Unidad II_Metodología de auditoría

Vista previa del material en texto

Auditoría Informática 1Prof. Lic. Marco A. Leiva F.
La auditoria informática:
�Es la revisión y la evaluación de los controles, 
sistemas, procedimientos de informática; de 
los equipos de cómputo, su utilización, 
eficiencia y seguridad, de la organización que 
participan en el procesamiento de la 
información, a fin de que por medio del 
señalamiento de cursos alternativos se logre 
una utilización mas eficiente y segura de la 
información que servirá para una adecuada 
toma de decisiones.
Auditoría Informática 2Prof. Lic. Marco A. Leiva F.
UNIDAD II 
2. Metodología de auditoría
Bibliografía: José Antonio Echenique 
Capítulo II
Auditoría Informática 3Prof. Lic. Marco A. Leiva F.
2. Metodología de auditoría
�Una metodología de auditoría es un conjunto de 
procedimientos documentados de auditoría 
diseñados para alcanzar los objetivos de la 
auditoría planeados. Sus componentes son:
ִ Declaración del alcance, 
ִ Declaración de los objetivos de la auditoria y
ִ Declaración de los programas de auditoría
La metodología de auditoría debería ser 
formalizada y comunicada a todo el personal de 
auditoría
Auditoría Informática 4Prof. Lic. Marco A. Leiva F.
2.Metodología de auditoría
Fases típicas de la auditoría:
2.1. Objetivo de auditoría
2.2. Alcance de la auditoría
2.3. Planificación previa a la auditoría
2.4. Programa de auditoria
2.5. Recopilación de evidencias
2.6. Evaluación de los resultados de pruebas y 
revisiones
2.7. Preparación del informe de auditoría
Auditoría Informática 5Prof. Lic. Marco A. Leiva F.
2.1 OBJETIVOS DE LA AUDITORÍA
Los objetivos de auditoría: se refieren a la metas 
específicas que deben cumplirse por parte de la auditoría. 
Deben comprender los deseos y pretensiones del cliente, 
de forma que las metas fijadas puedan ser cumplidas.
Los objetivos de auditoría se enfocan a menudo en validar:
� Que existan controles internos para minimizar los riesgos 
del negocio, y que estos funcionen como se espera. 
� Asegurar que se estén cumpliendo los requerimientos 
legales, y exista una seguridad razonable implementada 
sobre los activos, como ser: confidencialidad, integridad y 
disponibilidad de los recursos de información.
Auditoría Informática 6Prof. Lic. Marco A. Leiva F.
Ejemplo de definición del objetivo:
OBJETIVO DE LA REVISION.
�Determinar un nivel de confiabilidad e integridad 
de los datos, sistemas y programas con relación al 
entorno de procesamiento electrónico de datos.
�Identificar y medir los riesgos relativos al negocio y 
ambiente de Tecnología Informática, comunicando 
las recomendaciones para mitigar los riesgos.
Auditoría Informática 7Prof. Lic. Marco A. Leiva F.
2.2. Alcance de la auditoria.
� El alcance de la auditoria : ha de definir con precisión el 
entorno y los límites en que va a desarrollarse la auditoria, 
tiene que ver, con la extensión del examen, la cantidad, 
profundidad, que área o actividad en particular se va a 
verificar, el período a examinar: actividades desarrolladas 
en un año, de un mes, etc. 
Debe existir un acuerdo muy preciso entre auditores y 
clientes sobre las funciones, las materias y las 
organizaciones a auditar y las excepciones de alcance de 
la auditoría, es decir cuales materias, funciones u 
organizaciones no van a ser auditadas.
Tanto los alcances como las excepciones deben figurar al 
comienzo del Informe Final.
Auditoría Informática 8Prof. Lic. Marco A. Leiva F.
Ejemplo de definición de alcance:
El alcance de nuestra revisión incluye:
�Controles Generales de Tecnología Informática 
considerando la revisión de las siguientes áreas: 
�Normas, políticas y procedimientos
�Estructura organizativa
� Funciones y Responsabilidades
�Seguridad Física en el centro de cómputos de la 
Compañía.
�Seguridad Lógica - Procedimientos
�Pasaje de desarrollo a producción
�Seguridad Lógica - Control de acceso
�Procedimientos de altas de usuarios.
Auditoría Informática 9Prof. Lic. Marco A. Leiva F.
2.3. Planeación de la Auditoria
Para realizar una planeación eficaz se requiere: 
�Obtener información general sobre la organización 
y sobre la función de informática a evaluar. 
�Revisión de los planes estratégicos en el área de 
TI a corto y largo plazo.
� Identificar documentaciones como políticas, 
procedimientos y estructura de la organización.
�Lograr entendimiento respecto a los procesos 
claves del negocio.
Auditoría Informática 10Prof. Lic. Marco A. Leiva F.
2.3. Planeación de la Auditoria (Cont)
�Realizar una investigación preliminar y algunas 
entrevistas previas, con base en esto planear el 
programa de trabajo.
�Se deberá incluir tiempo, costo, personal 
necesario y documentos auxiliares a solicitar o 
formular durante el desarrollo de la misma. 
Auditoría Informática 11Prof. Lic. Marco A. Leiva F.
2.4. Programa de Auditoría
El programa de trabajo de auditoría es la estrategia y el 
plan de auditoría, este identifica el alcance, los 
objetivos y los procedimientos de auditoría para lograr 
evidencia suficiente y competente para obtener y 
sustentar las conclusiones y opiniones de auditoría.
Los auditores evalúan las funciones y sistemas de TI 
desde perspectivas diferentes, tales como: 
Seguridad (confidencialidad, integridad, disponibilidad) 
Calidad ( efectividad, eficiencia)
Fiduciaria ( cumplimiento, confiabilidad)
Servicio( soporte, entrega y la capacidad).
Auditoría Informática 12Prof. Lic. Marco A. Leiva F.
2.4.1. Los procedimientos de auditoría 
Los procedimientos generales de auditoría son los pasos 
básicos en la ejecución de una auditoría y habitualmente 
incluyen lo siguiente:
ִ Obtención y documentación del conocimiento sobre el 
área/objeto de la auditoría
ִ Evaluación de riesgos
ִ Planeación detallada de auditoría
ִ Evaluación del área/objeto de auditoría
ִ Verificación y evaluación de la corrección de los 
controles diseñados para cumplir los objetivos de 
control.
Auditoría Informática 13Prof. Lic. Marco A. Leiva F.
2.4.1. Los procedimientos de auditoría (cont)
ִPruebas de cumplimientos (pruebas de la 
implementación de controles y su aplicación 
consistente)
ִPruebas sustantivas (que confirmen la exactitud de 
la información)
ִInforme (comunicación de los resultados)
Auditoría Informática 14Prof. Lic. Marco A. Leiva F.
Ejemplo de procedimientos aplicados
Los procedimientos aplicados comprenden:
�Relevamiento de las Normas, Políticas y 
Procedimientos del área de Tecnología Informática.
�Visita al Centro de Cómputos.
�Verificación de la estructura organizativa existente en 
el área de tecnología informática.
�Verificación de las tareas correspondiente a la 
continuidad de procesamiento de datos.
�Verificación de las políticas de seguridad existentes.
�Análisis de los usuarios que acceden al sistema 
operativo. .. Etc.
Auditoría Informática 15Prof. Lic. Marco A. Leiva F.
2.5. Recopilación de evidencias
Se llama evidencia de auditoria a " Cualquier información 
que utiliza el auditor para determinar si la información 
cuantitativa o cualitativa que se está auditando, se 
presenta de acuerdo al criterio establecido".
La Evidencia para que tenga valor de prueba, debe ser 
Suficiente, Competente y Pertinente.
�Es suficiente , si el alcance de las pruebas es adecuado. 
Solo una evidencia encontrada, podría ser no suficiente 
para demostrar un hecho.
�Es pertinente , si el hecho se relaciona con el objetivo de 
la auditoria.
�Es competente , si guarda relación con el alcance de la 
auditoria y además es creíble y confiable.
Auditoría Informática 16Prof. Lic. Marco A. Leiva F.
2.5. Evidencia de Auditoria
�También se define la evidencia, como la prueba 
adecuada de auditoria. La evidencia adecuada es 
la información que cuantitativamente es suficiente 
y apropiada para lograr los resultados de la 
auditoria y que cualitativamente, tiene la 
imparcialidad necesaria para inspirar confianza y 
fiabilidad...
Auditoría Informática 17Prof. Lic. Marco A. Leiva F.
2.5.1. Evidencia de Auditoria
Tipos de Evidencias:
1. EvidenciaFísica: muestra de materiales, mapas, 
fotos.
2. Evidencia Documental: cheques, facturas, 
contratos, etc.
3. Evidencia Testimonial: obtenida de personas que 
trabajan en el negocio o que tienen relación con el 
mismo.
4. Evidencia Analítica: datos comparativos, cálculos, 
etc.
Auditoría Informática 18Prof. Lic. Marco A. Leiva F.
Técnicas de recopilación de la evidencia
�Revisión de estructuras organizativas de SI
una sólida estructura organizativa con adecuada 
segregación de funciones es un control general clave en 
SI
�Revisión de los estándares de documentación de SI
Se debe buscar un nivel mínimo de documentación de SI
ִ Documentos que inician el desarrollo de sistemas
ִ Especificaciones de diseño funcional
ִ Manuales de documentación de usuario
ִ Manuales de operaciones del ordenador
ִ Documentos sobre la seguridad
Auditoría Informática 19Prof. Lic. Marco A. Leiva F.
Técnicas de recopilación de la evidencia
�Revisión de la documentación de sistemas
ִ Revisar la documentación de un sistema en particular
ִ Evaluar si cumple los estándares de la organización
�Entrevistas del personal apropiado
ִ Su propósito es recopilar evidencias de auditoría
ִ Destreza importante, necesaria para los Auditores de SI
ִ Planificar la entrevista
ִ Documentarla con notas
ִ Formularios de entrevistas
ִ Listas de control
ִ Naturaleza de descubrimiento y no acusatoria
Auditoría Informática 20Prof. Lic. Marco A. Leiva F.
Técnicas de recopilación de la evidencia
�Observación de operaciones y actuación de los 
empleados
ִ Técnica de auditoría clave para muchos tipos de 
revisiones
ִ No ser inoportunos al hacer las observación 
�Documentarlo con suficiente grado de detalle para 
poder presentarlo como evidencia
Auditoría Informática 21Prof. Lic. Marco A. Leiva F.
Papeles de Trabajo 
Son los archivos o legajos que maneja el auditor y que contienen
todos los documentos que sustentan su trabajo efectuado 
durante la auditoria y constituyen la principal evidencia de la 
tarea de auditoria realizada y de las conclusiones alcanzadas 
que se reportan en el informe de auditoria.
Estos archivos se dividen en Permanentes y Corrientes; 
� Archivo permanente: conformados por documentos que tienen el 
carácter de permanencia en la empresa, es decir, que no 
cambian y que por lo tanto se pueden volver a utilizar en 
auditorias futuras; como los Estatutos de Constitución, contratos 
de servicios, políticas, informe de auditorias anteriores, etc.
� Archivo corriente está formado por todos los documentos que el 
auditor va utilizando durante el desarrollo de su trabajo y que le 
permitirán emitir su informe previo y final.
Auditoría Informática 22Prof. Lic. Marco A. Leiva F.
Papeles de Trabajo
Los papeles de trabajo son utilizados para:
a) Registrar el conocimiento de la entidad y su sistema de 
control interno.
b) Documentar la estrategia de auditoria.
c) Documentar la evaluación detallada de los sistemas, las 
revisiones de transacciones y las pruebas de cumplimiento.
d) Documentar los procedimientos de las pruebas de 
sustentación aplicadas a las operaciones de la entidad.
e) Mostrar que el trabajo de los auditores fue debidamente 
supervisado y revisado
f) Registrar las recomendaciones para el mejoramiento de los 
controles observados durante el trabajo.
Auditoría Informática 23Prof. Lic. Marco A. Leiva F.
Hallazgos:
Se considera que los hallazgos en auditoria son las 
diferencias significativas encontradas en el trabajo de 
auditoria con relación a lo normado o a lo presentado 
por la gerencia.
Atributos del hallazgo:
1. Condición: la realidad encontrada
2. Criterio: cómo debe ser (la norma, la ley, el 
reglamento, lo que debe ser)
3. Causa: qué originó la diferencia encontrada.
4. Efecto: qué efectos puede ocasionar la diferencia 
encontrada.
Auditoría Informática 24Prof. Lic. Marco A. Leiva F.
Hallazgos:
Al plasmar el hallazgo el auditor primeramente indicará el 
título del hallazgo, luego los atributos, a continuación 
indicará la opinión de la personas auditadas sobre el 
hallazgo encontrado, posteriormente indicará su conclusión 
sobre el hallazgo y finalmente hará las recomendaciones 
pertinentes. Es conveniente que los hallazgos sean 
presentados en hojas individuales.
Solamente las diferencias significativas encontradas se 
pueden considerar como hallazgos (generalmente 
determinadas por la Materialidad), aunque en el sector 
público se deben dar a conocer todas las diferencias, aun 
no siendo significativas.
Auditoría Informática 25Prof. Lic. Marco A. Leiva F.
2.6. Las Pruebas de Auditoria 
Son técnicas o procedimientos que utiliza el auditor 
para la obtención de evidencia comprobatoria.
Las pruebas pueden ser de tres tipos:
a) Pruebas de Control
b) Pruebas Analíticas
c) Pruebas Sustantivas
Auditoría Informática 26Prof. Lic. Marco A. Leiva F.
2.6. Las Pruebas de Auditoria
�Las pruebas de control están relacionadas con el 
grado de efectividad del control interno imperante.
�Las pruebas analíticas se utilizan haciendo 
comparaciones entre dos o más estados financieros o 
haciendo un análisis de las razones financieras de la 
entidad para observar su comportamiento.
�Las pruebas sustantivas son las que se aplican a cada 
cuenta en particular en busca de evidencias 
comprobatorias. Ejemplo, un arqueo de caja chica, 
circulación de saldos de los clientes, etc.
Auditoría Informática 27Prof. Lic. Marco A. Leiva F.
2.7. El Informe:
El informe de Auditoría debe contener a lo menos:
1- Dictamen sobre el área auditada.
2- Informe sobre la estructura del Control Interno de 
la entidad.
3- Conclusiones y recomendaciones resultantes de la 
Auditoría,.
4- Deben detallarse en forma clara y sencilla, los 
hallazgos encontrados.
Auditoría Informática 28Prof. Lic. Marco A. Leiva F.
Metodología de auditorías informáticas
�Conocimiento general del área de sistemas
ִOrganigrama
ִEstructura del área o departamento
ִRelaciones funcionales y jerárquicas
ִRecursos (equipos con los que se cuenta)
ִAplicaciones en desarrollo
ִAplicaciones en producción
Auditoría Informática 29Prof. Lic. Marco A. Leiva F.
�Planificación
ִDefinición de objetivos y alcances
ִPersonas de la organización que se 
involucrarán en el proceso de auditoría
ִPlan de trabajo
Tareas
Calendario
Resultados parciales
Presupuesto
Metodología de auditorías informáticas
Auditoría Informática 30Prof. Lic. Marco A. Leiva F.
�Desarrollo de la auditoría
ִEntrevistas
ִCuestionarios
ִObservación de las situaciones deficientes
ִObservación de los procedimientos
� Fase de diagnóstico
ִDefinición de los puntos débiles y fuertes, los riesgos 
eventuales y posibles tipos de solución y mejora
�Presentación de conclusiones
ִIntegración de soporte documental
ִFormulación de observaciones y papeles de trabajo
ִInforme final 
Metodología de auditorías informáticas
Auditoría Informática 31Prof. Lic. Marco A. Leiva F.
� Formación del plan de mejoras
ִResumen de las deficiencias encontradas
ִRecogerá las recomendaciones encaminadas a paliar 
las deficiencias detectadas
ִMedidas a corto plazo: mejoras en plazo, calidad, 
planificación o formación
ִMedidas a medio plazo: mayor necesidad de 
recursos, optimización de programas o documentación 
y aspectos de diseño
ִMedidas a largo plazo: cambios en políticas, medios y 
estructuras del servicio
ִSeguimiento de cumplimiento de recomendaciones
Metodología de auditorías informáticas
Auditoría Informática 32Prof. Lic. Marco A. Leiva F.
� MUCHAS GRACIAS