Auditora de procesos con alto grado

de automatizacin*

*connectedthinking

PwC

Agenda

Ambiente tecnolgico
Mapeo de procesos
Identificacin de riesgos
Identificacin de controles
Pruebas de controles

Ambiente tecnolgico
Revisiones del hardware
Revisar procedimientos de administracin de la capacidad
del hardware
Revisar el plan de adquisicin del hardware
Revisar criterios de adquisicin de PCs
Revisar controles de administracin de cambios
- Planificacin
- Pruebas
- Documentacin
- Informados (tcnicos y usuarios)
- No interfieren con la operativa habitual
PricewaterhouseCoopers

Setiembre 2006
Slide 3

Ambiente tecnolgico
Revisiones del software de base
Entrevistar al personal del servicio tcnico
Auditar la adquisicin y mantenimiento de software
Revisar el procedimiento de seleccin
Revisar el estudio de factibilidades
Revisar el anlisis costo/beneficio
Revisar controles de instalacin
Revisar actividades de mantenimiento
Revisar controles de cambios
Revisar la documentacin
Revisar procedimientos de implementacin
Revisar aspectos de seguridad
PricewaterhouseCoopers

Setiembre 2006
Slide 4

Ambiente tecnolgico
Revisiones a la LAN
Topologa de la LAN y diseo
Identificar dispositivos
Identificar Administrador
Comprender las funciones del Administrador
Grupo de trabajo de la LAN
Medio y tcnicas de transmisin
Controles de seguridad fsica asociados a las LANs
Controles de seguridad ambiental asociados a las LANs
Controles de seguridad lgica (Polticas)

PricewaterhouseCoopers

Setiembre 2006
Slide 5

Ambiente tecnolgico
Controles de operacin de la red
Planes de implantacin, conversin y prueba
Planes de controles eficaces sobre hardware y software
Encripcin
Polticas de seguridad

PricewaterhouseCoopers

Setiembre 2006
Slide 6

Ambiente tecnolgico
Revisin de las operaciones de IT
Observaciones al personal
Observacin y prueba de funciones de operacin
Operaciones del CPD
- Nivel de acceso del operador
- Administracin de bibliotecas
- Segregacin de funciones
- Planificacin del trabajo
- Procedimientos de cambios de emergencia
Administracin de archivos
Control de ingreso de datos
PricewaterhouseCoopers

Setiembre 2006
Slide 7

Ambiente tecnolgico
Auditando aspectos particulares:
Situaciones de contingencia
Conexiones con Internet
- Servicios
- Infraestructura
- Procedimientos de control de cambios
- Seguridad lgica
Software de deteccin de intrusos
Software de deteccin de virus
Firewall
Encripcin
PricewaterhouseCoopers

Setiembre 2006
Slide 8

Mapeo de procesos

Comprender el rea a auditar

Identificar los riesgos
Clasificarlos (Anlisis de Riesgos)
Buscar los controles clave (asociados a los riesgos ms
materiales) y probarlos

PricewaterhouseCoopers

Setiembre 2006
Slide 9

Mapeo de procesos

Proceso

Control

Documentos

Base de datos/
archivos

Display
(en pantalla)

Conector
Decisin

PricewaterhouseCoopers

Setiembre 2006
Slide 10

Mapeo de procesos

Para definir una entrada, el proceso o control y la salida, se debe

tener en cuenta lo siguiente:
Cul es la informacin de entrada (papel o archivo)?
Dnde se crea la entrada?
Cules son los datos permanentes?
Cules son los archivos creados/actualizados por el
proceso como salida?
Cules son los documentos/reportes creados como salida?
Dnde se usa la salida?

PricewaterhouseCoopers

Setiembre 2006
Slide 11

Identificacin de riesgos

Proceso
Identificar potenciales amenazas y determinar su impacto en
relacin a las vulnerabilidades.
Identificar y evaluar los controles existentes que prevengan,
detecten la ocurrencia y/o mitiguen el impacto.
Clasificar los riesgos identificados considerndolos junto a los
controles que los mitigan.

PricewaterhouseCoopers

Setiembre 2006
Slide 12

Identificacin de Controles
Definicin de Control

Polticas, prcticas y estructuras organizativas diseadas

para asegurar razonablemente que se pueden alcanzar los
objetivos del negocio, y que los eventos indeseables son
prevenidos o detectados y corregidos.

PricewaterhouseCoopers

Setiembre 2006
Slide 13

Identificacin de Controles
Clasificacin
Controles preventivos
- Identifican potenciales problemas antes de que ocurran
- Monitorean operaciones y E/S
- Previenen errores, omisiones o actos maliciosos
Controles Detectivos
- Identifican y reportan la ocurrencia de un error, omisin o
acto malicioso ocurrido
Controles Correctivos
- Minimizan el impacto de una amenaza
- Solucionan errores detectados por controles detectivos
- Identifican la causa de los problemas y corrigen errores
producidos
- Modifican los procedimientos para minimizar futuras
ocurrencias del problema
PricewaterhouseCoopers

Setiembre 2006
Slide 14

Identificacin de Controles
Objetivo de Control Interno
Contables
- Orientados a la funcin contable
- Persiguen la proteccin de activos y correctitud de los
registros contables
Operativos
- Orientados a las operaciones diarias de la organizacin
- Persiguen asegurar que las funciones y actividades estn
alineadas con los objetivos de la organizacin
Administrativos
- Orientados a las funciones administrativas
- Persiguen la eficiencia de las mismas en adherencia a las
normas de la gerencia
PricewaterhouseCoopers

Setiembre 2006
Slide 15

Identificacin de Controles
Objetivos de Control de IT
Conjunto de controles mnimos para asegurar la efectividad,
eficiencia y economa en la identificacin y utilizacin de los
recursos de IT
Ejemplos:
La informacin se encuentra resguardada
Cada transaccin se autoriza e ingresa una sola vez
Se informan las transacciones duplicadas o rechazadas
Se hacen respaldos
Cambios de software debidamente probados y aprobados

PricewaterhouseCoopers

Setiembre 2006
Slide 16

CobiT
Planificacin y Organizacin
PO1
PO2
PO3
PO4

Definir del Plan estratgico de TI

Definir la arquitectura de la informacin
Determinar de los lineamientos tecnolgicos
Definir la estructura organizativa de TI y sus
dependencias
PO5 Administrar de las inversiones en TI
PO6 Comunicar los objetivos y directivas de la
gerencia
PO7 Administrar los recursos humanos
PO8 Asegurar que se cumple con los
requerimientos externos
PO9 Evaluar los riesgos
PO10 Administrar proyectos
PO11 Administrar la calidad

Monitoreo
M1 Monitorear los procesos
M2 Evaluar la adecuacin respecto a la estructura de
control interno
M3 Obtener aseguramiento independiente
M4 Proveer auditora independiente
PricewaterhouseCoopers

Adquisicin e implementacin
AI1 Identificar soluciones automticas
AI2 Adquirir, desarrollar y mantener los
sistemas de aplicacin
AI3 Adquirir y mantener la infraestructura
tecnolgica
AI4 Desarrollar y mantener los
procedimientos
AI5 Instalar y verificar los sistemas
AI6 Administrar los cambios

Entrega y Soporte
DS1
DS2
DS3
DS4
DS5
DS6
DS7
DS8

Definir y administrar el nivel de servicios

Administrar los servicios de terceras partes
Administrar rendimiento y capacidad
Asegurar la continuidad del servicio
Asegurar la seguridad del sistema
Identificar y asignar costos
Capacitar y entrenar a los usuarios
Asistir y asesorar la los clientes (internos o
externos)
DS9 Administrar la configuracin
DS10 Administrar problemas e incidentes
DS11 Administrar los datos
DS12 Administrar los utilitarios
Setiembre 2006
DS13 Administrar las operaciones
Slide 17

Pruebas de controles
Recopilacin de datos
Reglas de la Evidencia
- Independencia de quien la provee
- Calificacin de quien la provee
- Objetividad
- Suficiencia
Tcnicas para reunir evidencia
- Revisar la estructura organizativa del rea de IT
- Revisar estndares para la documentacin de los Sistemas
- Entrevistar al personal apropiado
- Observar la operativa y a los empleados
Muestreo
- Estadstico
- Basado en otro criterio
PricewaterhouseCoopers

Setiembre 2006
Slide 18

Pruebas de controles
Computer Assisted Audit Techniques (CAAT)
Ejemplos:
- Generador de datos de prueba
- Sistemas expertos
- Utilitarios estndar
- Software especializado de auditora
Algunas ventajas:
- Mejora la identificacin de
- Reduce el nivel de riesgo de la
excepciones
auditora
- Fciles de utilizar
- Genera evidencia con independencia
- No requieren demasiado
del auditado
entrenamiento
- Da confiabilidad en la informacin
- Uso flexible (diferentes
reunida
plataformas, BD, etc.)
- Se puede disponer de informacin en
- Facilidades para documentar la
forma ms rpida
seleccin y procesamiento de los
- Permite cuantificar debilidades de
datos
control interno
Setiembre 2006
PricewaterhouseCoopers

Slide 19

Pruebas de controles
Identificar y obtener polticas, normas y directivas del departamento para
su revisin
Desarrollar herramientas y metodologa para probar y verificar los
controles.
Identificar y seleccionar enfoque apropiado para verificar y probar los
controles:
Pruebas de cumplimiento
Conseguir evidencia que permita tener una seguridad razonable de
que los controles internos establecidos estn siendo aplicados
correctamente y son efectivas (Frecuencia, calidad, quin?)
Pruebas sustantivas
Conseguir evidencia que permita opinar sobre la integridad,
razonabilidad y validez de los datos producidos por el sistema.
Ayudarn a comprobar si la informacin ha sido corrompida
comparndola con otra fuente o revisando los documentos de
entrada de datos y las transacciones que se han ejecutado.
PricewaterhouseCoopers

Setiembre 2006
Slide 20

Pruebas de controles
Hardware

Evaluar su adecuacin
y disponibilidad

Pruebas de cumplimiento sobre:

procedimientos de adquisicin,
mantenimiento y configuracin
Seguridad fsica y ambiental

Software

Disponibilidad y nivel
de seguridad y control
que provee

Pruebas de cumplimiento sobre:

procedimientos de mantenimiento,
configuracin y control de cambios

Base de
Datos

Disponibilidad y nivel
de seguridad y control
que provee

Pruebas de cumplimiento sobre creacin,

mantenimiento y eliminacin de tablas,
procedimientos de backups
Pruebas sustantivas administracin de
perfiles, acceso a datos
(usuarios/programas)

PricewaterhouseCoopers

Setiembre 2006
Slide 21

Pruebas de controles
LAN

E/S

PricewaterhouseCoopers

Disponibilidad y nivel
de seguridad y control
que provee

Integridad de la
informacin

Pruebas de cumplimiento sobre:

procedimientos de mantenimiento,
configuracin y control de cambios,
actividad del administrador
Conocimiento de los usuarios
Pruebas sustantivas para evaluar
seguridad lgica (control de acceso y
administracin de perfiles)
Seguridad fsica y ambiental
Pruebas de cumplimiento sobre
autorizaciones, segregacin de funciones.
Prueba sustantiva sobre controles
identificados

Setiembre 2006
Slide 22

Pruebas de controles

Adm. de Redes,
equipo central

Estructura organizativa
Segregacin de funciones
Documentacin y herramientas disponibles
Poltica de seguridad
Planificacin
Deteccin y seguimiento de errores

Procedimiento
de catalogacin

Segregacin de funciones
Actividad del Bibliotecario
Documentacin existente

Procedimiento
de backup

Adm. de archivos
Procedimiento de envo/retiro de bveda externa
Documentacin existente

Administracin
de la seguridad
PricewaterhouseCoopers

Poltica de seguridad
Descripcin del cargo
Segregacin de tareas
Deteccin y seguimiento de incidentes
Capacitacin y concientizacin

Setiembre 2006
Slide 23

Pruebas de controles
Identificar las condiciones que no deberan presentarse en los datos si
los controles funcionaran adecuadamente. Analizando los datos
podemos identificar si los controles funcionan bien o no. Algunos
ejemplos de CAATs para controles automatizados:
Pruebas para determinar si las transacciones son autorizadas segn

la responsabilidad del usuario para ingresar la transaccin

Pruebas de transacciones que caen fuera de los parmetros de

control, como ser:

- Montos por arriba del lmite monetario
- Valores nulos
- Montos negativos
- Campos en blanco
- Fechas invlidas, o fuera del rango especificado
- Datos invlidos
PricewaterhouseCoopers

Setiembre 2006
Slide 24

Pruebas de controles

Falta de doble aprobacin donde se requiere

Falta de nivel de aprobacin adecuado
Transacciones duplicadas
Gaps en nmeros de transacciones
Pago de mercaderas o servicios a proveedores que no estn en el
masterfile del proveedor
Probar:
- Existencia de orden de compra, si se requiere
- Correspondencia entre orden de compra, factura y recibo
- Correspondencia de recibo de mercaderas entregadas y la
facturacin

PricewaterhouseCoopers

Setiembre 2006
Slide 25

Pruebas de controles
Procesamiento de Informacin Controles Generales de IT
Pruebas automatizadas de logs de acceso
Generar listas de intentos fallidos (comparar en el tiempo):
- Comparar ingresos exitosos con listas de usuarios autorizados
- Generar listas de cambios de accesos de perodos anteriores
- Buscar actividades inusuales
Extraer listas de personas autorizadas del sistema y:
- Validar con la lista de empleados
- Comparar con la lista de exempleados
- Generar listas de usuarios con alto nivel de acceso
(superusuarios)
- Buscar usuarios con mltiples niveles de acceso
PricewaterhouseCoopers

Setiembre 2006
Slide 26

Pruebas de controles
- Buscar desarrolladores de software con acceso a los sistemas
de produccin
- Buscar usuarios con acceso al software de desarrollo que no
sean desarrolladores
- Generar reportes de usuarios que no han accedido por un largo
perodo
- Comparar las listas de control de acceso actuales con perodos
previos para detectar cambios
Seleccionar cambios de programas para realizar ms pruebas
Comparar los cambios de los programas en el software de
seguimiento con los registrados en el sistema
Generar reportes de las interrupciones del sistema
PricewaterhouseCoopers

Setiembre 2006
Slide 27

www.pwc.com/uy

2006 PricewaterhouseCoopers. Todos los derechos reservados. PricewaterhouseCoopers hace

referencia a la red de firmas miembro de PricewaterhouseCoopers International Limited, siendo cada una
de ellas una entidad legal separada e independiente. *connectedthinking es una marca registrada de
PricewaterhouseCoopers

PwC