AUDITORIA DE SISTEMAS

Dra. Sandra Cristina Riascos Erazo

Universidad del Valle

17/04/2009

Dra. Sandra Cristina Riascos Erazo

CONCEPTOS GENERALES
Auditora
Investigacin
Cul es el nivel de efectividad del control interno
de la organizacin?
Se cumple con las normas en forma adecuada?
Examen critico de los controles establecidos

Auditora de Sistemas
Investigacin aplicada a los sistemas de informacin
Efectividad del control interno de los sistemas de
informacin de la organizacin
Cumplimiento de las normas
Proteccin del activo INFORMACIN
17/04/2009

Dra. Sandra Cristina Riascos Erazo

 ASESORAR A LA
ALTA GERENCIA DE
LA ORGANIZACIN

CONTRIBUIR AL
LOGRO DE LOS
OBJETIVOS Y
METAS DEL
NEGOCIO.

17/04/2009

Dra. Sandra Cristina Riascos Erazo

EVALUAR
INDEPENDIENTE LA
GESTION DEL CONTROL
DE LOS PROCESOS Y
RECURSOS DE IT

DENTRO DE
NIVELES
RAZONABLES DE
RIESGO.

CONCEPTOS GENERALES
SISTEMAS DE INFORMACIN ORGANIZACIONALES (Lucas, 1986)

TECNOLOGIA

ENTRADA

PROCESO

SALIDA

DECISIONES

DATOS

INFORMACIN

USUARIO

17/04/2009

Dra. Sandra Cristina Riascos Erazo

CUANDO SOLICITAN UNA AUDITORA DE

SISTEMAS?
1. Porqu a pesar de la automatizacin nuestra empresa
pierde

cada

vez

ms

terreno

con

nuestros

competidores

2. Cada peticin al rea de sistemas es un calvario !

falta de entendimiento entre gerencia y rea de sistemas

3. Nunca obtengo informacin a tiempo o est

desactualizada

4. Temor a que los controles de la organizacin sean

suficientes para los riesgos actuales.
5. La inversin en control y seguridad en TI propuesta
(Gerente TI / Auditor) es suficiente o es exagerada?
17/04/2009

Dra. Sandra Cristina Riascos Erazo

MEJORAR LA CALIDAD DE
LOS PROCESOS DE LA
ORGANIZACIN
RETOS DE LA AUDITORIA
EN LA CULTURA DEL
CONTROL

VER AL AUDITADO COMO

EL CLIENTE VALOR
AGREGADO

17/04/2009

Dra. Sandra Cristina Riascos Erazo

MANTENER INDEPENDENCIA Y
OBJETIVIDAD (De juicio y tico)
Participacin proyectos
Consultora y Auditora simultanea
RETOS DE LA AUDITORIA
EN LA CULTURA DEL
CONTROL

17/04/2009

ACTUALIZACION
PERMANENTE:
Impacto
nuevas
tecnologas
Estndares
internacionales
de
calidad / seguridad para
el
intercambio
de
Informacin.

Dra. Sandra Cristina Riascos Erazo

RETOS DE LA AUDITORIA
EN LA CULTURA DEL
CONTROL

CONTRIBUIR A LA CIMENTACION DE LA
CULTURA DE CONTROL DE LAS
ORGANIZACIONES (SAR - Autoevaluacion control Accountability)

17/04/2009

Dra. Sandra Cristina Riascos Erazo

TIPOS DE AUDITORA
POR PROCEDENCIA
INTERNA
EXTERNA

AUDITORIA
FINANCIERA

17/04/2009

POR OBJETO AUDITABLE

FINANCIERA
LEGAL
SISTEMAS
AMBIENTAL
EDUCATIVA
OPERACIONAL

AUDITORIA
DE SISTEMAS
DE IT

Dra. Sandra Cristina Riascos Erazo

Enfoque Auditora basado en Riesgos

Pre-planeacinEntendimiento del negocio
Inf.financiera reciente
Identificacin
Reportes previos auditora
Riesgos
Regulaciones
EntendimientoAmbiente de Control
Procedimentos de Control
del control
Evaluacin de control
Interno
Evaluacin de deteccin
Pruebas de politicas, normas,
Pruebas de
cumplimiento procedimientos, estndares
Pruebas segregacin tareas
del control

Valoracin absoluta Inherente

Aceptacin

Relevantes

Procedimientos analticos
Pruebas detalladas cuentas /
Integridad/Efectividad

Informes y
Seguimiento

Acciones correctivas
Mejoras al control (VA)

17/04/2009

Menores

Valoracin del con Controles

Aceptable
Aceptacin

Pruebas controles especficos

Pruebas
Sustantivas

: Tres (3) niveles valoracin

inaceptable

Dra. Sandra Cristina Riascos Erazo

Valoracin del con Mejoras

Residual
10

ANALISIS DE RIESGOS Y CONTROLES

Qu es Riesgo?
El The Institute of Internal Auditors (The
IIA) define al riesgo como:
La Posibilidad de que ocurra un
acontecimiento que tenga un impacto en el
alcance de los objetivos. El riesgo se mide en
trminos de impacto y probabilidad
17/04/2009

Dra. Sandra Cristina Riascos Erazo

11

Qu es Riesgo?

Riesgo (E) = Probabilidad (E) x Consecuencia (E)

17/04/2009

Dra. Sandra Cristina Riascos Erazo

12

Circunstancias
Econmicas
(Int./Ext.)

Relaciones
Comerciales y
legales

Fuentes
Genricas
Aspectos
Tecnolgicos y
Tcnicos
(int./ext.)

17/04/2009

Comportamiento
Recursos
Humanos

Circunstancias
polticas y
legislativas

Eventos
Naturales

Actividades y
Controles
Gerenciales

Dra. Sandra Cristina Riascos Erazo

Actividades
Individuales

13

Rootkits
(Herramientas
para hacker)

Malwere
(Virus,
gusanos)

Aplicaciones no
deseadas

Hijacking
Phishing

Aspectos
Tecnolgicos

17/04/2009

Software
pirata

Dra. Sandra Cristina Riascos Erazo

Actividades
Individuales

14

Activos y
Recursos
Bsicos

En dnde
impacta el
riesgo?

Ingresos y
Derechos

Personas
Comunidad

Oportunidad y
programacin
actividades

17/04/2009

Costos
Actividades
(Directos./Indire
c.)
Desempeo

Intangibles

Dra. Sandra Cristina Riascos Erazo

Clima
Organizacional

15

Mapa de riesgos
Proceso x.
Probabilidad
de

Muy
Probable

C.1.

C.4.

Ocurrencia

C.2.
Probable

Poco
Probable

C.3.

C.5.
C.6.

Insignificante

Moderado

Significante

Magnitud del Impacto

17/04/2009

Dra. Sandra Cristina Riascos Erazo

16

PROBABILIDAD E IMPACTO
CRITICIDAD (C) Y CUADRANTE DE CRITICIDAD (CU1)
P
R
O
B
A
B
I
L
I
D
A
D

CUADRANTE DE CRITICIDAD
Zona de alta
criticidad

3
2

Zona de media
criticidad

1
1

IMPACTO EN LA
ORGANIZACION

2
3

Es poco probable que

ocurra
Es medianamente
probable que ocurra

C
R
I
T
I
C
I
D
A
D

CUADRANTE DE CRITICIDAD

Zona de media
criticidad

3
1

SITUACION ACTUALCONTROL INTERNO

IMPACTO EN LA
ORGANIZACIN (I)

Zona de baja
criticidad

SITUACION ACTUAL (S.A.)

DEL CONTROL INTERNO

Sera de bajo impacto

1 Cubre en gran parte el riesgo

Sera de mediano
impacto

2 Cubre medianamente el
riesgo

Sera de alto impacto

3 No existe ningn tipo de

medida

Es altamente probable que

ocurra
17/04/2009

Zona de alta
criticidad

Zona de baja
criticidad

PROBABILIDAD DE
OCURRENCIA (P.O)
1

RIESGO REMANENTE (R) Y CUADRANTE DE CRITICIDAD (CU2)

Dra. Sandra Cristina Riascos Erazo

17

METODOLOGAS DE ANLISIS DE
RIESGOS

MARGERIT

17/04/2009

Dra. Sandra Cristina Riascos Erazo

18

METODOLOGAS DE ANLISIS DE
RIESGOS
CRAMM

17/04/2009

Dra. Sandra Cristina Riascos Erazo

19

METODOLOGAS DE ANLISIS DE
RIESGOS

OCTAVE

17/04/2009

Dra. Sandra Cristina Riascos Erazo

20

ANALISIS DE RIESGOS Y CONTROLES

IDENTIFICACIN DEL RIESGO
PROYECCIN DEL RIESGO
EVALUACIN DEL RIESGO

GESTIN DEL RIESGO

17/04/2009

Dra. Sandra Cristina Riascos Erazo

21

PROCESO DE AUDITORA
Toma de
Contacto
Plan de
mejoras

Planeacin

Informes

Ejecucin

Diagnstico
17/04/2009

Dra. Sandra Cristina Riascos Erazo

22

PROCESO DE AUDITORA
Toma de contacto:
Investigacin preliminar
Anlisis de riesgos y controles
Reconocimiento de la organizacin
Identificar problemticas a nivel de: Gerencia,
Administrativo, Operativo

17/04/2009

Dra. Sandra Cristina Riascos Erazo

23

Planeacin
OBJETIVOS

METODOLOGA

PRESUPUESTO

TOMA
DE CONTACTO
RECURSOS

CONTRATO

CRONOGRAMA
17/04/2009

Dra. Sandra Cristina Riascos Erazo

24

PROCESO DE AUDITORIA

17/04/2009

Dra. Sandra Cristina Riascos Erazo

25

OBJETIVO No.1
CONTROL No.1
REFERENCIAS GA-1
UNIDAD AUDITABLE
PROCEDIMIENTO
No.
DESCRIPCION
El salario percibido por el empleado
corresponde al establecido en el
contrato y a las normas legales de la
1
empresa?
ELABORO Grupo de Auditores

17/04/2009

Aplicativo Nomina Empresa Cootransmayo

Liquidacin del sueldo neto del empleado
NORMA SI LM AV NU NA R.P/T

H1
Cdigo
Laboral
REVISO

Dra. Sandra Cristina Riascos Erazo

x
Grupo de Auditores

26

OBJETIVO No.1
CONTROL No.1
REFERENCIAS H-1
UNIDAD AUDITABLE: Aplicativo nomina COOTRANSMAYO
PROCEDIMIENTO:
Liquidacin del sueldo neto del empleado.
No
PROCEDIMIENTO

2
ELABORO
17/04/2009

FECHA

R.P/T

H1.1- H1.3
Examinar el contrato de trabajo y compararlo
con el sueldo registrado en la nomina.
29/01/00 H1.4
Se toma una muestra aleatoria de 5
liquidaciones de nomina para verificar si
H1.5-H9
estas se realizan de acuerdo a las normas
establecidas por la empresa.
29/01/00
Grupo de Auditores
REVISO Grupo de Auditores
Dra. Sandra Cristina Riascos Erazo

27

PROCESO DE AUDITORA

17/04/2009

Dra. Sandra Cristina Riascos Erazo

28

H 1/3
U N ID A D A U D IT A B L E :

A p lic a tiv o N o m in a

P R O C E D IM IE N T O :

L iq u id a c i n d e l s a la rio n e to d e l e m p le a d o
D E S C R I P C I O N

L a d e p e n d e n c ia d e r e c u r s o s h u m a n o s e n c a r g a d a d e la e n tr a d a d e d a to s n o H1.1-H1.3
r e a liz a
la s r e v is io n e s c o r r e s p o n d ie n te s d e b id o a e s to s e e n c o n tra r n c in c o r e g is tr o s d e l
p e rio d o a u d ita d o q u e p r e s e n ta n in c o n s ite n c ia s ta n to e n e l v a lo r d e l s a la rio b s ic o
c o m o e n e l d e l s u b s id io d e a n tig u e d a d lo s c u a le s n o c o r r e s p o n d e n a lo e s tip u la d o
e n e l c o n tr a to y lo s s o p o rte s , lo q u e c o n lle v a r a a la e m p r e s a a te n e r p ro b le m a s
ju r id ic o la b o r a le s .
R E C O M E N D A C I O N
R e v is a r e l p ro c e d im ie n to d e liq u id a c i n d e la n o m in a , te n ie n d o e n c u e n ta lo s
s o p o r te s q u e a c r e d ite n e l p a g o d e lo s d ife r e n te s s u b s id o s .
S e s u g ie r e la c r e a c i n d e u n c o n tro l a n te s d e h a c e r e fe c tiv a la n o m in a y d s p u e s d e
la r e v is i n d e R e c u r s o s H u m a n o s , e l c u a l lo p u e d e e fe c tu a r e l r e v is o r fis c a l.
C O M E N T A R I O

D E L

A U D I T A D O

E l d ir e c to r d e r e c u r s o s h u m a n o s s e c o m p r o m e te a c o r r e g ir e n lo s u c e s iv o la s
a n o m a lia s e n c o n tra d a s . U n a d e s u s a c c c io n e s a la s c u a le s s e c o m p r o m e te s e
r e fie r e a r e a liz a r u n a r e v is i n m in u s io s a d e lo s s o p o r te s p a ra la p o s te rio r liq u id a c i n
d e la n o m in a .
N IV E L D E A T E N C IO N D E L R IE S G O ( A lt o ,M e d io ,B a jo ) P o r q u e ?
S e c o n s id e r d e A L T O rie s g o p u e s to q u e la c a n tid a d d e liq u id a c io n e s c o n e r r o r
fu e r o n d e 3 e n c o n tra d a s e n e l p e r io d o a u d ita d o , lo q u e p o d r a o c a s io n a r p e r ju ic io s
fin a n c ie r o s y fa lta d e c r e d ib ilid a d d e n tr o d e la p la n ta d e p e r s o n a l

17/04/2009

Dra. Sandra Cristina Riascos Erazo

29

CR 1/3

OBJETIVO No.1
REFERENCIAS H-1
U N ID A D A U D IT A B L E : A p lic a tiv o N o m in a

P R O C E D IM IE N T O :

L iq u d a cio n d e l s a la rio n e to d e l e m p le a d o

S e e n c o n tra ro n re g is tro s q u e p re s e n ta n in c o n site n cia s ta n to e n e l v a lo r d e l s a la rio

b s ic o c o m o e n e l d e l s u b sid io d e a n tig e d a d lo s c u a le s n o c o rre s p o n d e n a lo
e s tip u la d o e n e l c o n tra to y lo s s o p o rte s c o rre s p o n d ie n te s .
R E C O M E N D A C IO N
S e s u g ie re la cre a ci n d e u n co n tro l a n te s d e h a c e r e fe ctiva la n o m in a y d s p u e s d e
la re visi n d e R e c u rs o s H u m a n o s , e l c u a l lo p u e d e e fe c tu a r e l re vis o r fis ca l.
E L A B O R :G ru p o A u d ito re s
R E V IS : G ru p o A u d ito re s
17/04/2009

Dra. Sandra Cristina Riascos Erazo

30

PROCESO DE AUDITORA

17/04/2009

Dra. Sandra Cristina Riascos Erazo

31

PROCESO DE AUDITORA

17/04/2009

Dra. Sandra Cristina Riascos Erazo

32

DOCUMENTOS DE AUDITORIA DE
SISTEMAS

17/04/2009

Dra. Sandra Cristina Riascos Erazo

33

DOCUMENTOS DE AUDITORIA DE
SISTEMAS

17/04/2009

Dra. Sandra Cristina Riascos Erazo

34

NORMATIVIDAD

Calidad del Software ISO 9126 SERIES 25000

Seguridad de la Informacin ISO 27000
Modelo COBIT
Modelo COSO

17/04/2009

Dra. Sandra Cristina Riascos Erazo

35

NORMATIVIDAD
Calidad del Software ISO 9126

17/04/2009

Dra. Sandra Cristina Riascos Erazo

36

NORMATIVIDAD
Seguridad de la Informacin ISO 27000

17/04/2009

Dra. Sandra Cristina Riascos Erazo

37

OBJETIVOS DEL NEGOCIO

COBIT

MONITOREO

INFORMACION
EFECTIVIDAD
EFICIENCIA
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
CUMPLIMIENTO LEGAL
CONFIABILIDAD

PLANEACION Y
ORGANIZACION

RECURSOS DE TI
DATOS
APLICATIVOS
TECNOLOGIA
FACILIDADES
PERSONAS
ENTREGA Y
SOPORTE
17/04/2009

ADQUISICION E
IMPLEMENTACION
Dra. Sandra Cristina Riascos Erazo

38

COBIT

COSO

17/04/2009

Dra. Sandra Cristina Riascos Erazo

39

HERRAMIENTAS DE AUDITORIA
Microsoft Excel
Funciones de auditoria
Validacin de datos
Anlisis de datos

17/04/2009

Dra. Sandra Cristina Riascos Erazo

40

HERRAMIENTAS DE AUDITORIA

PROAUDIT
AUDIT COMMANDER
COBIT
PLANNIG

17/04/2009

Dra. Sandra Cristina Riascos Erazo

41

17/04/2009

Dra. Sandra Cristina Riascos Erazo

42