Professional Documents
Culture Documents
CONCEPTO DE AUDITORÍA
Elementos:
1) Contenido: una opinión.
2) Condición: profesional.
3) Justificación: sustentadas en determinados procedimientos.
4) Objeto: una determinada información obtenida de cierto soporte.
5) Finalidad: determinar si presenta adecuadamente la realidad o esta
responde a las expectativas que le son atribuidas, es decir, su finalidad.
PROCEDIMIENTOS
La opinión profesional se fundamenta y justifica por medio de procedimientos
específicos tendientes a proporcionar una seguridad razonable de lo que se
afirma.
CLASES DE AUDITORÍA
El objeto sometido a estudio y la finalidad con que se realiza el estudio
determina el tipo de auditoría de que se trata.
1) Financiera:
1. contenido: opinión
2. objeto: cuentas anuales
3. finalidad: presentan realidad
2) informática
1. contenido: opinión
2. objeto: sistemas de aplicación, recursos informáticos, plantes de
contingencia, etc.
3. finalidad: operatividad eficiente y según normas establecidas
3) gestión
1. contenido: opinión
2. objeto: dirección
3. finalidad: eficacia, eficiencia, economicidad
4) cumplimiento
1. contenido: opinión
2. objeto: normas establecidas
3. finalidad: las operaciones se adecúan a estas normas
CONCEPTO DE CONSULTORÍA
Consiste en dar asesoramiento o consejo sobre lo que se ha de hacer o como
llevar adecuadamente una actividad para obtener los fines deseados
Elementos:
1) Contenido: dar asesoramiento o consejo.
2) Condición: de carácter especializado.
3) Justificación: en base a un examen o análisis.
4) Objeto: actividad o cuestión sometida a consideración.
5) Finalidad: establecer la manera de llevarla a cabo adecuadamente
Es una función a priori con el fin de determinar como llevar a cabo una función
o actividad de forma que obtenga los resultados pretendidos. La auditoría
verifica a posteriori si estas condiciones una vez realizada la actividad se
cumplen y si se obtienen los resultados pretendidos.
CLASES DE CONSULTORÍA
1) financiera
2) informática
Principales objetivos:
1. Controlar que las actividades se realicen cumpliendo los procedimientos
y normas fijados, evaluar su bondad y asegurar el cumplimiento de las
normas legales.
2. Asesorar sobre el conocimiento de las normas.
3. Colaborar y apoyar el trabajo de la auditoría informática y auditorías
externas al grupo.
4. Definir, implantar y ejecutar mecanismos y controles para comprobar el
logro de los grados adecuados del servicio informático.
5. Realizar en los diferentes sistemas, centrales, departamentos, etc. el
control de las diferentes actividades operativas sobre:
1. cumplimiento de normas y procedimientos y controles dictados
2. vigilancia sobre el control de cambios y versiones de software
3. controles sobre la producción diaria
4. controles sobre la calidad y eficiencia de los desarrollos y el
mantenimiento del software
5. controles en las redes de comunicaciones
6. controles sobre los software de base
7. controles en los sistemas microinformáticos
8. la seguridad informática
9. licencias y relaciones contractuales con terceros
10. asesorar y transmitir cultura sobre el riesgo informático
AUDITORÍA INFORMÁTICA
Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un
sistema informatizado salvaguarda los activos, mantiene integridad de datos,
lleva a cabo eficazmente los fines de la organización y utiliza eficientemente
los recursos.
SIMILITUDES:
• personal interno
• conocimientos especializados en tecnología de la información
• verificación de cumplimiento de controles internos, normativas y
procedimientos establecidos por la dirección general para los sistemas
de información
DIFERENCIAS:
CONTROL INTERNO AUDITORÍA
Control diario Control en momento determinado
Informa al departamento informática Informa a la dirección general
Personal interno Personal interno y/o externo
Alcanza sólo al departamento Cobertura sobre todos los
informática componentes de los sistemas de
información de la organización
Tipos de controles:
1. preventivos: evitar el hecho (soft q impida acceso no autorizados al
sistema)
2. detectivos: cuando fallan los preventivos, para tratar de conocer
cuanto antes el evento. Registro de intentos no autorizados.
3. correctivos: volver a la normalidad una vez producido un hecho.
Recuperación de archivos dañados.
La relación que existe entre los métodos de control y los objetivos de control
puede demostrarse en el que un mismo conjunto de métodos de control
se utiliza para satisfacer objetivos de control tanto de mantenimiento como
de seguridad de programas. (ej. Objetivo de control de mantenimiento:
asegurar que las modificaciones de los procedimientos programados estén
adecuadamente diseñadas, probadas e implantadas – Objetivo de control de
seguridad de programas: garantizar que no se puedan efectuar cambios no
autorizados en los procedimientos programados)
Método:
Es el modo de decir o hacer con orden una cosa.
Metodología:
Conjunto de métodos que se siguen en una investigación científica o en una
exposición doctrinal. Esto significa que cualquier proceso científico debe estar
sujeto a una disciplina de procesos definida con anterioridad que llamaremos
metodología.
Definiciones
• amenaza: persona o cosas, posibles fuentes de catástrofes.
• vulnerabilidad: situación creada por falta de controles ( la amenaza
puede acaecer)
• riesgo: probabilidad de que una amenaza acontezca por una
vulnerabilidad.
• exposición o impacto: evaluación del efecto del riesgo.
1. evitarse
2. transferirse
3. reducirse
4. asumirse
Cuantitativa Cualitativa
P *Enfoca pensamientos en * Enfoque lo amplio que se desee
r base a números * Plan de trabajo flexible y reactivo
o *Facilita la comparación de * Se concentra en la identificación de
s vulnerabilidades muy eventos
distintas * Incluye factores intangibles
*Proporciona una cifra
justificante para cada
contramedida
C * Estimación de * Depende fuertemente de la
o probabilidad depende de habilidad y calidad del personal
n estadísticas fiables involucrado
t inexistentes * Puede excluir riesgos significantes
r * Estimación de las desconocidos
a perdidas potenciales solo si * Identificación de eventos reales mas
s son valores cuantificables claros al no tener que aplicarles
* Metodologías estándares probabilidades complejas de calcular
* Difíciles de mantener o * Dependencia de un profesional
modificar
* Dependencia de un
profesional
Plan de contingencia.
Es una estrategia planificada constituida por: un conjunto de recursos de
respaldo, una organización de emergencia, y unos procedimientos de actuación
para conseguir una restauración progresiva y ágil de los servicios de negocios
afectados por una paralización total o parcial de la capacidad operativa de la
empresa.
Fases de un plan:
• fase 1: análisis y diseño: estudio de problemática, necesidades de
recursos, alternativas de respaldo y análisis de costo / beneficio de las
mismas. En la forma de desarrollar esta fase se diferencian dos familias
metodológicas: RISK ANALISIS (estudio de los posibles riesgos desde la
probabilidad de que estos ocurran) y BUSSINES IMPACT (estudio del
impacto –económico o de imagen – que ocasiona la falta de algún
recurso)
• fase 2: desarrollo del plan: desarrollo de la estrategia seleccionada.
Aquí se analiza la vuelta a la normalidad, dado que pasar de una
situación normal a una alternativa debe concluir con la reconstrucción
de la situación inicial antes de la contingencia.
• fase 3: pruebas y mantenimientos: definir pruebas, características y
sus ciclos, realización de las pruebas. Así también estrategia de
mantenimiento, y la normativa y procedimientos para llevarlo a cabo
Partes:
• funciones: ubicación de la figura en el organigrama de la empresa,
segregación de funciones con la informática y el control interno
informático.
• procedimientos: apertura, entrega y discusión de debilidades, entrega
de informes etc.
• tipos de auditorías que realiza: metodologías y cuestionarios de las
mismas (ej. Revisión de seguridad física, etc.) Existen TRES TIPOS : 1-
Full o completa 2-limitada a un aspecto 3 - Corrective Action
Review CAR que es la acción correctiva de auditorías anteriores.
• sistema de evaluación: y los distintos aspectos que evalúa (nivel de
gestión económica, gestión de recursos humanos, cumplimento de
normas, etc.)
• nivel de exposición: es un número del uno al diez definido
subjetivamente y que me permite en base a la evaluación final de la
última auditoría realizada, definir la fecha de repetición. El valor del
nivel de exposición significa la suma de factores como impacto, peso del
área, situación de controles del área.
• lista de distribución de informes
• seguimiento de las acciones correctoras
• plan quinquenal (cada 5 años)
• plan de trabajo anual
Las metodologías de auditoría informática son del tipo cualitativo/ subjetivo.
Son las subjetivas por excelencia y están basadas en profesionales de gran
nivel de experiencia y formación.
Auditoría informática
• tiene función de vigilancia y evaluación
• tiene sus propios objetivos distintos a los auditores de cuentas
• operan según el plan auditor
• utilizan metodologías del tipo cualitativo
• establecen planes quinquenales
• sistemas de repetición de la auditoría por nivel de exposición
• función de soporte informático de todos los auditores
o bien
• altamente confidencial
• confidencial
• restringida
• no sensible
o según PRIMA
• estratégica
• restringida ( a los propietarios de la info)
• de uso interno (a los empleados)
• de uso general
Metodología:
Fase1: Definición de objetivos de control
• Tarea 1: análisis de la empresa: se estudian los procesos
organigramas y funciones
• Tarea 2: recopilación de estándares: se estudian todas la fuentes de
información necesarias para conseguir en la fase los objetivos de
control a conseguir.
• Tarea 3: definir los objetivos de control
HERRAMIENTAS DE CONTROL
CAPITULO 4
EL INFORME DE LA AUDITORÍA
El informe de auditoría informática es el objetivo de la auditoria informática.
Las normas
• Libro verde de la auditoría (acepta normas internacionales IFAC) esta
dedicado al papel, la posición y la responsabilidad del auditor legal.
• ISACF (específica de la AI)
• ISACA
• ICAC
• Agencia de protección de datos
Dos tendencias legislativas
• Anglosajona (basada en Common Law)
• Latina (basada en el Derecho Romano)
La evidencia
Calificativos:
Las irregularidades
Los fraudes y los errores preocupan tanto que aparece con énfasis en el libro
verde la unión europea.
La dirección tiene la responsabilidad principal y primaria de la detección de
irregularidades, fraudes y errores.
La responsabilidad del auditor se centra en la planificar, llevar a cabo y evaluar
su trabajo para obtener una expectativa razonable de su detección.
La documentación
El informe de auditoría, si se precisa que sea profesional, tiene que estar
basado en la documentación o papeles de trabajo, como utilidad inmediata,
previa supervisión.
La documentación además de fuente de know how del auditor para trabajos
posteriores, puede ser fuente para q la corporación profesional o algún
organismo oficial realice un control de calidad. Los papeles de trabajo pueden
llegar a tener valor en los tribunales de justicia.
El informe
El informe de la auditoria es la comunicación del auditor al cliente, formal,
solemne, tanto del alcance como de los resultados y conclusiones de la
auditoria.
El informe deberá ser claro, adecuado, suficiente y comprensible.
Puntos esenciales
• identificación del informe
• identificación del cliente
• identificación de la entidad auditada
• objetivos de la auditoría informática
• normativa aplicada y excepciones
• alcance de la auditoría
• conclusiones: informe corto de opinión
• opinión favorables
• opinión con salvedades
• opinión desfavorable
• opinión denegada
• resumen
• resultados: informe largo y otros informes
• informes previos
• fecha del informe
• identificación y firma del auditor
• distribución del informe
CAPITULO 5
ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMATICA
Para que los sistemas cumplan sus objetivos debe existir una función de
gestión de dichos sistemas, de los recursos que manejan y de las inversiones
que se ponen a disposición de dichos recursos.
Principios:
• todos los auditores tendrán que tener conocimientos informáticos que les
permitan trabajar en un entorno de tecnología de la información.
• La necesidad de especialistas en auditorias.
• El auditor informático dejara de ser un profesional procedente de otra
área, para pasar a ser un profesional titulado en auditoria informática.
La función del auditor informático general (AIG), debe ser realizada por
personas con experiencia en informática y auditoria, debe ser un profesional
dedicado al análisis de sistemas de información que este especializado en
algunas de las múltiples ramas de la auditoria informática.
El auditor informático debe ser una persona con un alto grado de calificación
técnica y al mismo tiempo integrado a las corrientes organizativas
empresariales.
Las personas que desarrollen esta actividad deben poseer formación en
auditoría financiera e informática a en general, también deben contemplar
conocimientos en:
• Desarrollo informático
• Gestión de dpto. de sistema
• SO
• Análisis de riesgo en entorno informático
• Telecomunicaciones
• Gestión de DB
• LAN
• Seguridad Física
• Seguridad de sistemas
• Administración de datos
• Ofimática
• Comercio electrónico
• Encriptación de datos
• Especialización en función de la importancia económica de distintos
componentes financieros de la organización
• El AI debe tener siempre presente el concepto de calidad total
Organización de la función de AI
CAPÍTULO 6
EL MARCO JURIDICO DE LA AUDITORIA INFORMATICA.
CAPÍTULO 7
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS.
Los códigos deontológicos deben ser elaborados por los propios profesionales
en el marco de los colegios, asociaciones o agrupaciones que los representen y
asumirlos en forma generalizada como forma de autorregulación ética de su
actividad. Los principios contenidos en los códigos deontológicos exigen
asimismo por su especificidad moral que los propios profesionales coadyuven a
su difusión.
• Principio de calidad:
El auditor deberá prestar sus servicios de la mejor forma y en el mejor
contexto, para lograr la mayor calidad de su trabajo. Si las condiciones
no están dadas, podrá negarse a hacer la Auditoría Informática.
• Principio de capacidad:
El Auditor Informático debe estar plenamente capacitado para hacer la
auditoría que se le solicita. Tener en cuenta que para el cliente es más o
menos lo mismo. El tema es que el auditor tiene una alta autonomía y
de lo que dice o recomienda hay un impacto muy fuerte. Así que por esto
el Auditor Informático debe evitar sobreestimar sus conocimientos, al
igual que subestimarlos, ya que en ambos casos perjudican al cliente.
• Principio de cautela:
• Principio de confianza:
El auditor deberá buscar que el auditado confíe en él y trabajar para que
esa confianza crezca. Para eso, el auditor debe trabajar con
transparencia en su actividad profesional, ya que cualquier duda va a
restar credibilidad a su trabajo desde el punto de vista del auditado.
• Principio de discreción:
• Principio de economía:
El auditor deberá proteger la economía de los auditados, evitando gastos
innecesarios en el ejercicio de su actividad.
• Principio de legalidad:
El auditor deberá evitar utilizar su conocimiento para facilitar a los
auditados la contravención de leyes vigentes.
• Principio de no discriminación:
El auditor deberá evitar situaciones de discriminación de cualquier tipo.
• Principio de no injerencia:
El auditor deberá evitar injerencias en el trabajo de otros profesionales.
• Principio de precisión:
Este principio obliga al auditor a la no conclusión de su trabajo hasta
estar convencido de la viabilidad de sus propuestas.
• Principio de responsabilidad:
El auditor deberá responsabilizarse de lo que haga, diga o aconseje. Es
conveniente la suscripción de seguros que cubran la responsabilidad civil
de los auditados.
• Principio de veracidad:
El auditor deberá asegurar la veracidad de sus manifestaciones con los
límites impuestos por los deberes de respeto, corrección y secreto
profesional.
CAPÍTULO 8
LA AUDITORÍA FÍSICA.
La seguridad física.
La seguridad física garantiza la integridad de los activos humanos, lógicos y
materiales de un Centro de proceso de datos (CPD).
Herramientas:
• cuaderno de campo / grabadora de audio
• máquina fotográfica / cámara de video
AUDITORÍA DE LA OFIMÁTICA.
Controles de auditoría
• economía, eficacia y eficiencia
◦ determinar si el inventario ofimático refleja con exactitud los equipos
y aplicaciones existentes
◦ determinar y evaluar el procedimiento de adquisiciones de equipos y
aplicaciones
◦ determinar y evaluar la política de mantenimiento definida en la
organización
◦ evaluar la calidad de las aplicaciones del entorno ofimático
desarrollado por personal de la propia organización
◦ evaluar la corrección del procedimiento existente para la realización
de los cambios de versiones y aplicaciones
◦ determinar si los usuarios cuentan con suficiente formación y la
documentación de apoyo necesaria para desarrollar sus tareas de un
modo eficaz y eficiente
◦ determinar si el sistema existente se ajusta a las necesidades reales
de la organización
• seguridad
◦ determinar si existen garantías suficientes para proteger los accesos
no autorizados a la información reservada de la empresa y la
integridad de la misma
◦ determinar si el procedimiento de generación de copias de respaldo es
fiable y garantiza la recuperación de la información en caso de
necesidad.
◦ determinar si está garantizado el funcionamiento ininterrumpido de
aquellas aplicaciones cuya caída podría suponer pérdidas de
integridad de la información y aplicaciones
◦ determinar el grado de exposición ante la posibilidad de intrusión de
virus
• normativa vigente
◦ determinar si en el entorno ofimático se producen situaciones que
puedan suponer infracciones a lo dispuesto en la ley orgánica
◦ determinar si en el entorno ofimático se producen situaciones que
puedan suponer infracciones a lo dispuesto sobre la propiedad
intelectual
CAPÍTULO 10
AUDITORÍA DE LA DIRECCIÓN
Actividades básicas del proceso de dirección:
• Planificar
• Organizar
• Coordinar
• Controlar
Planificar
Se trata de prever la utilización de las tecnologías de la información en la
empresa.
Hay varios tipos de planes informáticos.
El principal es el Plan Estratégico de sistemas de información.
Guía de auditoría
El auditor debe examinar el proceso de planificación de sistemas de
información y evaluar si se cumplen los objetivos.
• Atención adecuada al plan estratégico
• asignación de recursos y plazos realistas
Acciones a realizar
• lecturas en sesiones del comité de actas, planes, documentos
intermedios, objetivos
• entrevistas a director de informática y otros miembros del comité.
Organizar y coordinar
Estructurar los recursos, flujos de información y controles que permitan
alcanzar los objetivos.
Comité de informática
Lugar de encuentro entre los usuarios y los informáticos donde se debaten los
asuntos informáticos que afectan a la empresa.
Funciones:
• Aprobación del plan estratégico de SI
• aprobación de las inversiones en tecnología
• fijación de prioridades
• vehículo de discusión entre la informática y sus usuarios
• seguimiento de la actividad del departamento de informática
Guía de auditoría
• Lectura de la normativa interna sobre las funciones del comité
• entrevistas a miembros del comité para conocer las funciones del mismo
• entrevista a los representantes de usuarios, miembros del comité.
Guía de auditoría.
El auditor deberá revisar el emplazamiento del Dpto. de informática y evaluar
su independencia frente a departamento de usuarios.
Aseguramiento de la calidad
La calidad de los servicios ofrecidos por el departamento de informática debe
estar asegurada mediante el establecimiento de una función organizativa de
aseguramiento de la calidad.
Guía de auditoría:
• identificación de las unidades organizativas del Dpto. informática
• revisión de documentación de funciones y responsabilidades
• entrevista a los directores de unidades organizativas
• evaluación de adecuada segregación de funciones.
Guía de auditoría:
• evaluar la existencia de estándares
• revisión de estándares y procedimientos existentes
• revisión de las descripciones de los puestos de trabajo
Comunicación
Es necesario que exista una comunicación efectiva y eficiente entre la
dirección de informática y el resto del personal.
Guía de auditoría:
• evaluar características de la comunicación entre la dirección y el
personal de informática.
Gestión económica
• presupuestación: el auditor deberá constatar la existencia de un
presupuesto económico.
• adquisición de bienes y servicios: la auditoría de este área no es
diferente de una auditoría tradicional de un proceso de compras.
• medida y reparto de costos: reparto del precio de transferencia o costo
interno que el Depto. de informática transmite a los usuarios
Seguros
Guía de auditoría:
• el auditor debe estudiar las pólizas y evaluar la cobertura existente,
analizando si la empresa está suficientemente cubierta.
Controlar
Control y seguimiento
Existe obligación de la dirección de controlar y efectuar un seguimiento
permanente de las distintas actividades del departamento.
Guía de auditoría:
• análisis de los procesos existentes en el Dpto. para llevar a cabo el
seguimiento y control. Evaluar la periodicidad de los mismos y los
procesos de presupuestación.
• Revisión de planes y proyectos de años anteriores para comprobar que
se analizan desviaciones y se toman medidas correctoras.
Sistemas de información
Conjunto de componentes que interactúan para que la empresa alcance sus
objetivos satisfactoriamente.
Establecimiento de objetivos:
Según los riesgos detectados se establecen los objetivos de la auditoría.
Para alcanzar los distintos objetivos de control se deben diseñar pruebas
(procedimientos) de cumplimiento y sustantivas.
Planificación administrativa:
Debe realizarse luego de haber concluido la planificación estratégica. Deben
quedar claros los siguientes aspectos:
• Evidencia: se podrá relacionar con la documentación disponible de la
etapa anterior
• Personal: de que se va disponer y si va a ser necesario contar con
expertos externos.
• Calendario: fecha inicio y fin de la auditoria
• Coordinación y cooperación: buena relación con el auditado sin perder la
independencia
INFORMES
Tipos de informes
1. favorable (el sistema es satisfactorio)
2. desfavorable (el sistema es un desastre)
3. con salvedades (el sistema es válido pero tiene fallos)
4. denegación de opinión ( no hay suficientes elementos de juicio para
opinar)
Archivos
Los papeles de trabajo del auditor se pueden organizar en dos archivos
principales:
• archivo permanente o continuo
◦ características y manuales de equipos y aplicaciones
◦ descripción de control interno
◦ organigramas de la empresa y servicio de información
◦ planificación de auditoría
◦ contratos
◦ Etc
Planteamiento y metodología
Funciones que son responsabilidad del área:
• planificación del área y elaboración del plan estratégico de informática
• desarrollo de nuevos sistemas
• estudio de nuevos lenguajes y herramientas, metodologías, etc.
• plan de formación para el personal del área
• normas y controles para las actividades del área
METODOLOGÍA TRADICIONAL
En este tipo de metodología el auditor revisa el entorno con la ayuda de una
lista de control que consta de una serie de cuestiones a verificar. Las
respuestas pueden ser S, N o No aplicable
Prueba de cumplimiento
• Listar privilegios y perfiles del SGBD
• Si hay inconsistencias o los controles no existen se realizan pruebas
sustantivas
Pruebas sustantivas
• Comparar si la información ha sido corrompida comparándola con otra
fuente o revisando entradas de datos y transacciones
Una vez valorados los resultados de las pruebas se obtienen conclusiones que
serán comentadas y discutidas con los responsables directos del área.
El auditor emitirá comentarios donde describa la situación, riesgos existentes,
deficiencias y posibles soluciones.
Procesos de calidad
Necesidades del cliente:
1. calidad de productos y servicios
2. plazo de entrega adecuado
3. costo dentro de límites fijado
Controles:
1. Controles directivos: establecen las bases, como las políticas, creación de
comités relacionados a la seguridad o sistemas de información interna.
2. Controles preventivos: antes del hecho como identificación de visitas
(seg física) y contraseñas (seg lógica)
3. Controles de detección: ejemplo: revisiones de accesos o detección de
incendios.
4. Controles correctivos: rectificar errores, negligencias o acciones
intencionadas, como la recuperación de un archivo dañado.
5. Controles de recuperación: que facilitan la vuelta a la normalidad
después de accidentes o contingencias, como puede ser un plan de
continuidad adecuado.
COBIT