You are on page 1of 67

Ing. Christian Dios Castillo Ing.

Hobber Siccha Ayvar

Auditoría Informática

Auditoría Informática
Sesión 1: Introducción a la auditoría

MBA Ing° Christian A. Dios Castillo
Trujillo - Perú
1

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditoría Informática

Agenda
Conceptos, importancia y clasificación de auditoría. Etapas de auditoría. Normas generales. Estrategias y herramientas generales. Casos prácticos.

Conclusiones.

2

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditoría Informática

Conceptos, importancia y clasificación de auditoría

3

Dirección. 1. 4. 4 . Christian Dios Castillo Ing. Control. 5. Hobber Siccha Ayvar Auditoría Informática Elementos Básicos de la Administración. Organización.Ing. 3. Coordinación e Integración. 2. Planeamiento.

5 . Hobber Siccha Ayvar Auditoría Informática Conceptos de Auditoría • La Auditoría Administrativa se ocupa de la calidad de la administración. • Está diseñada para evaluar la efectividad de la administración en el cumplimiento de sus tareas asignadas: – El cumplimiento de los objetivos organizativos por parte de la Gerencia. – El cumplimiento de sus funciones de planeación. dirección y control. Christian Dios Castillo Ing.Ing. organización.

Hobber Siccha Ayvar Auditoría Informática Importancia de la Auditoría La razón principal para llevar a cabo una auditoría es la necesidad de detectar y superar las deficiencias. Christian Dios Castillo Ing. el auditor tiene la obligación de detectar debilidades e indicar alternativas de solución. 6 .Ing. Por lo tanto.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditoría Informática

Clasificación de la Auditoría Por su naturaleza: • Auditoría Administrativa u Operativa. • Auditoría de Gestión. • Auditoría a la Información Presupuestaria. • Auditoría de Estados Financieros. • Auditoría Tributaria. • Auditoría de Sistemas Informáticos. • Auditoría Ecológica o Ambiental. • Auditoría Integral. • Exámenes Especiales.
7

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditoría Informática

Clasificación de la Auditoría Por la Dependencia: • Auditoría Interna. • Auditoría Externa.

8

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar

Auditoría Informática

Clasificación de la Auditoría Esquema del Sistema de Auditoría referido a su ámbito, clases y tipo de auditores. Ámbito
Interna

Clase

Tipo de Auditor

Auditoría
Externa

Auditoría Administrativa Auditor Interno Auditoría de Gestión. Auditoría Inf. Presup. Auditoría de EEFF. Auditoría Tributaria. Auditoría Sistemas Informáticos. Auditoría Ecológica o Ambiental. Auditor Externo Auditoría Integral. Exámenes Especiales.
9

especialización y experiencia en las técnicas de auditoría (informática).Ing. Christian Dios Castillo Ing. Profesional colegiado. que tiene formación. 10 . Hobber Siccha Ayvar Auditoría Informática Definición del Auditor.

sistemas de información. 2. ni debe esperarse que sea un perito en todas las materias. planes de contingencias. Hobber Siccha Ayvar Auditoría Informática Perfil Genérico del Auditor.El auditor no es. etc. 11 .La independencia mental del auditor será mayor entre mayor sea el nivel al que reporta. organización. 1. 3. bases de datos. Christian Dios Castillo Ing.El equipo de auditoría informática está compuesto por un staff de especialistas en cada una de las ramas: redes de comunicación.Ing. aplicaciones diversas.

a nivel de ejecutivo. 5. Christian Dios Castillo Ing. El auditor debe tener formación profesional. 6. El auditor debe guardar discreción profesional en su ejercicio. 4. con Postgrado y especializado en el sistema de control. El auditor debe contar con amplia experiencia profesional. Hobber Siccha Ayvar Auditoría Informática Perfil Genérico del Auditor.Ing. 7. El auditor debe acreditar solvencia moral y ética en su trayectoria personal y profesional. 12 .

Christian Dios Castillo Ing.Ing. Hobber Siccha Ayvar Auditoría Informática Etapas de la auditoría 13 .

Christian Dios Castillo Ing. La calidad de cada etapa es crucial para el logro de los objetivos del proyecto de auditoría. Hobber Siccha Ayvar Auditoría Informática Las etapas de un proyecto de auditoría son las siguientes: 1.Elaboración de informes.Ing. 14 .Ejecución. 2.Planificación. 3.

15 .Ing. oportunidad de su aplicación y el personal responsable de su ejecución. alcances de la muestra.El proyecto de auditoría debe planificarse adecuadamente para asegurar su calidad. .Planificación .Los Programas de Auditoría deben incluir los objetivos. procedimientos detallados. Hobber Siccha Ayvar Auditoría Informática 1.Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan. .. Christian Dios Castillo Ing.

Planificación (continuación) . Christian Dios Castillo Ing.Ing. Hobber Siccha Ayvar Auditoría Informática 1..Debe organizarse el Archivo Permanente (conjunto de documentos con información de interés y de uso continuo). 16 .

Hobber Siccha Ayvar Auditoría Informática Exposición del Plan de Auditoría al Equipo de Auditores 17 . Christian Dios Castillo Ing.Ing.

Christian Dios Castillo Ing. 18 . Hobber Siccha Ayvar Auditoría Informática 2.Ing. .Debe focalizarse principalmente a las áreas críticas de la entidad.Debe realizarse de manera continua la supervisión de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos. .. competentes y relevantes que sustenten los hallazgos. .Ejecución .Deben obtenerse evidencias suficientes.Debe evaluarse el cumplimiento adecuado de las normas técnicas informáticas.

Ejecución (continuación) . Hobber Siccha Ayvar Auditoría Informática 2.Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones. a través de Papeles de Trabajo. 19 .Ing.. .Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad. Christian Dios Castillo Ing.

Hobber Siccha Ayvar Auditoría Informática Desarrollo de los procesos de auditoría 20 . Christian Dios Castillo Ing.Ing.

Ing. Hobber Siccha Ayvar Auditoría Informática Desarrollo de los procesos de auditoría 21 . Christian Dios Castillo Ing.

etc.Existen informes de cada especialista dentro de los aspectos auditados: Organización. sistemas de información.Ing.Elaboración de Informes ..Deben estar en un lenguaje sencillo y preciso. redes de comunicación de datos. Christian Dios Castillo Ing. . Hobber Siccha Ayvar Auditoría Informática 3. 22 . planes de contingencias. tratando los temas de manera concreta y con la documentación sustentatoria. .Deben ser oportunos para que el proceso de mejora sea inmediato.

Cuando se evidencie la realización de actos delictivos. debe elaborarse con celeridad un informe especial. 23 ..Ing.El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes. anexando la documentación técnica y legal sustentatoria. Hobber Siccha Ayvar Auditoría Informática 3. Christian Dios Castillo Ing. .Elaboración de Informes (Continuación) .

Hobber Siccha Ayvar Auditoría Informática Elaboración de informes de auditoría 24 .Ing. Christian Dios Castillo Ing.

Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática Normas Generales De Auditoría 25 .Ing.

c) Normas de Preparación de Informes. Christian Dios Castillo Ing. Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realización de una auditoría y en la emisión del informe. Se dividen en: a) Normas Generales de Auditoría. b) Normas de Trabajo.Ing. 26 . Hobber Siccha Ayvar Auditoría Informática Normas de Auditoría Generalmente Aceptadas – NAGAs y Normas Internacionales de Auditoría NIAs.

La auditoría será efectuada por profesionales que tienen entrenamiento técnico adecuado y pericia como auditores. 27 . Hobber Siccha Ayvar Auditoría Informática a)Normas Generales de Auditoría. Debido cuidado profesional en la ejecución del examen y en la preparación del informe. 2. Christian Dios Castillo Ing.Ing. 1. El auditor mantendrá independencia de criterio. 3.

Se estudiará y evaluará el control interno. 2. indagaciones y confirmaciones. Hobber Siccha Ayvar Auditoría Informática b)Normas de Trabajo. mediante constataciones. Se obtendrá evidencia adecuada en grado suficiente.Ing. 1. . Christian Dios Castillo Ing. para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditoría. La auditoría será planeada adecuadamente. para proveer una base razonable que permita la expresión de una opinión sobre la 28 gestión empresarial. 3.

29 . 1. Hobber Siccha Ayvar Auditoría Informática c)Normas de Preparación de Informes. ‾ Conclusiones. ‾ Observaciones.Ing. Christian Dios Castillo Ing. ‾ Recomendaciones. ‾ Anexos. Todo informe de auditoría contendrá lo siguiente: ‾ Información introductoria.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática Estrategias y Herramientas Generales 30 .

• Son herramientas que emplea el auditor según su criterio y las circunstancias. Christian Dios Castillo Ing. 31 .Ing. Hobber Siccha Ayvar Auditoría Informática TÉCNICAS DE AUDITORÍA: • Formas de acción del auditor para obtener evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado.

Ing. comparación. – Técnicas de verificación oculares: Observación. entrevistas. 32 . Hobber Siccha Ayvar Auditoría Informática TÉCNICAS DE AUDITORÍA: Las técnicas se clasifican de acuerdo con la acción adoptada por el auditor en el desarrollo de la acción a efectuar: – Técnicas de verificación orales: Indagación. Christian Dios Castillo Ing.

Hobber Siccha Ayvar Auditoría Informática TÉCNICAS DE AUDITORÍA: – Técnicas de verificación escrita: Análisis. Christian Dios Castillo Ing. – Técnicas de verificación Comprobación. confirmación. documental: – Técnicas de verificación física: Conteo. conciliación. 33 . rastreo.Ing.

entrevistas y examen de los procesos informáticos. Christian Dios Castillo Ing. 34 . competentes y pertinentes que sustentan las conclusiones del auditor. Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS: • Es el conjunto de hechos comprobados suficientes. • Es la información específica obtenida durante la labor de auditoría a través de observación. inspección.Ing.

– Evidencia documental: Documentos internos de la empresa y documentos externos. inspección u – Evidencia testimonial: Obtenida de otros a través de cartas o declaraciones recibidas en respuestas a indagaciones. 35 .Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS: • Las evidencias pueden ser: – Evidencia física: Mediante observación directa.

Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): – Evidencia analítica: Se obtiene al verificar la información recibida. Christian Dios Castillo Ing.Ing. 36 .

Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): • Las evidencias deben tener las siguientes características: Suficiencia: –La evidencia será suficiente cuando por los resultados de la aplicación de una o varias pruebas. –Para determinar si la evidencia es suficiente. . –Cuando sea conveniente. Christian Dios Castillo Ing.Ing. el auditor podrá adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados. se podrá emplear métodos 37 estadísticos con ese propósito. se requiere aplicar el criterio profesional.

la evidencia debe ser válida y confiable. Christian Dios Castillo Ing. – De ser así. deberá obtener evidencia adicional o revelar esa situación en su informe.Ing. el auditor deberá considerar cuidadosamente si existen razones para dudar de su validez o de su integridad. 38 . Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): Competencia: – Para que sea competente. – A fin de evaluar la competencia de la evidencia.

39 . Christian Dios Castillo Ing.Ing. si bien no deberán considerarse suficientes para determinar la competencia: –La evidencia que se obtiene de fuentes independientes es más confiable que la obtenida del propio organismo auditado. Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): Competencia:Los siguientes supuestos constituyen criterios útiles para juzgar si la evidencia es competente.

Christian Dios Castillo Ing. –La evidencia que se obtiene físicamente mediante un examen. observación.Ing. 40 . cálculo o inspección es más confiable que la que se obtiene en forma indirecta. no es satisfactorio o no se ha establecido. Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): –La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es más confiable que aquella que se obtiene cuando el sistema de control interno es deficiente.

cuando los informantes pueden sentirse intimidados). Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): –Los documentos originales son más confiables que sus copias.Ing. –La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crédito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo. Christian Dios Castillo Ing. 41 .

el auditor deberá obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y 42 competencia de la evidencia que haya obtenido. .Ing. por consiguiente. –La información que se utilice para demostrar o refutar un hecho será relevante si guarda una relación lógica y patente con ese hecho. será irrelevante y.. no deberá incluirse como evidencia. Hobber Siccha Ayvar Auditoría Informática EVIDENCIAS (continuación): Relevancia: –Se refiere a la relación que existe entre la evidencia y su uso. –Cuando lo estimen conveniente. –Si no lo hace. Christian Dios Castillo Ing.

43 . Hobber Siccha Ayvar Auditoría Informática Evidencias de hallazgos: Documentarias.Ing. Christian Dios Castillo Ing.

44 .Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática Evidencias de hallazgos: Captura de Pantallas.

Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA: • Problematización: El Juego de Gari. Christian Dios Castillo Ing. ¿porque hemos observado cosas diferentes? 45 . ¿Qué hemos visto? Si todos hemos visto el mismo video.Ing.

Ing. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA: Es que la realidad es compleja y relativa. Por lo tanto. debemos hacer esfuerzos en ser lo más objetivos. Christian Dios Castillo Ing. 46 .

Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA: • Es una reunión lógica de datos y una presentación objetiva de los hechos que el auditor ha observado o encontrado durante su examen. Christian Dios Castillo Ing. – Debe basarse en hechos y evidencias precisas que figuran en los papeles de trabajo. 47 .Ing. • Un hallazgo debe tener ciertos requisitos: – Importancia relativa que merezca su comunicación. – Convincente a una persona que no ha participado en la auditoría (“!!!Yo vi un OVNI¡¡¡”) ¿Por qué no me creen?.

– Someter el hallazgo potencial a un análisis crítico. 48 . – Suficientemente completo para una conclusión y/o recomendación. Christian Dios Castillo Ing. – Índole y complejidad técnica del hecho observado.Ing. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (continuación): • En un hallazgo deben considerarse los siguientes factores: – Las condiciones y circunstancias existentes al momento en que ocurrió el hecho.

– Verificación de las causas de la deficiencia. – Determinar si la deficiencia es un caso aislado o tiene el problema o la condición difundida. 49 . Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (continuación): • Las pasos a seguir en el desarrollo de un hallazgo pueden ser: – Identificación de las líneas de autoridad. – Determinación de los efectos.Ing. Christian Dios Castillo Ing.

– Determinación de las conclusiones en base al hallazgo. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (continuación): – Obtención de comentarios de personas afectadas por el hecho encontrado. 50 . Christian Dios Castillo Ing.Ing. – Determinación de posibles acciones correctivas a modo de recomendaciones.

“LO QUE DEBE SER” – Efecto: La diferencia entre “LO QUE ES” y “LO QUE DEBE SER”. “LO QUE ES”. Christian Dios Castillo Ing. – Causa: Las razones de desviación “POR QUÉ SUCEDIÓ”.Ing. – Criterio: La norma aplicada o unidad de medida. 51 . Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (continuación): • Los atributos de un hallazgo son: – Condición: Situación actual encontrada.

52 .Ing. se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): • Los atributos de un hallazgo son: – Condición: De la revisión a los procesos de generación de las copias de respaldo a la información del Sistema de Información.

25 Almacenamiento de Respaldos. tanto dentro como fuera de las instalaciones… 53 .Ing. Christian Dios Castillo Ing. la cual indica que los procedimientos de respaldo para los medios relacionados con tecnología de información deberán incluir el almacenamiento apropiado de los archivos de datos. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): • Los atributos de un hallazgo son: – Criterio: Esta situación contraviene a la Norma COBIT DS11. del software y de la documentación relacionada. de la Fundación de Auditoría y Control de Sistemas de Información.

Ing. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): • Los atributos de un hallazgo son: – Efecto: La consecuencia que traería sería la pérdida definitiva de la información. en el caso de la ocurrencia de desastres tales como un incendio. 54 . Christian Dios Castillo Ing.

Ing. 55 . Cuando no se sabe con precisión la CAUSA. este atributo no es considerado en el hallazgo. porque las razones son difusas o aún no se tiene la respuesta del auditado. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): • Los atributos de un hallazgo son: – Causa: No se ha identificado aún el lugar destinado para estos fines.

el cual estaba conformado íntegramente por damas. Revisando el MOF del área informática. los pozos a tierra no tenían el mantenimiento adecuado para su correcto funcionamiento. 56 . Christian Dios Castillo Ing. no se encontró dentro de sus funciones la administración de extintores ni pozos a tierra. Además.Ing. no son fáciles de definir: En una entidad se evidenció que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): Sin embargo.

de pozos a tierra: Dpto. las áreas responsables son: -Adm. de extintores: Dpto. de Seguridad. Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): Pregunta: ¿Es pertinente hacer un hallazgo si el área de informática no es la responsable de estas funciones? De acuerdo al MOF. Christian Dios Castillo Ing.Ing. de mantenimiento eléctrico. Si estamos auditando procesos informáticos ¿porqué tenemos que hacer hallazgos en áreas que no realizan tareas informática? 57 . -Adm.

Ing. 58 . Hobber Siccha Ayvar Auditoría Informática HALLAZGOS DE AUDITORÍA (Ejemplo): Respuestas: Redacte sus conclusiones. Christian Dios Castillo Ing.

Ing. métodos y procedimientos utilizados en el desarrollo de una auditoría. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática LOS PAPELES DE TRABAJO DEL AUDITOR: Definición: Conjunto de cédulas y documentos en los que el auditor registra cronológicamente datos por él formulados. la información obtenida e igualmente el resultado de sus pruebas técnicas. 59 .

• Deja constancia del grado de confianza del control interno. 60 . • Facilita la revisión y supervisión del trabajo. • Respaldo del informe del auditor. Hobber Siccha Ayvar Auditoría Informática LOS PAPELES DE TRABAJO DEL AUDITOR: Importancia: • Historial de la labor efectuada. • Es fuente de información futura. • Respaldan los hallazgos de auditoría. Christian Dios Castillo Ing. • Es base para la elaboración del informe. • Resultado de la labor del auditor.Ing.

Hobber Siccha Ayvar Auditoría Informática LOS PAPELES DE TRABAJO DEL AUDITOR: Contenido: • Programa de Auditoría. • Cuestionarios de control interno.Ing. • Notas y observaciones del auditor. • Hojas de trabajo del auditor. • Información respectiva de la empresa. • Confirmaciones externas. 61 . Christian Dios Castillo Ing.

Hobber Siccha Ayvar Auditoría Informática LOS PAPELES DE TRABAJO DEL AUDITOR: Una forma de Organizarlos: Referencia Documentación de los procesos De auditoría Anexos 62 .Ing. Christian Dios Castillo Ing.

Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática 63 .Ing.

Ing. Christian Dios Castillo Ing. Hobber Siccha Ayvar Auditoría Informática Casos de Estudio Elabora hallazgos de auditoría 64 .

Hobber Siccha Ayvar Auditoría Informática Conclusiones 65 .Ing. Christian Dios Castillo Ing.

Ing. •¿Por qué es importante la auditoría informática? •¿Cuáles son las etapas de auditoría y sus funciones? •¿Qué características tiene un auditor? •¿Qué técnicas de auditoría existen? •¿Qué tipos de evidencias existen? •¿Qué tipos características deben tener las evidencias? •¿Qué es un hallazgo? •¿Qué atributos tiene un hallazgo? 66 . Hobber Siccha Ayvar Auditoría Informática Luego del desarrollo de la sesión se ha llegado a las siguientes conclusiones. Christian Dios Castillo Ing.

Christian Dios Castillo Ing.Ing. Hobber Siccha Ayvar Auditoría Informática ¿Preguntas adicionales? 67 .