Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
M. Sc. Miguel Cotaña Mier Lp, junio de 2020
AUDITORIA INFORMÁTICA
UNIVERSIDAD MAYOR DE SAN ANDRES
FACULTAD DE CIENCIAS PURAS Y NATURALES
CARRERA DE INFORMÁTICA
1
Proceso de la auditoria
Es el proceso de recoger, agrupar yevaluar evidencias para determinar si unsistema informatizado salvaguarda losactivos, mantiene la integridad de losdatos y utiliza los recursos en formaeficiente.
¿Qué es una AUDITORÍA INFORMÁTICA?
✓Evaluar las fortalezas y debilidades del sistema;
✓Detectar oportunidades para la mejora continua;
✓Verificar la capacidad de los procesos para
alcanzar los resultados planificados;
✓Ejecutar seguimiento de la eficacia de las
acciones correctivas y preventivas;
✓ Identificar problemas y corregirlos o prevenirlos.
¿Para QUÉ realizar auditorías?
✓Evaluar el nivel de desempeño de los recursos de
la entidad a auditar;
✓Examinar los métodos y procedimientos utilizados
en el control y operaciones en las diversas áreas,
observando el grado de confiabilidad y eficacia;
✓Conocer el entorno o medio ambiente;
✓Establecer planes institucionales adecuados a la
proyección de Gobierno.
OBJETIVOS
✓Pericia en la aplicación de las normas,
procedimientos y técnicas de auditoría para el
desarrollo de las revisiones;
✓Habilidad para: aplicar amplios conocimientos a
situaciones que posiblemente se vayan
encontrando, reconocer las desviaciones
significativas y poder llevar a cabo las
investigaciones necesarias para alcanzar
soluciones razonables;
✓Habilidad para comunicarse;
HABILIDADES DE LOS AUDITORES
✓Los auditores informáticos son responsables de
continuar su desarrollo profesional para poder
mantener su pericia profesional;
✓Los auditores informáticos deben ejercer el
debido cuidado profesional al realizar sus
auditorías. El cuidado profesional, deberá estar
de acuerdo con la complejidad de la auditoría que
se realiza. Deben estar atentos a la posibilidad de
errores intencionales, de omisiones, de la
ineficiencia, del desperdicio, de la inefectividad y
del conflicto de intereses;
✓El debido cuidado implica una razonable
capacidad, no infalibilidad ni acciones
extraordinarias. Requiere que el auditor realice
exámenes y verificaciones con un alcance
razonable, pero no requiere auditorías detalladas
de todas las operaciones. Por consiguiente: El
auditor no puede dar una absoluta seguridad de
que no existan incumplimientos o irregularidades.
✓Cuando el auditor detecte una irregularidad que
va en contra de lo establecido deberá informar a
la autoridad competente.
El desarrollo de una auditoría se basa en la
aplicación de normas, técnicas y procedimientos de
auditoría.
El auditor adquiere responsabilidades, no
solamente con la persona que directamente
contratan sus servicios, sino con un número de
personas desconocidas para él que van a utilizar el
resultado de su trabajo como base para tomar
decisiones.
El marco de trabajo, lo define el equipo de
auditores.
PROCESO DE LA AUDITORIA
ETAPA DE PLANEACION
DE LA AUDITORIA
ETAPA DE EJECUCIÓN
DE LA AUDITORIA
ETAPA DE INFORME
DE LA AUDITORIA
ETAPAS DE LA AUDITORÍA
Planeación de la Auditoría 10
De acuerdo con la Norma Internacional de
Auditoria, NIA 300:
“La auditoría de Estados Financieros
requiere de una planeación adecuada para
alcanzar sus objetivos en la forma más
eficiente”
El objetivo del auditor es planear la
auditoria para que sea realizada de manera
efectiva
Es la columna
vertebral de la
auditoria que
se construye
en base al
conocimiento
Debido a los continuos cambios que se
presentan en el día a día, es importante
comprender:
✓ Aspectos internos y;
✓ Aspectos externos.
que influyen en los resultados de la
entidad. Entender bien el negocio,
permitirá al auditor identificar riesgos y
calificarlos de acuerdo con su probabilidad
de ocurrencia y su impacto.
TIPS PARA LA PLANEACIÓN
La alta gerencia, designará mediante memorándums
al Supervisor Evaluador y al equipo de auditores.
A través de la gestión de información obtenida
previamente, los ASI deberán:
✓Entender la naturaleza de la organización y los
procesos de negocio que fueron automatizados
(verificar leyes que respalden la creación de la
entidad y normativas internas)
✓Comprender del objeto de auditoria: diseño
conceptual, políticas de gestión, registro de
datos, niveles de seguridad y uso de las redes de
comunicación;
✓Identificar políticas, procedimientos, normas y
estrategias que cumplan los objetivos de la
organización haciendo uso de TI;
✓Comprender la relación del área de sistemas
respecto a la misión de la organización.
La planeación de la Auditoria garantiza el diseño de
una estrategia adaptada a las condiciones de cada
entidad tomando como base la información
recopilada en el diagnóstico preliminar;
En este proceso se organiza todo el trabajo de
Auditoria, las personas implicadas, las tareas a
realizar por cada uno, los recursos necesarios, los
objetivos, programas a aplicar entre otros.
Previo a la elaboración del plan de auditoria, se
debe investigar todo lo relacionado de la entidad a
auditar, para poder elaborar el plan en forma
objetiva. Este análisis debe contemplar: su
naturaleza operativa, su estructura organizacional,
giro del negocio, capital, estatutos de constitución,
disposiciones legales que la rigen, sistema contable
que utiliza, volumen de sus ventas, y todo aquello
que sirva para comprender exactamente cómo
funciona la empresa.
1.- Conocimiento y comprensión
Los objetivos indican el
propósito por lo que es
contratada la firma de auditoria,
qué se persigue con el examen,
para qué y por qué. Si es con el
objetivo de informar a la gerencia
sobre el estado real de la
empresa, o si es por
cumplimiento de los estatutos
que mandan efectuar auditorias
anualmente, en todo caso,
siempre se cumple con el
objetivo de informar a los socios,
a la gerencia y resto de
interesados sobre la situación
encontrada para que sirvan de
base para la toma de decisiones.
El alcance tiene que ver porun lado, con la extensión delexamen, es decir, si se van aexaminar todos los sistemasde información, o solo uno deellos, o una parte de uno deellos, o más específicamente(BD, seguridad, desarrollo,redes, etc.)
Por otro lado el alcancetambién puede estar referidoal período a examinar: puedeser de un año, de un mes, deuna semana, y podría serhasta de varios años.
2.- Objetivos y alcance
Este análisis reviste de vital importancia en
esta etapa, porque de su resultado se
comprenderá la naturaleza y extensión del
plan de auditoria y la valoración y
oportunidad de los procedimientos a
utilizarse durante el examen.
3.- Análisis preliminar de control interno
Su objetivo es obtener información necesaria para
que el auditor pueda tomar la decisión de cómo
proceder en la auditoría. Al terminar el análisis
preliminar el auditor puede optar por:
✓Diseño de la auditoría. Puede haber problemas debido
a la falta de competencia técnica;
✓Realizar una revisión detallada de los controles
internos de los sistemas.
Para recolectar evidencias se deben establecer
diferentes mecanismos o técnicas que el auditor
deberá dominar y estas son entre otras:✓ Visitas al lugar;
✓ Observación de las actividades de la entidad;
✓ Entrevistas y encuestas;
✓ Análisis comparativos de sistemas;
✓ Análisis FODA (Fortalezas, oportunidades, debilidades,
amenazas);
✓ Análisis Causa-Efecto o Espina de Pescado;
✓ Árbol de Objetivos.- Desdoblamiento de Complejidad;
✓ Árbol de Problemas.
Obtener información necesaria para que el auditor
tenga un profundo entendimiento de los controles
usados dentro del área informática.
El auditor debe decidir si debe de continuar
elaborando pruebas de cumplimiento o
consentimiento o proceder directamente a la
revisión con los usuarios (controles
compensatorios), o a las pruebas sustantivas.
REVISIÓN DETALLADA
El objetivo es determinar si los controles internos
operan como fueron diseñados para operar. El
auditor debe determinar si los controles declarados
en realidad existen y si realmente trabajan
confiablemente.
Además de las técnicas manuales de recolección de
evidencias, muy frecuentemente el auditor debe
recurrir a técnicas de recolección de información
asistidas por computadora, para determinar la
existencia y confiabilidad de los controles.
directamente en el sistema.
PRUEBAS DE CONSENTIMIENTO
El objetivo es obtener evidencia suficiente que
permita al auditor emitir su juicio en las
conclusiones:
✓Pruebas para identificar errores en el
procesamiento o de falta de seguridad o de
confidencialidad;
✓Pruebas para asegurar la calidad de los datos;
✓Pruebas para identificar la inconsistencia de los
datos;
PRUEBAS SUSTANTIVAS
✓Pruebas para comparar con los datos o contadores
físicos;
✓Confirmación de datos de fuentes externas;
✓Pruebas para confirmar la adecuada
comunicación;
✓Pruebas para determinar falta de seguridad;
✓Pruebas para determinar problemas de legalidad.
✓Obtener información de todos los asuntos
relacionados con objetivos y alcances de la
auditoría;
✓La información deberá ser suficiente, competente,
relevante y útil para que proporcione bases
sólidas en relación con los hallazgos y
recomendaciones de la auditoría;
EXAMEN Y EVALUACIÓN
✓Los procedimientos de auditoría, incluyendo el
empleo de las técnicas de pruebas selectivas y el
muestreo estadístico, deberán ser elegidos con
anterioridad, cuando esto sea posible, y ampliarse
o modificarse cuando las circunstancias lo
requieran;
✓El proceso de recabar, analizar, interpretar y
documentar la información deberá supervisarse
para proporcionar una seguridad razonable de que
la objetividad del auditor se mantuvo y que las
metas de auditoría se cumplieron;
✓Los documentos de trabajo de la auditoría
deberán ser preparados por los auditores y
revisados por la gerencia de auditoría;
✓Reportar resultados del trabajo de auditoría;
✓Validar las conclusiones y recomendaciones
antes de emitir el informe final;
✓Los informes presentarán el propósito, alcance y
resultados de la auditoría y, cuando se considere
apropiado, contendrán la opinión del auditor.
El Riesgo en auditoria representa la
posibilidad de que el auditor exprese una
opinión errada en su informe debido a que
la operativa de los sistemas o la
información suministrada a él estén
afectados por una distorsión material o
normativa.
4.- Análisis de riesgos y materialidad
El riesgo inherente es la posibilidad de que existan errores
significativos en la información auditada, al margen de la
efectividad del control interno relacionado; son errores que no se
pueden prever;
El riesgo de control está relacionado con la posibilidad de que
los controles internos imperantes no prevén o detecten fallas que
se están dando en sus sistemas y que se pueden remediar con
controles internos más efectivos;
El riesgo de detección es el riesgo de que los procedimientos
aplicados por el auditor para reducir el riesgo de auditoría a un
nivel aceptablemente bajo no detecten la existencia de una
incorrección que podría ser material, considerada individualmente
o de forma agregada con otras incorrecciones.
Tipos de riesgo
Para cada auditoria que se va a practicar, se debe
elaborar un plan. Esto lo contemplan las Normas
para la ejecución. Este plan debe ser técnico y
administrativo. El plan administrativo debe
contemplar todo lo referente a cálculos
monetarios a cobrar, personal que conformarán
los equipos de auditoria, horas hombres, etc.
5.- Planeación específica de la auditoría
Para poder analizar y dimensionar la estructura a auditar
se debe solicitar:
✓A nivel organizacional:
▪ Objetivos a corto y largo plazos;
▪ Manual de Organización y Funciones;
▪ Antecedentes o historia de la entidad;
▪ Políticas generales.
✓A nivel del área de informática:
▪ Objetivos a corto y lago plazos.
▪ Manual de organización del área que incluya: puestos,
funciones, niveles jerárquicos y cadenas de mando;
▪ Manual de políticas, Normas, reglamentos internos y
lineamientos generales;
▪ Número de personas y puestos en el área;
▪ Procedimientos administrativos del área;
▪ Presupuestos y costos del área.
✓A nivel de recursos materiales y técnicos:
▪ Documentación sobre equipos, así como número,
localización y características;
▪ Estudios de viabilidad;
▪ Fechas de instalación de equipos y planes de instalación;
▪ Contratos vigentes de compra, alquileres, mantenimientos,
etc.
▪ Contratos de seguros;
▪ Convenios con otras instalaciones;
▪ Configuración de equipos actuales y capacidades actuales y
máximas;
▪ Configuración de equipos de comunicación y localización
de equipos;
▪ Planes de expansión;
▪ Ubicación general de equipos;
▪ Políticas de operación;
▪ Políticas de uso de equipos;
▪ Políticas de seguridad física y prevención contra
contingencias internas y externas.
✓A nivel de sistemas:
▪ Descripción general de los sistemas instalados y de los que
estén por instalarse;
▪ Manual de procedimientos de los sistemas;
▪ Metodologías de desarrollo;
▪ Manual técnico y manual del usuario;
▪ Proyectos de desarrollo de nuevos sistemas.
▪ Bases de datos, propietarios de la información y usuarios de
la misma.
▪ Políticas y procedimientos de seguridad, riesgos y
contingencias.
Al evaluar se pueden presentar las siguientes situaciones:
✓Se solicita la información y se ve que:
▪ No se tiene y se necesita;
▪ No se tiene y no se necesita;
✓Se tiene la información pero:
▪ No se usa;
▪ Es incompleta;
▪ No está actualizada;
▪ No es la adecuada;
▪ Se usa, está actualizada, es la adecuada y está completa.
Cada miembro del equipo de auditoria debe tener en sus
manos el programa detallado de los objetivos y
procedimientos de auditoria objeto de su examen.
Ejemplo: si un auditor va a examinar la BD y otro va a
examinar el Data Center, cada uno debe tener los objetivos
que se persiguen con el examen y los procedimientos que se
corresponden para el logro de esos objetivos planteados. Es
decir, que debe haber un programa de auditoria para la BD
y otro programa de auditoria para la auditoria del Data
Center, y así sucesivamente. De esto se deduce que un
programa de auditoria debe contener dos aspectos
fundamentales: Objetivos de la auditoria y Procedimientos
a aplicar durante el examen de auditoria.
6.- Elaboración programa de trabajo
Para cada entidad u organismo se organizará un archivo
permanente de papeles de trabajo que contenga la
información básica que pueda ser utilizada en futuras
auditorias o exámenes especiales.
El archivo permanente contendrá copias o extractos de la
información aplicable a la empresa y principalmente:
a) Disposiciones legales y normativas.
b) Manuales, organigramas y reglamentos internos.
c) Estatutos de constitución de la empresa.
d) Contrato a largo plazo.
e) Análisis del activo fijo.
ARCHIVO PERMANENTE
Ejecución de la Auditoría 41
En esta fase se realizan diferentes tipos de pruebas y análisis
a los sistemas y tecnología informática para determinar su
razonabilidad. Se detectan los errores, si los hay, se evalúan
los resultados de las pruebas y se identifican los
hallazgos. Se elaboran las conclusiones y recomendaciones
y se las comunican a las autoridades de la entidad auditada.
Aunque las tres fases son importantes, esta fase viene a ser el
centro de lo que es el trabajo de auditoria, donde se realizan
todas las pruebas y se utilizan todas las técnicas o
procedimientos para encontrar las evidencias de auditoria
que sustentarán el informe de auditoria.
EJECUCIÓN
1.Las Pruebas de Auditoria
2.Técnicas de Muestreo
3.Evidencias de Auditoria
4.Papeles de Trabajo
5.Hallazgos de Auditoria
Elementos de la fase de ejecución
Son técnicas o procedimientos que utiliza el auditor para la obtención de
evidencia comprobatoria.
Las pruebas pueden ser de tres tipos:
A) Pruebas de control
B) Pruebas de consentimiento o analíticas
C) Pruebas sustantivas
Las pruebas de control están relacionadas con el grado de efectividad del
control interno imperante.
Las pruebas analíticas o de consentimiento se utilizan haciendo
comparaciones entre dos o más componentes o haciendo un análisis de la
información resultante de la entidad para observar su comportamiento.
Las pruebas sustantivas son las que se aplican a cada módulo en particular
en busca de evidencias comprobatorias. Ejemplo, modelado del sistema,
diseño de la Base de Datos, etc
Pruebas de auditoría
Se usa la técnica de muestreo ante la
imposibilidad de efectuar un examen a la
totalidad de los datos. Por tanto esta técnica
consiste en la utilización de una parte de los
datos (muestra) de una cantidad de datos
mayor (población o universo).
El muestreo que se utiliza puede ser
Estadístico o No Estadístico.
TÉCNICAS DE MUESTREO
Se llama evidencia de auditoria a "Cualquier información que utiliza el auditor para
determinar si la información cuantitativa o cualitativa que se está auditando, se
presenta de acuerdo al criterio establecido".
• También se define la evidencia, como la prueba adecuada de auditoria. La
evidencia adecuada es la información que cuantitativamente es suficiente y
apropiada para lograr los resultados de la auditoria y que cualitativamente, tiene
la imparcialidad necesaria para inspirar confianza y fiabilidad;
• La evidencia es suficiente, si el alcance de las pruebas es adecuado. Solo una
evidencia encontrada, podría ser no suficiente para demostrar un hecho;
• La evidencia es pertinente, si el hecho se relaciona con el objetivo de la
auditoria;
La evidencia es competente, si guarda relación con el alcance de la auditoria y
además es creíble y confiable.
Además de las tres características mencionadas de la evidencia (Suficiencia,
Pertinencia y Competencia), existen otras que son necesarias mencionar, porque
están ligadas estrechamente con el valor que se le da a la evidencia: Relevancia,
Credibilidad, Oportunidad y Materialidad.
Evidencia de auditoría
1. Evidencia Física: muestra de
materiales, mapas, fotos.
2. Evidencia Documental: cheques,
facturas, contratos, etc.
3. Evidencia Testimonial: obtenida de
personas que trabajan en el negocio o
que tienen relación con el mismo.
4. Evidencia Analítica: datos
comparativos, cálculos, etc.
Tipos de evidencia
Son los archivos o legajos que maneja el auditor y que
contienen todos los documentos que sustentan su trabajo
efectuado durante la auditoria.
Estos archivos se dividen en Permanentes y Corrientes; el
archivo permanente está conformado por todos los
documentos que tienen el carácter de permanencia en la
empresa, es decir, que no cambian y que por lo tanto se
pueden volver a utilizar en auditorias futuras; como los
Estatutos de Constitución, contratos de arriendo, informe
de auditorias anteriores, etc.
Papeles de trabajo
El archivo corriente está formado por todos
los documentos que el auditor va utilizando
durante el desarrollo de su trabajo y que le
permitirán emitir su informe previo y final.
Los papeles de trabajo constituyen la
principal evidencia de la tarea de auditoria
realizada y de las conclusiones alcanzadas
que se reportan en el informe de auditoria.
a) Registrar el conocimiento de la entidad y su sistema de control
interno.
b) Documentar la estrategia de auditoria.
c) Documentar la evaluación detallada de los sistemas, las
revisiones de transacciones y las pruebas de cumplimiento.
d) Documentar los procedimientos de las pruebas de sustentación
aplicadas a las operaciones de la entidad.
e) Mostrar que el trabajo de los auditores fue debidamente
supervisado y revisado
f) Registrar las recomendaciones para el mejoramiento de los
controles observados durante el trabajo.
La efectividad de los papeles de trabajo depende de la calidad, no de
la cantidad. Se debe considerar la Referenciación de los papeles de
trabajo y las Marcas de Auditoría
Los PT son utilizados para:
Se considera que los hallazgos en auditoria son las diferencias significativas encontradas en el trabajo de auditoria con relación a lo normado o a lo presentado por la gerencia.
Atributos del hallazgo:
Condición: la realidad encontrada
Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser)
Causa: qué originó la diferencia encontrada.
Efecto: qué efectos puede ocasionar la diferencia encontrada.
Recomendación
Hallazgos
Informe de la Auditoría 52
El informe de Auditoría debe contener a lo menos:
✓ Dictamen sobre TI y/o tecnología relacionada;
✓ Informe sobre la estructura del Control Interno de la
entidad;
✓ Conclusiones y recomendaciones resultantes de la
Auditoría;
✓ Deben detallarse en forma clara y sencilla, los
hallazgos encontrados.
INFORME