determinar si el objeto auditado cumple los criterios u objetivos establecidos, y soporta las conclusiones de auditora. Evidencia suficiente, relevante y competente. Determinantes de la confiabilidad de la evidencia:
Independencia de la fuente de la evidencia Credenciales de quin provee la evidencia Objetividad de la evidencia Tiempo de disponibilidad de la evidencia
10/03/2012
los
hallazgos
las
Introduccin, declaracin de objetivos, limitaciones y alcance Conclusin y opinin generales respecto a si los controles evaluados son los adecuados Las reservas o calificaciones del auditor con relacin a la auditoria Los hallazgos detallados y las recomendaciones de auditoria
10/03/2012
Auditora en Tecnologa I
77
Uso de aplicaciones especializadas diseadas para crear papeles de trabajo de auditora (anlisis de riesgos, programas de auditora, resultados, evidencia de pruebas, conclusiones, informes) Ejemplo: Autoaudit
10/03/2012
Auditora en Tecnologa I
78
10/03/2012
Auditora en Tecnologa I
79
Monitoreo en tiempo real Informes financieros con mayor frecuencia Mdulos integrados de auditora Captura de tipos predefinidos de eventos Inspeccin directa de condiciones y transacciones anormales o sospechosas. Evaluar el Costo de los mdulos integrados. Evaluar las Habilidades tcnicas requeridas. Tendencia en SW de tipo ERP
10/03/2012
Auditora en Tecnologa I
80