You are on page 1of 18

27/10/2010

Ing. Luis A. Otake

Sesin 5

1
27/10/2010

La Auditora es un proceso sistemtico por el


cual un equipo o una persona calificada,
competente e independiente obtiene y evala
objetivamente la evidencia respecto a las
afirmaciones acerca de un proceso con el fin
de formarse una opinin sobre el particular e
informar sobre el grado de cumplimiento en
que se implementa dicha afirmacin.

(Ramrez y lvarez, 2003)

2
27/10/2010

Seguridad: Calidad Fiduciaria


Confidencialidad Efectividad Cumplimiento
Integridad Eficiciencia Confiabilidad
Disponibilidad

Servicio Capacidad

Obtencin y documentacin del conocimiento sobre el rea/objeto de la


auditora

Valoracin de riesgos y planeacin general de la auditora y cronograma

Planeacin de auditora detallada

Revisin preliminar del rea/objeto de la auditora

Evaluacin del rea/objeto de la auditora

3
27/10/2010

Verificacin y evaluacin de lo adecuado de los controles diseados para


cumplir los objetivos de control

Pruebas de cumplimiento (pruebas de la implementacin de controles y


su aplicacin consistente)

Pruebas sustantivas (que confirmen la exactitud de la informacin)

Informes (comunicacin de los resultados)

Seguimiento en casos en los que hay una funcin de auditora interna

Conjunto de procedimientos documentados de


auditora diseados para alcanzar los objetivos de
auditora planeados.

Sus componentes son una declaracin del alcance, una


declaracin de los objetivos de la auditora y una
declaracin de los programas de auditora.

Debera ser establecida y aprobada por la gerencia de


auditora, y formalizada y comunicada a todo el
personal de auditora.

4
27/10/2010

Supervisar el trabajo de auditora

Analizar y Informar los


Aplicar
Planear la evaluar el resultados Efectuar
pruebas de
auditora control de la seguimiento
auditora
interno auditora

5
27/10/2010

Riesgo de auditora
Riesgo inherente Riesgo de control Riesgo de deteccin
general
Que exista un error Cuando no es Que un auditor use La combinacin de
que podra ser prevenido ni un procedimiento categoras
importante o detectado inadecuado de individuales de
significativo oportunamente por prueba y concluya riesgos de auditora
La posibilidad de una el sistema de que no existen valorados para cada
falsa declaracin controles internos. errores importantes objetivo de control
importante en cuando en realidad especfico.
ausencia de existen. Nivel que un auditor
controles est preparado a
relacionados. aceptar
Existen
independientemente
de una auditora y
pueden ocurrir
debido a la
naturaleza del
negocio.

6
27/10/2010

Sistema de puntuacin Dependiente del juicio


(scoring) profesional
Considera variables Se requiere
(complejidad tcnica, conocimiento del
nivel de procedimientos negocio, directivas de la
de control y nivel de direccin ejecutiva,
prdida financiera). perspectivas histricas,
Las variables pueden o metas del negocio y
no ser ponderadas. factores ambientales.
Los valores de riesgo se
comparan entre s.

Permite que la direccin asigne de manera efectiva los recursos limitados de la


auditora.

Asegura que se haya obtenido informacin relevante de todos los niveles de la


gerencia, para que las actividades de auditora se orienten a las reas de alto
riesgo, lo cual generar valor a la direccin.

Establece las bases para gestionar el departamento de auditora de manera


efectiva.

Provee un resumen de cmo se relaciona el sujeto individual de la auditora con


el resto de la organizacin, as como tambin con los planes de negocios.

7
27/10/2010

Son las metas especficas que deben cumplirse por parte de la


auditora.

Se enfocan a menudo en validar que existen controles internos, y que


stos funcionen como se espera.

Incluyen el aseguramiento del cumplimiento con requisitos legales y


regulatorios as como tambin la confidencialidad, integridad,
confiabilidad y disponibilidad de recursos de informacin y de TI.

Realizar una revisin independiente de las actividades, reas o funciones especiales


de una institucin, a fin de emitir un dictamen profesional sobre la razonabilidad de
sus operaciones y resultados.

Hacer una revisin especializada, desde un punto de vista profesional y autnomo,


del aspecto contable, financiero y operacional de las reas de una empresa.

Evaluar el cumplimiento de los planes, programas, polticas, normas y lineamientos


que regulan la actuacin de los empleados y funcionarios de una institucin, as como
evaluar las actividades que se desarrollan en sus reas y unidades administrativas.

Dictaminar de manera profesional e independiente sobre los resultados obtenidos


por una empresa y sus reas, as como sobre el desarrollo de sus funciones y el
cumplimiento de sus objetivos y operaciones.

8
27/10/2010

Realizar una evaluacin con personal multidisciplinario y capacitado en el rea de sistemas, con el fin de emitir un
dictamen independiente sobre la razonabilidad de las operaciones del sistema y la gestin administrativa del rea de
informtica.

Hacer una evaluacin sobre el uso de los recursos financieros en las reas de centro de informacin, as como del
aprovechamiento del sistema computacional, sus equipos perifricos e instalaciones.

Evaluar el uso y aprovechamiento de los equipos de cmputo, sus perifricos, las instalaciones y mobiliario del centro
de cmputo, as como el uso de sus recursos tcnicos y materiales para el procesamiento de la informacin.

Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y
paqueteras de aplicacin y desarrollo, as como el desarrollo e instalacin de nuevos sistemas.

Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos que regulan las funciones
y actividades de las reas y de los sistemas de procesamiento de informacin, as como de su personal y de los usuarios
del centro de informacin.

Realizar la evaluacin de las reas, actividades y funciones de una empresa, contando con el apoyo de los sistemas
computacionales, de los programas especiales para auditora y de la paquetera que sirve de soporte para el desarrollo
de auditoras por medio de la computadora.

Prueba de cumplimiento Prueba sustantiva


Recoleccin de evidencia con el fin de La evidencia se recoge para evaluar la
comprobar el cumplimiento de una integridad de transacciones individuales,
organizacin con los procedimientos de datos u otra informacin.
control.
Determina si los controles estn siendo Fundamenta la integridad de un
aplicados de manera que cumplen con las procesamiento real.
polticas y los procedimientos de gestin.
Ej.: para proveer la certeza de que slo se Ej.: Provee evidencia de la validez e
realizan modificaciones autorizadas a los integridad los saldos en los estados
programas de produccin. financieros y de las transacciones que
respaldan dichos saldos.
Pueden usarse para probar la existencia y Pueden usarse para comprobar si hay
efectividad de un proceso definido, el errores monetarios que afecten
cual puede incluir una pista de evidencia directamente los saldos de los estados
documental y/o automatizada. financieros u otros datos relevantes de la
organizacin.

9
27/10/2010

Existe una correlacin directa entre el nivel de controles internos y la


cantidad de pruebas sustantivas requeridas.

Si los resultados de las pruebas a los controles (pruebas de


cumplimiento) revelaran la presencia de controles internos adecuados,
entonces el auditor tiene una justificacin para minimizar los
procedimientos sustantivos.

Si la prueba a los controles revelara debilidades en los controles que


podran generar dudas sobre la integridad, exactitud o validez de las
cuentas, las pruebas sustantivas pueden responder a esas dudas.

Derechos de acceso a usuarios

Procedimientos de control de cambio de programas

Procedimientos de documentacin

Documentacin de programas

Excepciones de seguimiento

Revisin de registros

Auditoras de licencia de software

10
27/10/2010

Desempeo de un clculo
complejo en una muestra de
cuentas o una muestra de
transacciones para garantizar
una documentacin de respaldo

11
27/10/2010

Independencia del
Credenciales de la
proveedor de la
persona que suministra
evidencia (las fuentes
la informacin o
externas son ms
evidencia
confiables)

Tiempo de
Objetividad de la
disponibilidad de la
evidencia
evidencia

Revisin de las Revisin de las


Revisin de las normas
estructuras polticas y
de SI
organizacionales de SI procedimientos de SI

Observacin de
Revisin de la Entrevistas al personal procesos y desempeo
documentacin de SI apropiado de empleados (pe,
fotografas)

12
27/10/2010

Documentos de inicio Documentacin Contratos de nivel de


Requisitos funcionales
del desarrollo de suministrada por servicio con
y especificaciones de
sistemas (pe, estudio proveedores externos proveedores externos
diseo
de factibilidad) de aplicacin de TI

Programa y Registro (logs) e


Planes e informes de
documentos de historial de cambios a Manuales de usuario
pruebas
operaciones programas

Documentos
relacionados con la Informes de
Planes de continuidad
Manuales de operacin seguridad (pe, planes aseguramiento de
del negocio
de seguridad, calidad
valoracin del riesgo)

Reportes sobre
mtricas de seguridad

Ayuda a un auditor de SI a identificar

Funciones reales
La persona realmente est haciendo el trabajo que se le asign
Cmo se entienden y ponen en prctica las polticas y procedimientos?
Procesos/procedimientos reales
Obtiene evidencia de cumplimiento o desviaciones
til para los controles fsicos
Concientizacin sobre seguridad
Comprensin y prctica de buenas medidas de seguridad preventivas y de
deteccin para salvaguardar los activos y datos
Lneas de reporte
Asegurar que se practiquen las responsabilidades asignadas y una adecuada
segregacin de funciones

13
27/10/2010

Usado cuando las Puede ser:


consideraciones
de tiempo y de
costo impiden una Estadstico
verificacin total
de todas las
transacciones o No estadstico:
eventos De criterio

Para determinar si las operaciones revisadas estn bien


controladas y son efectivas

Requiere juicio y experiencia del auditor

Debe valorar las fortalezas y debilidades de los controles


evaluados y luego determinar si son efectivos para cumplir
los objetivos de control establecidos en la planeacin

14
27/10/2010

Es la entrevista final que le provee al auditor


de SI la oportunidad de discutir los hallazgos
y las recomendaciones con la gerencia.

Los objetivos y el alcance de la auditora


pueden ser discutidos y el proceso de
auditora puede ser explicado.

El auditor de SI debera:

Asegurarse de que los hechos presentados en


el informe estn correctos
Asegurarse de que las recomendaciones sean
realistas y rentables, y si no lo fueran, buscar
alternativas negociando con la gerencia del
auditado
Sugerir fechas de implementacin para las
recomendaciones acordadas

15
27/10/2010

Tcnicas de presentacin

Resumen ejecutivo: minimizar el


uso de terminologa compleja
(perspectiva de negocio); los anexos
pueden ser tcnicos
Presentacin visual: diapositivas o
grficos

Introduccin:

Objetivos
Limitaciones y alcance
Perodo cubierto
Declaracin general sobre el carcter y la extensin de los procedimientos de auditora realizados y los procesos
examinados durante la auditora
Declaracin sobre la metodologa de la auditora y lineamientos seguidos

Incluir los hallazgos en anexos separados.

Se pueden agrupar en secciones por importancia y/o receptor previsto

Conclusin y opinin generales del auditor

Si los controles y procedimientos examinados son adecuados


Sobre los riesgos potenciales detectados

Las reservas o calificaciones del auditor

Pueden declarar que se encontr que los controles o procedimientos examinados son adecuados o inadecuados

Los hallazgos detallados y las recomendaciones

Decidir qu incluir

16
27/10/2010

La planeacin y preparacin del alcance y objetivos de la auditora

La descripcin y/o recorridos en el rea de auditora vista

El programa de auditora

Los pasos de auditora realizados y la evidencia de auditora recopilada

El uso de servicios de otros auditores y expertos

Los hallazgos, conclusiones y recomendaciones de auditora

La documentacin de auditora relacionada con la identificacin y fechas de documentos

Pginas
Fechados Inicializados
numeradas

Relevantes Completos Claros

Debidamente Mantenidos
Archivados
etiquetados en custodia

17
27/10/2010

Es el puente o interfaz entre los


objetivos de auditora y el reporte
final

Debera apoyar los hallazgos y las


conclusiones y opiniones

18