1

Company
LOGO
AUDITORA III
(Auditora de Sistemas Automatizados)
Estructura del curso
I. Definicin de la auditora informtica
II. Impacto de la tecnologa en la profesin de
contadura pblica
III. Alcance y desarrollo de la auditora informtica
Contenido I
Concepto de Auditoria Informtica.
Campo de Accin de la auditoria informtica.
Auditores de SI y Financieros trabajando juntos
Auditoria asistida por computadora (CAAT)
Como las tcnicas de auditoria asistidas por computadora
pueden mejorar la eficiencia de la auditoria.
Presentacin de las herramientas de auditoria (ACL,
SECCHECK y otros)
Que hace el software de auditoria
Que paquetes de software de auditoria estn hoy disponibles
La Auditora Informtica como parte de la Auditora Externa
La Auditora Informtica como parte de la Auditora Interna
Definicin de Auditora
Proceso sistemtico por el cual
una persona competente e independiente,
obtiene y evala objetivamente evidencia relativa a
aseveraciones sobre una entidad o evento econmico,
con el propsito de formarse una opinin y reportar el
grado en que la aseveracin est acorde con un conjunto
de estndares identificados
Auditora
2
Auditora Informtica
Definicin de Auditora de TI*
Proceso de recoleccin y evaluacin de evidencia para
determinar si los SI** y los recursos relacionados:
- Salvaguardan adecuadamente los activos,
- Mantienen la integridad de los datos y del sistema,
- Proveen informacin relevante y confiable,
- Alcanzan efectivamente los objetivos organizacionales,
- Utilizan los recursos eficientemente, y
- Cuentan con controles internos que provean una seguridad razonable de que los
objetivos operacionales y de control sern satisfechos y de que los eventos no
deseados sern prevenidos o detectados y corregidos de manera oportuna
* TI = Tecnologas de Informacin
** SI = Sistemas de Informacin
COMO ES VISTO UN AUDITOR?
EL OJO SECO
EL POLICIA
EL SABELOTODO
BUSCA CULPABLES
ES NECESARIO CAMBIAR STOS CONCEPTOS
TODOS los procesos de negocios son afectados por los
cambios tecnolgicos
Los niveles de inversin en IT cada vez mayores debido a
nuevas y novedosas formas de hacer negocio
NUEVOSE IMPORTANTES RIESGOSAPARECEN
Impacto de TI en los Negocios
La economa interconectada crea ambientes complejos y las
decisiones deben ser tomadas rpidamente
Grandes volmenes de informacin son procesados de manera
automtica, integrada, rpida y sin evidencia fsica
Pequeos errores pueden causar grandes desastres
econmicos y operacionales
CUALES RIESGOS ?
Exposicin al FRAUDE se incrementa:
Informacin NO PROTEGIDA apropiadamente
Procesamiento NO CONFIABLE
DEFICIENTE CONTROL sobre los datos
Probabilidad de ERRORES Y SORPRESAS se incrementa:
Sistemas con controles deficientes
Procesos no adecuados
Sistemas no integrados adecuadamente
Riesgo: La exposicin potencial a situaciones que pueden afectar el
logro de los objetivos de una organizacin, generar prdidas o
mermar potenciales utilidades.
3
Personal de auditora NO est preparado para auditar la
nueva tecnologa
Existan riesgos tecnolgicos NO evaluados
CONTROLES automatizados insuficientes
Revisiones incompletas o no enfocadas
DEPENDENCIA total del negocio hacia la Tecnologa
Exposicin a ATAQUES e INTERRUPCIONES
Como operar mi negocio sin tecnologa?
La infraestructura tecnolgica es confiable?
Puedo dormir tranquilo?
CUALES RIESGOS ?
Realmente puedo vivir tranquilo?
Finalidad de la AI
Asegurar, respecto a la TI en la organizacin lo siguiente:
Existencia de pistas de auditora
Existencia de controles adecuados con respecto a la entrada de datos
y al mantenimiento de la integridad de los mismos
El manejo adecuado de las excepciones y de los rechazos originados
por los controles
El aseguramiento de que las polticas corporativas y gubernamentales
sean cumplidas
La verificacin de que los sistemas se comporten conforme fueron
definidos
El control sobre las modificaciones a los sistemas
La existencia de controles y procedimientos de seguridad
El aseguramiento de la adecuado interconexin entre los diversos
sistemas
Auditora de TI
Campo de accin de la AI
Seguridad de la Informacin
Firmas Digitales
Seguridad Aplicativa
Firewalls
Calidad de Datos
Deteccin de Intrusin
Seguridad de Bases de Datos
Sistemas de Informacin
Confidencialidad y privacidad
Servicios de Administracin
de Seguridad
Gestin de Servicios de TI
Confiabilidad de Procesos
Desarrollo de Software
Seguridad en Red
Otorgamiento de
Accesos
Polticas y
Procedimientos
Controles Generales
Monitoreo de Datos
Seguridad inalmbrica
(Wireless)
Bio-mtricos y
autenticacin robusta
4
Es posible que el Auditor financiero y el Auditor
de Sistemas puedan realizar su trabajo (coexistir
en la organizacin) de forma independiente???
PREGUNTA
CUAL ES LA MEZCLA PERFECTA EN ESTA RELACIN???
Misin de una auditora de TI
La Misin se cumple si:
Se logra desarrollar e implementar una estrategia de auditora
basada en riesgos
Se plantean auditora especficas para validar que las TI se
encuentren protegidas y controladas
Se llevan a cabo auditoras basadas en estndares, directrices y
mejores prcticas
Se comunican los hallazgos, riesgos potenciales y resultados a las
cabezas de la organizacin
Se asesora sobre la implementacin de la administracin de riesgos
y las prcticas de control de la organizacin al tiempo que se
mantiene la independencia
Se provee un nivel adecuado de soporte a los auditores financieros
con un mismo enfoque pero aplicando conocimientos y tcnicas que
generalmente stos no conocen
Perfil de un auditor informtico
Corresponde a un Ingeniero o Tcnico en Informtica en
cualquiera de sus especialidades, pero ms concretamente la
especialidad de Gestin. O tambin a un profesional al que se le
presupone cierta formacin tcnica en informtica y experiencia
en el sector, independencia y objetividad, madurez, capacidad
de sntesis, anlisis y seguridad en s mismo.
Debe disponer de conocimientos tanto en la normativa aplicable,
como en informtica, como en la tcnica de la auditora, siendo por
tanto aceptables equipos multidisciplinarios formados por titulados
en Ingeniera Informtica o Tcnicos en Informtica y Licenciados
especializados en el mundo de la auditora.
Certificaciones
La necesidad de contar con lineamientos y herramientas
estndar para el ejercicio de la auditora informtica ha
promovido la creacin y desarrollo de mejores prcticas como
COBIT , ITIL, ISO.
Actualmente la certificacin de ISACA para ser CISA Certified
Information Systems Auditor es una de las ms reconocidas y
avaladas por los estndares internacionales.
El proceso de seleccin consta de un examen inicial bastante
extenso y la necesidad de mantenerse actualizado acumulando
horas (puntos) para no perder la certificacin.
5
Tipos de Auditora Informtica
Auditora de la gestin: Referido a la contratacin de bienes y servicios,
documentacin de los programas, etc.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y
anlisis del tratamiento de dichos datos.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de
integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica
de esta. Tambin est referida a las protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los
sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.
MI AUDITOR ENTIENDE MI
NEGOCIO?
Entender el Negocio - TIPS
Recorrer las instalaciones
Leer documentacin, publicaciones, reportes
financieros independientes
Revisar planes estratgicos
Entrevistar gerentes claves para entender los
problemas del negocio
Estudiar regulaciones aplicables
Revisar reportes anteriores
Identificar los requisitos del gobierno
Documentar las leyes y regulaciones pertinentes
Determinar si estos requisitos han sido
considerados en planes, polticas, etc.
Revisar documentos de cumplimiento
Entender el Negocio - TIPS
Entender el Negocio - TIPS
6
Conocimiento del negocio
La clave para desarrollar una buena estrategia de auditora, es
formarse un adecuado punto de vista sobre los riesgos del
negocio. En este sentido es crtico no aceptar slo el punto de vista
de la administracin del cliente, sino realizar una adecuada
investigacin que permita tener una opinin ms objetiva sobre ste.
Entender el Negocio
Auditores de SI y Financieros trabajando
juntos
Competencias
Ventajas de trabajar
juntos
Como podemos
mejorar?
Qu impide
trabajar bien ?
23
Competencias
Puntos de Unin
Los auditores de SI y
Financieros tienen
diferentes fortalezas y
competencias !! Hay que
tener en cuenta el
conocimiento y
experiencia para los
equipos de trabajo.
Los Auditores de SI deben:
Demostrar un avanzado entendimiento de procesos de negocios,
administracin de riesgos, controles automatizados y estndares
relacionados.
Identificar y evaluar ciclos complejos, riesgos tecnolgicos y
controles.
24
Qu impide trabajar
bien ?
Puntos de conexin en la aplicacin
del enfoque, metodologa y
documentacin
Diferencia en competencias y
fortalezas
El proceso de coordinacin,
planeacin, y realizacin del
compromiso de auditora
Inadecuada comunicacin
7
25
Ventajas de trabajar
juntos
Calidad de la auditora realizada.
Mejoramiento en prximas auditoras.
Mejoras en la comunicacin y
colaboracin
Capacidad de cumplir las expectativas
de los stakeholders (personal
involucrado) relacionadas con efectividad
y eficiencia.
Mejor entendimiento de los procesos,
sistemas y controles.
26
Como podemos
mejorar?
Tener un plan de reuniones que incluya personal representativo
de: Auditora Financiera, Auditores de SI y otras lneas de servicio
Los interesados deben atender las discusiones principales y
reuniones con la administracin y los encargados de gobierno.
Tener un resumen de las reuniones
entre los auditores de SI y Auditora
despus del trabajo de campo que
describa los resultados y el rol del
especialista en la auditora
Deber: Investigacin # 1
Qu son las normas NIA e ISA (Norma Internacional de Auditoria o
International Standards on Auditing) ? (incluir lista de normas)
Qu son las normas SAS ?
Qu son las normas SAP? (incluir lista de normas)
Para el trabajo indicar:
En mximo 4 lneas describir el concepto de la norma. Letra: Arial Tamao: 12
Indicar el nmero de normas que se tienen por cada una.
Fecha de entrega: Mayo 30 hasta las 17:00 horas se
receptaran el trabajo en el correo:
Tcnicas manuales de revisin
Inspeccin de documentos, procedimientos, activos, para verificar su
existencia, mas que para determinar la forma en que se estn
utilizando.
Observacin de procesos o acciones
Investigacin o indagacin.
Confirmacin ratificar datos.
Clculo precisin matemtica
Revisin analtica investigacin de fluctuaciones o partidas poco
usuales.
8
CAATs (Computer Assisted Audit Techniques )
Tcnicas de auditora asistidas por computador
Con el objetivo de Obtener evidencia: suficiente,
relevante y til; sobre la validez de la
aseveracin probada, se han desarrollado
tcnicas de auditora que se basan en la
aplicacin de mtodos y programas que utilizan
computadoras para lograr recopilar dicha
evidencia.
CAATs (Computer Assisted Audit Techniques )
Tcnicas de auditora asistidas por computador
SAP 1009 (Statement of Auditing Practice) denominada
Computer Assisted Audit Techniques (CAATs) o Tcnicas
de Auditoria Asistidas por Computador (TAACs), plantea la
importancia del uso de TAACs en auditoras en un entorno
de sistemas de informacin por computadora (ver siguiente
lmina)
CAATs (Computer Assisted Audit Techniques )
Tcnicas de auditora asistidas por computador
1. Pruebas de detalles de transacciones y balances (Reclculos
de intereses, extraccin de ventas por encima de cierto valor, etc.)
2. Procedimientos analticos, por ejemplo identificacin de
inconsistencias o fluctuaciones significativas.
3. Pruebas de controles generales, tales como configuraciones
en sistemas operativos, procedimientos de acceso al sistema,
comparacin de cdigos y versiones,
4. Programas de muestreo para extractar datos.
5. Pruebas de control en aplicaciones.
6. Reclculos.
CAATs: Tcnicas de auditora asistidas por computador
Las herramientas CAAT son muy importantes para los
auditores de SI en la recoleccin independiente de
informacin (obtencin de evidencia).
Incluyen:
Software de auditora (ACL, IDEA, etc.)
Software utilitario (Excel, Access, etc.)
Datos de prueba
Software de aplicacin para auditoras continuas en
lnea
Sistemas expertos de auditora
CAATs: Tcnicas de auditora asistidas por computador
9
CAATs: Tcnicas de auditora asistidas por computador
Es necesario que el auditor de TI posea un
entendimiento profundo sobre las CAATs para
saber dnde y cundo aplicarlas.
Generalmente corresponden a la ejecucin de
pruebas especficas componentes de la
auditora general.
CAATs: Tcnicas de auditora asistidas por computador
Ventajas de las CAATs:
Reducen el nivel de riesgo de la auditora
Permiten una mayor independencia respecto del auditado
Cobertura de auditora ms amplia y eficiente
Disponibilidad de informacin con mayor rapidez
Identificacin mejorada de excepciones
Mayor flexibilidad en tiempos de ejecucin de programas
Mayor oportunidad para cuantificar las debilidades de control
interno
Muestreo mejorado
CAATs: Tcnicas de auditora asistidas por computador
Pasos para realizar una CAAT: Ver ejemplo
Primero.- Definir el objetivo de la prueba de auditora
Segundo.- Analizar los elementos de la aplicacin que se
intenta auditar
Disear la lgica general del programa de revisin
Codificar la prueba y ejecutarla sobre una muestra reducida
Ejecucin de la prueba y documentacin de resultados
CAATs: Tcnicas de auditora asistidas por computador
Es necesario realizar un anlisis breve antes de decidirnos
por utilizar una CAAT, los criterios pueden ser:
Facilidad de uso
Requerimientos de entrenamiento
Complejidad de la codificacin
Flexibilidad de uso
Requerimientos de instalacin
Eficiencia de procesamiento
Esfuerzo requerido para desarrollar los anlisis
10
CAATs: Software de Auditora
Segn SAP1009 (Statement of Auditing Practice) , en su
pargrafo 26:
"El software de auditora consiste en programas de
computadora usados por el auditor, como parte de sus
procedimientos de auditora, para procesar datos de
importancia de auditoria del sistema de contabilidad de la
entidad.
Puede consistir en programas de paquete, programas
escritos para un propsito, programas de utilera o
programas de administracin del sistema.
Independientemente de la fuente de los programas, el
auditor deber verificar su validez para fines de auditora
antes de su uso".
CAATs: Datos de prueba
Se alimenta la aplicacin con datos preparados por el auditor
y de los cuales conoce los resultados luego de procesarlos.
El objetivo es conocer que hace el programa y la accin de
los controles implementados su ausencia.
Uso: - Evaluacin de controles especficos.
- Verificacin de validaciones
- Prueba de perfiles de acceso
- Prueba a transacciones seleccionadas
CAATs: Sistemas expertos de auditora
Es un programa de computacin que utiliza datos
almacenados reglas que, aplicadas imitan el
accionar de un experto humano, Un experto humano
tiene, fundamentalmente, la capacidad de
determinar la probabilidad de un resultado concreto
en circunstancias rodeadas de un alto grado de
incertidumbre. Esa capacidad esta dada por
condiciones de experiencia y criterio.
CAATs: Simulacin Paralela
Programas independientes creados por la auditora para
procesar datos reales y simular proceso real.
11
Preguntas? Se define como Auditora Externa a la revisin
independiente especfica realizada por personal
especializado, externo de la empresa, a fin de contar con
una mayor objetividad debido al mayor distanciamiento
entre Auditor y Auditado
Legalmente las empresas (Ley de Compaas art. 318)
por ciertas restricciones deben presentar sus EFs
anuales auditados:
Estado de Situacin Financiera
Estado de Resultados Integrales
Estado de cambio en el Patrimonio de los Accionistas
Estado Flujo Efectivo
La Auditora Informtica como parte de la Auditora Externa
El soporte requerido para realizar dicha revisin
independiente, especialmente en ambientes de
procesamiento de informacin significativamente
dependientes de sistemas, implica el involucramiento de
profesionales expertos en revisin de controles sobre los
sistemas y en pruebas contables sobre grandes
volmenes de informacin.
La Auditora Informtica como parte de la Auditora Externa
Se define como Auditora Interna al ente de la
organizacin que se encarga de velar por el
cumplimiento del Control Interno, generalmente son
personas que pertenecen a la organizacin o terceros
contratados exclusivamente para dicha funcin principal
y dems funciones secundarias que se le designen
considerando siempre la independencia.
La auditora interna tiene la ventaja de que puede actuar
peridicamente realizando Revisiones globales, como
parte de su Plan Anual y de su actividad normal
La Auditora Informtica como parte de la Auditora Interna
12
Dicho Plan de auditora debe considerar las actividades
de revisin sobre los sistemas de la compaa y
considerar que el responsable de realizar dicho trabajo
debe contar con la actitud y aptitud para ejecutarlo y
lograr los resultados esperados.
La Auditora Informtica como parte de la Auditora Interna