ELPROCESODEAUDITORIADE SISTEMASDEINFORMACION

Ms.Ing.EdwinValenciaCastillo.CISA evalencia@unc.edu.pe www.unc.edu.pe\~evalencia

DepartamentodeSistemas FacultaddeIngeniera UNC

Auditora de SI: Proceso de

Recoger, Agrupar y Evaluar Evidencias para determinar si un SI: SALVAGUARDA los activos de informacin MANTIENE la Integridad y confidencialidad de la Informacin y Datos LLEVA a cabo los fines de la Organizacin UTILIZA eficientemente los recursos

PROCESO
En forma independiente del tipo de auditoria que se trate, se desarrollan las siguientes actividades:

PlanearlaAuditoria
Primeraactividaddelaauditoria Tener previamente el requerimiento para desarrollar un trabajo de auditoria (aqu se especifican los objetivos del trabajo y las condiciones generales del mismo) Proceder a obtener un conocimiento general de la empresa: caractersticas, infraestructura tecnolgica, sistemas de informacin, reas de riesgo, objetivos estratgicos, otros asuntos de inters sobre la auditoria a realizar. Realizar el trabajo de planeacin, determinando los procedimientos, personal responsable, fechas y duracin aproximada.

AnalizaryevaluarelcontrolInterno
Preparara programas de trabajo especficos, que permitan obtener informacin sobre los procedimientos de control, que la empresa tiene establecidos para apoyar sus objetivos del negocio. Comoobtengoestainformacin? Entrevistas Observacinoinspeccindocumental Documentar Yluegoque.!

AnalizaryevaluarelcontrolInterno continuacin
Fundamentar un anlisis sobre la probable efectividad y eficiencia del sistema de control para lograr sus objetivos, cualesquiera que estos sean (integridad de la informacin, salvaguarda de activos, continuidad de operaciones, imagen, posicionamiento competitivo, etc.) ENTREMEJORSEAELSISTEMADECONTROL,MEJOR SERALAPROBABILIDADDEQUELOSOBJETIVOSSEAN ALCANZADOS

Aplicarpruebasdeauditora
Con base en el anlisis del control interno, se puede optar por aplicar dos tipos de pruebas: Pruebas de cumplimiento: Permiten verificar la efectividad de los procedimientos de control, son tcnicas de prueba que evalan Los procesos de trabajo existentes en la empresa. Con esta prueba se ratifica o rectifica el juicio preliminar sobre el adecuado control y sentar las bases para aplicar una segunda prueba.

Aplicarpruebasdeauditora cont.
Pruebas sustantivas: Orientadas a los productos de los procesos de trabajo y no a los procesos en si. Especficamente cuando se trata de una auditoria en SI, las pruebas pueden implicar la utilizacin de sistemas de software desarrollados especficamente para tal efecto, ya sea para efectuar pruebas a la informacin (ACL, IDEA, etc.) o efectuar pruebas a los componentes de la infraestructura tecnolgica (Panda Invent, 3COM Network Supervisor, Wireshark, Lan Surveyor, etc)

Aplicarpruebasdeauditora cont.
Losresultadosdelaspruebassirvenpara fundamentardostiposdeconclusiones: Sobre lo adecuado y confiable del sistema de control interno (procesos de trabajo). Se sustenta en los resultados de las pruebas de cumplimiento. Medida en que se ha alcanzado los objetivos de la empresa, cuyo cumplimiento estn orientados a los procedimientos de control. Se fundamenta en los resultados de las pruebas sustantivas.

Informarsobrelosresultados
Preparar un informe sobre su trabajo, los resultados del mismo, las conclusiones correspondientes y las sugerencias para mejorar las deficiencias encontradas. El auditor debe indicar claramente cual es su nivel de involucramiento y responsabilidad en el trabajo realizado.

Efectuarelseguimiento
Una revisin arroja deficiencias o debilidades de control en la empresa, estas a su vez representan oportunidades de mejora. Con base en estas oportunidades, el auditor emite recomendaciones que se convierten en compromisos para los responsables de las reas auditadas. Se deben efectuar revisiones de seguimiento para evaluar el nivel de cumplimiento de dichos compromisos y el impacto que esto pueda tener para la empresa.

SupervisarelTrabajo
Se debe ejercer una adecuada supervisin, especficamente de aquel personal con menor experiencia, ya que en ultima instancia, el auditor es el principal responsable de su trabajo ante cualquier persona que lo utilice.

CONSIDRACIONESADICIONALESENUNA AUDITORIATIPICA
Un programa no sigue necesariamente un conjunto especifico de pasos, el auditor de SI generalmente seguira pasos secuenciales del programa para obtener un entendimiento de la entidad que se esta auditando, evaluar la estructura de control y probar los controles. Todos los planes, programas, actividades, pruebas, hallazgos e incidentes de auditoria debern estar debidamente documentados en papeles de trabajo. Su formato y medios son opcionales, pero la debida diligencia y mejores practicas requieren que los documentos de trabajo estn fechados, inicializados, con paginas numeradas, sean relevantes, completos, claros, autoexplicativos y debidamente etiquetados, archivados y mantenidos en custodia. Los papeles de trabajo se pueden considerar los puentes entre los objetivos y el informe final de auditoria.

DETECCIONDEFRAUDES
Los auditores de SI deben tener conocimiento sobre fraudes e indicadores de fraude, y durante la ejecucin de un trabajo de auditoria, estar alertas a la posibilidad de fraudes y errores. La direccin debe asegurarse por medio de los auditores de SI, sobre el estado de los controles internos y su capacidad para disuadir y detectar fraudes y recomendaciones para mejorar el control interno. Cuando se encuentre con cualquier instancia de fraude o indicador de fraude, hay que comunicar a las autoridades competentes a fin de realizar una investigacin mas detallada.

LARELACIONCONLOSFRAUDES
Una palabra usada indebidamente es Fraude, que implica la existencia de dolo y premeditacin en un acto que perjudica a la empresa donde se efecta y/o beneficia el perpetrador. La auditoria no detecta FRAUDES, sin embargo mediante su desarrollo pueden salir a la luz situaciones irregulares que ameriten la atencin de la empresa. Existe un concepto que debe llamar mas la atencin ERROR, acto involuntario en que se incurre y que provoca una situacin no deseada siendo la negligencia una caracterstica que acompaa eternamente a las actividades desempeadas por los seres humanos y que incrementa la probabilidad de ocurrencia de errores.

TIP

EL ERROR Y LA NEGLIGENCIA AFECTAN EN MUCHA MAYOR PROPORCION A LAS EMPRESAS QUE LOS PROPIOS FRAUDES.

RIESGODEAUDITORIAYMATERIALIDAD
Cada vez ms, organizaciones estn pasndose a un mtodo de auditoria basado en riesgo que usualmente esta adaptado para desarrollar y mejorar de manera continua el proceso de auditoria. El riesgo de auditoria puede ser definido como el riesgo de que la informacin / informe financiero pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de auditoria.

RIESGODEAUDITORIAYMATERIALIDAD
La tendencia actual es a usar un mtodo basado en riesgos. Este mtodo se usa para evaluar riesgos y para apoyar la decisin del auditor para realizar pruebas de cumplimiento o pruebas sustantivas. Este mtodo apoya a determinar la naturaleza y la extensin de las pruebas, adems de determinar que prueba realizar (cumplimiento o sustantiva) En un enfoque basado en riesgos, no solo se debe basar en el riesgo, sino tambin en los controles internos y operativos y los conocimientos de la empresa.

RIESGODEAUDITORIAYMATERIALIDAD
RIESGO INHERENTE: El riesgo de que exista un error que podra ser material o significativo cuando esta combinando con otros errores encontrados durante la auditoria suponiendo que no hay controles compensatorios relacionados. Existen independientemente de una auditoria y pueden ocurrir debido a la naturaleza del negocio. RIESGO DE CONTROL: El riesgo de que exista un error material que no sea prevenido ni detectado oportunamente por el sistema de controles internos.

RIESGODEAUDITORIAYMATERIALIDAD
RIESGO DE DETECCION: El riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores materiales cuando en realidad existen. RIESGO GENERAL DE AUDITORIA: El riesgo total de auditoria es la combinacin de las categoras individuales de riesgos de auditoria determinados por cada objetivo de control.

ENFOQUEDEAUDITORIABASADAENRIESGOS
REUNIR INFORMACION Y PLANIFICAR 1. Conocimiento del Negocio y de la industria 4. Leyes regulatorias 2. Resultados de auditoria del periodo anterior 5. Estimacin de riesgos inherentes 3. Informacin financiera reciente

LOGRAR ENTENDER EL CONTROL INTERNO 1. Ambiente de control 4. Determinacin del control del riesgo 2. Procedimientos de control 5. Poner en ecuacin el riesgo total 3. Determinacin de la deteccin del riesgo

EFECTUAR PRUEBAS DE CUMPLIMIENTO 1. Comprobar las polticas y procedimientos 2. Comprobar la segregacin de tareas.

EFECTUAR PRUEBAS SUSTANTIVAS 1. Procedimientos analticos 3. Otros procedimientos sustantivos de 2. Pruebas detalladas de balances de cuentas auditoria.

1. Crear recomendaciones

CONCLUIR LA AUDITORIA 2. Redactar el informe de auditoria.

PRUEBASDECUMPLIMIENTOVSPRUEBAS SUSTANTIVAS
Las pruebas de cumplimiento determina si los controles estn siendo aplicados en una forma que cumple con las polticas y los procedimientos de la gerencia. (Ejemplo: verificar que los controles de librera de programas estn funcionando correctamente, escogiendo una muestra de programas para determinar si las versiones fuente y objeto son las mismas) El objetivo de cualquier prueba de cumplimiento es por lo tanto proveer a los auditores la garanta razonable de que un control en particular este operando como se percibi en la evaluacin preliminar.

PRUEBASDECUMPLIMIENTOVSPRUEBAS SUSTANTIVAS La prueba sustantiva fundamenta la integridad de un procesamiento real. Provee evidencias de la validez y de la correccin de los balances de los estados financieros y las transacciones que respaldan estos balances. Estas pruebas se usan para comprobar si hay errores monetarios que afectan directamente los balances de los estados financieros.

RELACIONENTREPRUEBASDECUMPLIMIENTOY PRUEBASSUSTANTIVAS
Revisin del Sistema para identificar los controles

Pruebas de cumplimiento para determinar si los controles estn funcionando

Evaluacin de los controles para determinar la base en la cual basarse y la naturaleza, el alcance y la sincronizacin de las pruebas sustantivas

Dos tipos de pruebas sustantivas para evaluar la validez de los datos

Pruebas de los balances y transacciones

Procedimientos analticos de revisin

EVIDENCIA
La evidencia es cualquier informacin usada por el auditor de SI para determinar si la entidad o los datos que estn siendo auditados cumplen con los criterios u objetivos de auditoria establecidos. Es un requisito que las conclusiones del auditor deben estar basadas en evidencia suficiente, relevante y competente.. La evidencia de auditoria puede incluir observaciones, notas tomadas de las entrevistas, material extrado de la correspondencia y documentacin interna o los resultados de procedimientos de prueba de auditoria.

DETERMINANTESPARAEVALUARLA CONFIABILIDADDELASEVIDENCIASDEAUDITORIA
Independencia del proveedor de la evidencia: La evidencia obtenida de fuentes externas es mas confiable que la obtenida dentro de la organizacin. Calificacin de la persona que suministra la informacin o evidencia. Objetividad de la evidencia: La evidencia objetiva es mas confiable que la que requiere opinin o interpretacin considerable. Tiempo de disponibilidad de la evidencia: Se debe considerar el tiempo durante el cual la informacin existe o esta disponible para determinar la naturaleza, el tiempo y el grado de prueba sustantiva y su fuera aplicable la prueba de cumplimiento.

PREGUNTAS