Sesiones 3 y 4: El Proceso de Auditoría de

Sistemas de Información

UPC – 2020 1
 El Gobierno de las TI – Necesidad

• Mayor gasto y exigencia por el rendimiento de las inversiones de TI.

• Transformación digital.
• Cumplimiento regulatorio en TI en privacidad y reporte financiero:
Sarbanes-Oxley, Basilea II, sector Salud, Finanzas, etc.
• Selección de proveedores y contratación/ adquisición de servicios.
• Riesgos cada vez más complejos en TI: internet, comercio electrónico,
los ciber-fraudes, spam, derechos de autor, privacidad, etc.
• Presencia de marcos metodológicos cada vez más maduros y
aceptados: COBIT, ITIL, ISO 27000, CMMI, etc.
• Benchmarking con la competencia.
• La dependencia crítica en las TI, hace necesario que las
organizaciones presten una atención especial al Gobierno de las
TI, a fin de asegurar que las inversiones realizadas en esta
generen efectivamente el valor esperado y que los riesgos
asociados a su uso sean efectivamente mitigados.

UPC – 2020 2
 Aseguramiento independiente: la Auditoría

• Las organizaciones definen objetivos de negocio, evalúan riesgos y establecen

controles para asegurar el cumplimiento de los mismos.

• La función de Auditoría interna evalúa la existencia y efectividad del sistema

de controles internos en la organización.

• La Auditoría Externa se enfoca a asegurar la razonabilidad e integridad de

los estados financieros de la organización, incluyendo la revisión de los
controles de TI que soportan el procesamiento de los mismos.

• La independencia de la función de Auditoría asegura que dicho proceso genere

valor a la organización, como un elemento de soporte y mejora de los controles
internos de la misma.

• Discusión: ¿a quien debe reportar la Unidad de Auditoría

Interna?

UPC – 2020 3
 Aseguramiento independiente: la Auditoría

UPC – 2020 4
 Definición de Auditoría

 Auditoría es la actividad consistente en la emisión de una opinión

profesional sobre si el objeto sometido a análisis presenta
adecuadamente la realidad que pretende reflejar y/o cumple las
condiciones que le han sido prescritas.

 Existen auditorías Financieras, Cumplimiento, Gestión, Sistemas, etc.

 La Auditoría Interna es una actividad independiente y objetiva de

aseguramiento y consultiva, para agregar valor y mejorar las
operaciones de una organización, ayudando a cumplir sus objetivos,
aportando un enfoque sistemático y disciplinado para evaluar y
mejorar los procesos de gestión de riesgos, control y gobierno.

UPC – 2020 5
 Definición de Auditoría de Sistemas de Información

 La Auditoría de Sistemas, es el proceso de recolectar, agrupar y

evaluar evidencias para determinar si un sistema informático
salvaguarda los activos de cómputo, mantiene la integridad de los datos,
utiliza eficientemente los recursos de la organización y contribuye
eficazmente a los objetivos de la misma.

 La Auditoría Interna de TI, busca proveer aseguramiento

independiente, al Directorio, acerca de la razonabilidad en el diseño y
la operación del control interno relacionado con las tecnologías de la
información como parte del soporte operacional de los procesos
administrativos y del negocio. Asimismo, brinda recomendaciones y
oportunidades de mejora que agreguen valor y mejoren el control
interno sobre la base de la identificación de riesgos relacionados con las
tecnologías de la información.

UPC – 2020 6
 Definición de Auditoría de Sistemas de Información

 El auditor informático evalúa y comprueba en determinado momento

del tiempo los controles y procedimientos informáticos existentes,
desarrollando y aplicando técnicas de auditoría, incluyendo de ser
necesario el uso de software especializado.

 El auditor informático es responsable de revisar e informar a la Dirección

de la organización sobre el diseño y funcionamiento de los controles
implantados y sobre la fiabilidad de la información suministrada.

 El Informe de Auditoría es el documento formal donde se comunican los

resultados de una auditoría informática.

UPC – 2020 7
 Principios del Auditor

UPC – 2020 8
 El Proceso de Auditoría

• Definición de Sujeto de auditoría

• Definición de objetivo y alcance
Planeación • Definición de recursos, fuentes de información, y ubicaciones

• Entendimiento del entorno de control

• Evaluación de riesgos y del diseño de controles del entorno
• Evaluación de Efectividad (Elaboración y validación de plan de
Ejecución pruebas de los controles)
• Identificación de debilidades en el entorno de control

• Elaboración de informe de auditoría

• Obtener comentarios de gerencia y planes de acción
Cierre • Emisión de informe y cierre de papeles de trabajo de la auditoría

• Verificación del cumplimiento de los planes de acción definidos

Seguimient
o

UPC – 2020 9
 El Proceso de Auditoría

PLANEAMIENTO

Recabar Entendimiento Evaluación del Definir objetivo Definir Plan de

Información preliminar Riesgo de la auditoría Auditoría

EVALUACION DEL RIESGO

Identificar Identificar Identificar
Identificar Identificar riesgos en los Priorizar
objetivos del riesgos de procesos controles controles de riesgos
negocio negocio
procesos

TRABAJO DE AUDITORIA INFORME DE RESULTADOS

Evaluar Pruebas de Discusión de Elaboración

Analizar Seguimiento
controles cumplimiento hallazgos de Informe
resultados
SI (controles)

NO

Pruebas
sustantivas

UPC – 2020 10
 Documentación Asociada a la Auditoría

1. Mapa de riesgos del negocio

2. Plan de auditoría
3. Plan operativo
4. Papeles de trabajo
• Recorridos
• Pruebas
• Actas de reunión
5. Informe de auditoría
• Anexos (detalle, sustentos)
6. Presentaciones ejecutivas

UPC – 2020 11
 Planeamiento de la Auditoría

El objetivo de esta etapa es tomar conocimiento del cliente y de sus

sistemas de control interno a fin de elaborar el Plan de Auditoría.

 Necesidades del cliente para la auditoría / objetivos del negocio:

• soporte a una auditoría financiera
• evaluación de controles TI
• necesidades regulatorias, etc.

 Realidad del cliente:

• organización y operaciones del negocio
• hardware utilizado (servidores, PC’s, redes, etc.)
• software de sistemas: SO’s, BD’s, seguridad, redes, etc.
• principales sistemas de información
• personal de contacto en TI y en áreas usuarias
• problemas del cliente con sus aplicativos
• cambios planeados en aplicativos o tecnología, etc.
UPC – 2020 12
 Planeamiento de la Auditoría

 Fuentes de información:
• informe y papeles de trabajo de auditorías anteriores
• observación de las instalaciones
• entrevistas con personal de TI
• Requerimiento de información al cliente (ej: plan estratégico de TI,
plan del negocio, documentación de sistemas, etc.)

 Necesidad de otros especialistas como ayuda a la auditoría:

• en caso de riesgos significativos detectados (sistemas, equipamiento,
procedimientos, seguridad de información, etc.),
• por solicitud expresa del cliente
• cuando existe considerable desarrollo interno de sistemas
• en caso de existir planes de cambios importantes en infraestructura o
aplicativos.

UPC – 2020 13
 Planeamiento de la Auditoría

 Determinar alcance y tiempo de los procedimientos de auditoría:

• los objetivos de la auditoría
• áreas críticas del negocio identificadas con el cliente
• debilidades conocidas en los controles internos
• qué aplicativos se revisarán y qué tiempo será necesario, en función
a su contribución al negocio, tamaño y complejidad de la plataforma
tecnológica,
 Determinación de recursos necesarios:
• cantidad de personal requerido, nivel de experiencia y disponibilidad
del mismo,
• disponibilidad del personal del cliente
• otros recursos: equipamiento, software especializado, manuales,
dinero para traslados/alojamiento.

UPC – 2020 14
 Definir los objetivos de la Auditoría

 Se refieren a las metas específicas que debe cumplir la auditoría.

 Se enfocan en validar que existan los controles internos para minimizar
los riesgos del negocio: auditoría basada en riesgos.
 Buscan que se cumplan los requerimientos legales, regulatorios,
integridad, confidencialidad y disponibilidad de los recursos de
información.
 El auditor debe traducir los objetivos generales de la auditoría en
objetivos específicos de control de sistemas de información:
• Entendimiento de los objetivos de negocio
• Identificar procesos de negocio
• Identificar objetivos de control

UPC – 2020 15
 Planeamiento de la Auditoría

 Elaboración de un Plan de Auditoría, que contiene:

• referencias del cliente y sus necesidades,
• alcance y objetivos de la auditoría a realizar
• áreas/procesos crítica(o)s a examinar
• Controles a evaluar
• recursos necesarios
• Cronograma

UPC – 2020 16
 Pruebas de Auditoría

Las pruebas pueden ser realizadas siguiendo los siguientes métodos:

- Indagación: Requiere indagar con los usuarios clientes acerca de la efectividad del
control. Puede ser utilizada en combinación con otros métodos de pruebas para asegurar
la efectividad del control.

- Observación: es un medio adecuado para obtener pruebas si no hay documentación de la

operación de un control. La observación es también útil para los controles físicos. La
observación, proporciona más seguridad que la obtenida indirectamente o por indagación.

- Examinación: Se utiliza para determinar si los controles se están realizando. Se realiza la

validación de las pruebas que sustentan la realización de un control. La ausencia de
evidencia puede indicar que el control no está funcionando como procedimientos
establecidos y además será necesario determinar si existe en realidad un control efectivo.
(Ver definición de muestras)

- Reprocesamiento: Proporciona una mejor evidencia de la efectividad de un control, y se

utiliza cuando una combinación de indagación, observación y examen de las pruebas no
ofrecen garantías suficientes de que un control está funcionando eficazmente.

UPC – 2020 17
 Evidencia

• Es cualquier información usada por el auditor de sistemas para

determinar si la entidad o los datos que están siendo auditados cumplen
con los criterios u objetivos establecidos y soporta las conclusiones de la
auditoría.
• Puede incluir: observaciones del auditor, notas de las entrevistas,
correspondencia y documentación interna, contrato con socios externos,
resultados de los procedimientos de prueba de auditoría.
• Técnicas para recopilación:
• Revisión de la estructura organizacional
• Revisión de las políticas, procedimientos y normas.
• Revisión de la documentación de sistemas
• Entrevistas al personal apropiado, observación de los procesos y
desempeño de empleados
• Ejecución de procedimientos de recolección de información

UPC – 2020 18
 Revisión y Presentación de Resultados

Se siguen los siguientes pasos:

 El auditor debe evaluar los hallazgos hechos en las pruebas realizadas

y emitir una opinión. Normalmente, el auditor se apoya en colegas o
supervisores para completar su opinión.

 Revisión de reportes preliminares

• Primer borrador: para discusión con el cliente. Se precisa el
contenido del informe, se corrigen posibles errores y aclaran temas
necesarios.
• Segundo borrador: primer informe formal para el cliente.
• Comentarios del cliente: el cliente envía eventuales comentarios al
borrador formal recibido.
• Tercer borrador: el auditor entrega el borrador final en el cual el
cliente debe responder las observaciones presentadas.

UPC – 2020 19
 Emisión del Informe de Auditoría

El informe debe contener

 La carta de presentación.
• Propósito de la auditoría y eventuales salvedades (disclaimers)
• Qué sistemas fueron revisados
• Contenido del informe detallado
• Con quién se revisó el informe
• Opinión de la auditoría realizada.
• Indicación de las observaciones incluídas en el informe detallado.

UPC – 2020 20
 Emisión del Informe de Auditoría

El informe debe contener

 El informe detallado (Matriz de Observaciones de Auditoría).

• Buenas prácticas de control y consideraciones sobre el riesgo de
negocio asociado con las deficiencias de los controles.
• Detalle de los hallazgos u observaciones encontrados por el auditor,
incluyendo el riesgo asociado a los mismos. Es importante que lo
reportado sea la debilidad o problema raíz detectado.
• Recomendaciones, las que al ser implementadas reducirían los
riesgos. Deben ser recomendaciones factibles y eficientes.
• Comentarios de la Gerencia, si la Gerencia ha considerado necesario
hacerlas a las observaciones de auditoría.

UPC – 2020 21
 Registro de Observaciones a Controles

Consolida el detalle de los hallazgos de la auditoría. Debe estar sustentado

por el conjunto de la evidencia recolectada y los papeles de trabajo del
auditor.

Referencia Actividad Evidencia Resultado / Comentarios

UPC – 2020 22
 La Matriz de Observaciones de Auditoría

Consolida el detalle de los hallazgos de la auditoría. Debe estar sustentado

por el conjunto de la evidencia recolectada y los papeles de trabajo del
auditor.

Comentarios de
Nro. Observación Riesgo Asociado Recomendación Riesgo Gerencia de Sistemas

UPC – 2020 23
 Gracias por su atención

UPC – 2020 24