La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS.

Presentaciones similares


Presentación del tema: "CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS."— Transcripción de la presentación:

1 CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL

2 CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS Cartagena de Indias Mayo, 2008

3 CONTROL Y AUDITORÍA INTERNA 3 Presentación y sinopsis. Capítulos 13, 14, 15, 16 y 17. Comunicación de los resultados. El informe. Seguimiento de la Auditoría. El sistema de Información de la Administración Tributaria. Seguridad de la Información. Auditoría de Sistemas de Información.

4 CONTROL Y AUDITORÍA INTERNA 4 EL INFORME DE AUDITORIA ESTÁNDARES DE CALIDAD COMUNES HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. EVIDENCIASOBSERVACIONESCONCLUSIO-NES Y RECOMENDACIONES. EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN EVIDENCIAS, RECOGIENDO OBSERVACIONES, CONCLUSIO-NES Y RECOMENDACIONES. IMAGEN CLARA EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.

5 CONTROL Y AUDITORÍA INTERNA 5 CONTENIDO DEL INFORME EL OBJETO, EL ALCANCE Y LOS RESULTADOS EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO MÍNIMO DEBE INCLUIR: EL OBJETO, EL ALCANCE Y LOS RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES ) UN INFORME ESTÁNDAR, PODRÍA CONTENER : Título y número de referencia. Introducción. Objeto de la auditoría Alcance Metodología utilizada. Informe-resumen o informe ejecutivo. Información preliminar, antecedentes. Firma y fecha. Observaciones. Conclusiones. Recomendaciones. Alegaciones, descargos y opinión del órgano auditado. Anexos.

6 CONTROL Y AUDITORÍA INTERNA 6 INTRODUCCION DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO. CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO COMPOSICIÓN DEL EQUIPO DE AUDITORÍA FECHAS DE INICIO Y FINALIZACIÓN DE LAS ACTUACIONES. CARÁCTER O TIPO DEL INFORME. DESTINATARIO/S DEL INFORME.

7 CONTROL Y AUDITORÍA INTERNA 7 ALCANCE OBJETO COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO. EL ALCANCE: DELIMITA LA NATURALEZA Y ÁMBITO DE LA AUDITORÍA. ÁMBITO TERRITORIAL Y FUNCIONAL PROCESOS AUDITADOS PERIODO ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A AUDITAR. LIMITACIONES AL ALCANCE LAS LIMITACIONES AL ALCANCE.

8 CONTROL Y AUDITORÍA INTERNA 8 METODOLOGIA FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS. BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA INFORMACIÓN (APLICACIONES ESPECÍFICAS) METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE REPRESENTATIVIDAD. ANTECEDENTES

9 CONTROL Y AUDITORÍA INTERNA 9 EXPOSICIONES PERTINENTES DE LOS HECHOS NO SON JUICIOS DE VALOR. EVIDENCIAS EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS SUFICIENTES, RELEVANTES Y COMPETENTES. DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA PERSPECTIVA Y CONTEXTO ADECUADOS. EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.

10 CONTROL Y AUDITORÍA INTERNA 10 SURGEN DE LA COMPARACIÓN ENTRE: CRITERIO (LO QUE DEBE SER) (LO QUE DEBE SER)REALIDAD (LO QUE ES) (LO QUE ES) Razón de la diferencia. EFECTOS CAUSA Riesgo a que se somete la organización debido a las diferencias entre lo que debe ser y lo que es.

11 CONTROL Y AUDITORÍA INTERNA 11 FORMA DE REFLEJAR LAS EVIDENCIAS: CUADROS- RESÚMENES DEBEN RECOGERSE EN EL INFORME EN FORMA DE CUADROS- RESÚMENES DONDE SE OFREZCAN LOS DATOS AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN UN ANEXO. ASPECTOS SENSIBLES EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME. ENTREVISTAS EN EL CASO DE ENTREVISTAS CON RESPONSABLES DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE DOCUMENTAL FACILITADO, SI EXISTE. LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS INFORMES EN UN ANEXO.

12 CONTROL Y AUDITORÍA INTERNA 12 CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR SOBRE LAS OBSERVACIONES Y SUS EFECTOS DEBEN APARECER CLARAMENTE COMO TALES. DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O CONDUCTAS IRREGULARES DEL PERSONAL. SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinión del auditor.

13 CONTROL Y AUDITORÍA INTERNA 13 RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS ENCONTRADAS SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME. OPINIONES O ALEGACIONES DEL ORGANO AUDITADO. FECHA Y FIRMA ANEXOS.

14 CONTROL Y AUDITORÍA INTERNA 14 INFORME EJECUTIVO SE PUEDE INCORPORAR COMO PARTE DEL INFORME O PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.

15 CONTROL Y AUDITORÍA INTERNA 15 RECOMENDACIONES DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME. OBSERVACIONES (hechos) CONCLUSIONES (opiniones del auditor) RECOMENDACIONES (hechos) Soluciones a los problemas detectados Mejora del servicio público prestado NUMERADAS DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A ÉSTAS.

16 CONTROL Y AUDITORÍA INTERNA 16 RECOMENDACIONES SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO COMPETENCIAL. SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.

17 CONTROL Y AUDITORÍA INTERNA 17 RECOMENDACIONES EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE OBLIGADO CUMPLIMIENTO PARA EL AUDITADO. EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE OBLIGATORIEDAD QUE DEBERÍA DARSE A LA RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE LA CONVENIENCIA DE APLICACIÓN DE LA MEJORA PROPUESTA. NO OBSTANTE, HAY QUE GARANTIZAR QUE: LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA CONOCE LAS RECOMENDACIONES. LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO. SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.

18 CONTROL Y AUDITORÍA INTERNA 18 PRECISOS OBJETIVOS CLAROS CONCISOS CONSTRUCTIVOS COMPLETOS OPORTUNOS ESTANDARIZACION DE INFORMES REQUISITOS DE CALIDAD

19 CONTROL Y AUDITORÍA INTERNA 19 SUPERVISION DEL INFORME EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.

20 CONTROL Y AUDITORÍA INTERNA 20 Las razones que justifican la supervisión: Asegurando que se han cumplido los objetivos de la auditoría. Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos. Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditoría. Determinando si las evidencia están suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones. Comprobando que se han cumplido las normas de estandarización.

21 CONTROL Y AUDITORÍA INTERNA 21 POSIBLES TÉCNICAS DE SUPERVISIÓN: Simple lectura del documento. Contraste del informe con plantillas de informes estandarizados o documentos-guía. Proceso de referencias o indización del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboración

22 CONTROL Y AUDITORÍA INTERNA 22 TIPOS DE INFORME SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN SEGÚN EL MOMENTO DE SU ELABORACIÓN ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO

23 CONTROL Y AUDITORÍA INTERNA 23 ) TRAMITACIÓN DEL INFORME DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA TRAMITACIÓN DE LOS INFORMES POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE INFORME. DEBE ESTAR REGULADO Y SER CONOCIDO POR LA ORGANIZACIÓN. DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO. OPCIONAL: antes de la elaboración del borrador del informe (reuniones posteriores a la auditoría; reunión de presentación de conclusiones). OBLIGATORIO: Remisión del borrador para observaciones al órgano auditado o superior jerárquico.

24 CONTROL Y AUDITORÍA INTERNA 24 DISTRIBUCIÓN DEL INFORME DESTINATARIOS PRINCIPALES O NATURALES DIRECCIÓN DE LA ADMÓN TRIBUTARIA COMITÉ DE AUDITORÍA (SI LO HUBIESE) ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL, SEGURIDAD O RIESGOS ÓRGANO AUDITADOSUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN OTROS INTERESADOS OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS

25 CONTROL Y AUDITORÍA INTERNA 25 ARCHIVO Y CONSERVACIÓN DEL INFORME EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD PARA LA MISMA. SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO INFORMATIZADO. LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIÓN Y SEGUIMIENTO DE ACTUACIONES.

26 CONTROL Y AUDITORÍA INTERNA 26 SEGUIMIENTO DE LA AUDITORIA MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORÍA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIÓN LOS OBJETIVOS DEL SEGUIMIENTO SON: Verificar el grado de cumplimiento de las recomendaciones de auditoría o la aceptación por la Dirección del riesgo de no hacerlo. Evaluar el impacto de las recomendaciones implantadas en la solución de las deficiencias observadas o las mejoras producidas. Retroalimentar el proceso de control interno de la organización. Aumentar la eficacia de las auditorías.

27 CONTROL Y AUDITORÍA INTERNA 27 EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS: ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O EN LA FASE DE TRAMITACIÓN DEL INFORME. REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS. SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.

28 CONTROL Y AUDITORÍA INTERNA 28 EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORÍA UNO RELATIVO A AUDITORÍAS DE SEGUIMIENTO. OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO. LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.

29 CONTROL Y AUDITORÍA INTERNA 29 SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMAS SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMAS CARTAGENA DE INDIAS Mayo, 2008

30 CONTROL Y AUDITORÍA INTERNA 30 La Administración Tributaria (AT) es una organización compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologías de la información y de las comunicaciones. La organización debe supervisar el desempeño de los sistemas de información. Para desarrollar en la AT una actividad de auditoría completa y en profundidad, el OAI necesita disponer de un área de auditoría de sistemas de información, cuyo plantilla esté compuesta por especialistas, auditores de sistemas de información, que ejecuten actuaciones alineadas con el resto de actividades de auditoría del OAI. APARTADO 17 AUDITORÍA DE SISTEMAS DE INFORMACIÓN APARTADO 17.1 INTRODUCCIÓN Y SINOPSIS

31 CONTROL Y AUDITORÍA INTERNA 31 DEFINICIÓN (1) La auditoría de sistemas de información, auditoría informática o auditoría de sistemas es un tipo de auditoría consistente en el examen de los sistemas de información y de los centros de proceso de datos, instalaciones y unidades informáticas de las organizaciones, con objeto de facilitar la consecución de los objetivos que persiguen, tanto los del área informática como, primordialmente los del conjunto de la organización. EPÍGRAFE DEFINICIÓN

32 CONTROL Y AUDITORÍA INTERNA 32 DEFINICIÓN (2) EPÍGRAFE DEFINICIÓN La auditoría de sistemas de información persigue propiciar con sus actuaciones: -El establecimiento y mantenimiento de sistemas de gestión de la seguridad. -La reducción de los riesgos inherentes a la utilización de los sistemas de información. -El incremento de la confianza de los usuarios internos y externos en los sistemas de información.

33 CONTROL Y AUDITORÍA INTERNA 33 DEFINICIÓN (3) EPÍGRAFE DEFINICIÓN Son objeto de la auditoría de sistemas de información: Las auditorías consistentes en la revisión y evaluación de los sistemas automáticos de procesamiento de la información. Las que se ocupan de los procedimientos no automáticos relacionados con ellos y de los interfases correspondientes. Por ejemplo, en el ámbito tributario: La dirección de las instalaciones y unidades informáticas. La adquisición de bienes y servicios informáticos. La gestión de los contenidos residentes en la Intranet corporativa y en el portal Internet de la organización. Las actividades de mejora de la calidad en la entrada de datos.

34 CONTROL Y AUDITORÍA INTERNA 34 EPÍGRAFE Varios factores han impulsado la demanda de una mayor supervisión y control de los sistemas de información: 1) Las amenazas a la seguridad informática, en un marco de sistemas de información cada vez más abiertos por la utilización de Internet y la interconexión de redes. 2) La protección de los derechos de los ciudadanos, en el ámbito de la sociedad de la información y del gobierno electrónico. 3) La fiabilidad de la información ofrecida por las empresas, que requieren una comprobación de aquellos procesos que elaboran y comunican los resultados conseguidos.

35 CONTROL Y AUDITORÍA INTERNA 35 EPÍGRAFE FUNCIONES DE LA AUDITORÍA DE SI (1) 1) Velar por la eficacia y eficiencia del sistema informático, de forma que éste alcance con el menor coste posible los objetivos. 2) Verificar el cumplimiento de las normas y estándares vigentes en la organización (leyes de firma electrónica, de protección de datos de carácter personal, de propiedad intelectual del software, etc.). 3) Supervisar el control interno ejercido sobre los sistemas de información conducente a la protección de los activos de información de información de la organización: recursos humanos, locales e instalaciones, infraestructuras tecnológicas, sistemas y aplicaciones, información tributaria. FUNCIONES

36 CONTROL Y AUDITORÍA INTERNA 36 EPÍGRAFE FUNCIONES DE LA AUDITORÍA DE SI (2) 4) Verificar la calidad de los sistemas de información de la organización y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organización (cumplimiento de normas de calidad o modelo de excelencia en gestión). 5) Comprobar e impulsar la seguridad de los sistemas de información. FUNCIONES

37 CONTROL Y AUDITORÍA INTERNA 37 EPÍGRAFE ) Comprobar el cumplimiento de los requerimientos de negocio de la información, es decir las propiedades que la información debe tener para optimizar su utilización por la organización. 7) Analizar la gestión de los riesgos asociados a los sistemas de información, proponiendo la adopción de medidas que mejoren el sistema de análisis y gestión de los riesgos informáticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organización. FUNCIONES

38 CONTROL Y AUDITORÍA INTERNA 38 EJEMPLOS (1) EPÍGRAFE AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA Objetivos del SI de la Administración Tributaria: Asegurar la continuidad del servicio prestado por el Centro Informático de la AT y por tanto la atención a los usuarios. Elaborar aplicativos de depuración y de análisis de la información patrimonial capturada por la organización, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio. Garantizar la seguridad de los SI de la organización, estableciendo un entorno de control que incorpore medidas técnicas eficaces y una revisión sistemática de las autorizaciones concedidas y de los accesos registrados.

39 CONTROL Y AUDITORÍA INTERNA 39 Programas de auditoría de SI en la Administración Tributaria: El programa de auditoría de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones: Una actuación en el entorno de explotación y comunicaciones del Centro Informático. Una actuación sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organización para los agentes tributarios desplazados. Una actuación sobre la infraestructura tecnológica de la plataforma Internet, ubicada en el Centro Informático de la AT. EPÍGRAFE AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA

40 CONTROL Y AUDITORÍA INTERNA 40 EL AUDITOR DE SISTEMAS DE INFORMACIÓN La auditoría de sistemas de información es una actividad diferenciada. El auditor de sistemas de información o auditor informático es un auditor especialista. La característica principal del auditor de sistemas de información es su capacidad para alcanzar y fundamentar evidencias de auditoría en un contexto real de utilización de las tecnologías de la información.

41 CONTROL Y AUDITORÍA INTERNA 41 EL AUDITOR DE SISTEMAS DE INFORMACIÓN Debido a la complejidad de los modernos sistemas de información y a la necesidad de tener amplios conocimientos del área de negocio, el auditor de sistemas de información trabaja en equipo: Con profesionales de distintos perfiles técnicos que cubran áreas funcionales informáticas diferentes (sistemas, desarrollo, comunicaciones). Con una planificación muy elaborada de las actuaciones, plasmada en guiones minuciosos. En algunas actuaciones con la colaboración técnica del propio personal auditado o de terceros no interesados directamente en la actuación.

42 CONTROL Y AUDITORÍA INTERNA 42 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1) 1) Conocimientos, proporcionados a su grado de responsabilidad, sobre la organización en la que desarrolla su actividad: La misión, estrategia, políticas y objetivos de la organización. La estructura y funcionamiento de la organización. Los principales procesos de negocio, y las normas y disposiciones que les afectan.

43 CONTROL Y AUDITORÍA INTERNA 43 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2) 2) Manejo con soltura del marco profesional para la práctica de la auditoría interna: Los modelos y principios de auditoría, como la supervisión del control interno (Informe COSO I) y la gestión de riesgos (Informe COSO II). Las normas y estándares que regulan en la organización el proceso de auditoría y el proceso de seguimiento de las recomendaciones. Los códigos de conducta aplicables, como puede ser el Código de Ética del Instituto Internacional de Auditoría Interna.

44 CONTROL Y AUDITORÍA INTERNA 44 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3) 3) Conocimientos sólidos en materia de tecnologías de la información y de las comunicaciones: Conocimientos de materias TIC generales (infraestructuras; prácticas operacionales; organización, desarrollo e implementación de los SI, etc.). Conocimientos de materias relacionadas directamente con la seguridad de los sistemas de información (protección de activos de información, continuidad del negocio). Conocimientos de materias relacionadas directamente con la auditoría y el control de los sistemas de información (metodologías de análisis y gestión de riesgos, marcos referenciales, herramientas de auditoría, etc.).

45 CONTROL Y AUDITORÍA INTERNA 45 ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE SI Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formación, experiencia y especialización de sus miembros y jefes. Dos de las posibles opciones son las siguientes: A.- Incorporar al OAI a empleados públicos, que posean una certificación en vigor como auditores de sistemas de información, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable. B.- Contratar a profesionales externos de auditoría de sistemas de información, para que pasen a ejercer esta función en la Administración Tributaria como auditores internos en el OAI, siempre que esta contratación sea compatible con el estatus de los auditores internos.

46 CONTROL Y AUDITORÍA INTERNA 46 EL OAI Y LOS AUDITORES DE SI Los auditores de sistemas de información deben formar parte de los órganos especializados de control, supervisión o auditoría interna de las organizaciones. Funciones generales: El ejercicio de la supervisión del control interno y del análisis y gestión de los riesgos, en relación con los sistemas de información y con los sistemas informáticos de la organización. EPÍGRAFE FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI

47 CONTROL Y AUDITORÍA INTERNA 47 EL OAI Y LOS AUDITORES DE SI La realización de auditorías totales o parciales de los sistemas de información de la organización. La colaboración con otros equipos de auditoría en actuaciones generales de auditoría interna. La participación en la función de consultoría y asesoramiento que presta el órgano especializado de control interno a la organización. EPÍGRAFE FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI

48 CONTROL Y AUDITORÍA INTERNA 48 PROCEDIMIENTOS DE LA AUDITORÍA DE SI Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas. EPÍGRAFE METODOLOGÍA Y ESTÁNDARES

49 CONTROL Y AUDITORÍA INTERNA 49 FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: ISACA - Asociación de Auditoría y Control de Sistemas de Información ISO – Organización Internacional para la estandarización. NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos. PROCEDIMIENTOS DE LA AUDITORÍA DE SI EPÍGRAFE

50 CONTROL Y AUDITORÍA INTERNA 50 DEFINICIÓN La auditoría de sistemas de información hace un uso frecuente de marcos de referencia para describir los sistemas de información, con el objetivo de independizarse de la tecnología subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL). Algunos de estos marcos de referencia están especialmente orientados hacia la descripción sistemática del control que debe ser ejercido en los sistemas de información, consiguiendo: Simplificar la tarea de planificación. Facilitar la labor de supervisión del guión de auditoría y del resto de instrumentos de planificación. EPÍGRAFE REPERTORIO DE CONTROLES

51 CONTROL Y AUDITORÍA INTERNA 51 COBIT (3) Elementos de COBIT: El marco referencial adoptado por COBIT tiene un propósito general. Por tanto, los objetivos de control se refieren a todos los recursos de las tecnologías de la información: Aplicaciones, Información, Infraestructuras y Personas. y a todos los dominios en que pueden clasificarse las actividades de las organizaciones relacionadas directamente con las tecnologías de la información: Planificación y Organización, Adquisición e Investigación, Entrega y Soporte, Monitoreo. EPÍGRAFE REPERTORIO DE CONTROLES

52 CONTROL Y AUDITORÍA INTERNA 52 EPÍGRAFE AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA Actividades de monitoreo y supervisión es muy común en los centros informáticos. Los profesionales informáticos que manejan estos instrumentos son especialistas que deben conocer en profundidad el producto y realizar operaciones con él, en muchos casos en tiempo real. Los auditores de sistemas de información utilizan también en sus actuaciones de auditoría herramientas de hardware y utilidades de software de distintas características para verificar los sistemas informáticos. Por ejemplo, comprueban si el cifrado de las comunicaciones y la configuración de seguridad de los equipos coincide con las directrices de seguridad informática de la organización.

53 CONTROL Y AUDITORÍA INTERNA 53 EPÍGRAFE TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE SISTEMAS DE INFORMACIÓN 1) La auditoría de la organización y gestión de los departamentos informáticos o centros de proceso de datos de una organización. 2) La auditoría de la seguridad física y lógica del sistema de información de una organización. 3) La auditoría parcial de un área tecnológica. 4) La auditoría de cumplimiento por el sistema de información de normas y regulaciones. 5) La auditoría destinada a supervisar el control interno o la gestión de riesgos del sistema de información. 6) La auditoría de la contratación de bienes y servicios informáticos.

54 CONTROL Y AUDITORÍA INTERNA 54 SISTEMA DE CONTROL INTERNO El control más efectivo es el que está ligado directamente a la actividad de la organización. La Administración Tributaria tiene establecidos controles en los sistemas de información, integrados en el sistema de control interno corporativo. Los controles pueden ser de dos tipos: Controles destinados a monitorizar el funcionamiento del propio sistema de información, coadyuvando a su mejora. Controles dedicados al seguimiento y a las tareas de prevención de riesgos y detección de incidencias en las diversas áreas de negocio de la organización. EPÍGRAFE EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN

55 CONTROL Y AUDITORÍA INTERNA 55 PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1) Este tipo de actuaciones de auditoría presuponen implícitamente la existencia de un sistema de control interno que monitorea y supervisa las actividades auditadas, en el que participa la organización en su conjunto. El proceso de supervisión del control interno es el siguiente: En primer lugar y durante la fase de planificación, el auditor informático obtiene, si no cuenta previamente con él, un conocimiento suficiente de la organización: Objetivos, estándares y procedimientos, procesos y planificación de las instalaciones y unidades de informática. EPÍGRAFE ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO

56 CONTROL Y AUDITORÍA INTERNA 56 PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2) Recursos humanos y materiales. Significado y estructura de los datos. En segundo lugar, el auditor informático identifica los controles establecidos en el sistema de información que deberían estar asociados a los riesgos relevantes. En tercer lugar y durante el desarrollo de la auditoría, el auditor informático evalúa el control interno ejercido por la organización para obtener dos resultados principales. Una adecuación del Plan anual de Actuaciones a los conocimientos adquiridos, insistiendo en los riesgos no eliminados o no mitigados convenientemente. La propuesta de mejoras para hacer más eficaz el control. EPÍGRAFE ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO

57 CONTROL Y AUDITORÍA INTERNA 57 PRUEBAS DE AUDITORÍA Durante el desarrollo de la auditoría, el auditor informático efectúa pruebas de los distintos controles habilitados en los procesos de la organización, en particular: Repite la ejecución de las pruebas y controles programados por el sistema de control interno, en principio por medios alternativos. Verifica la efectiva implantación y la seguridad, tanto del hardware como del software. Realizando pruebas adicionales si los resultados obtenidos no son concluyentes. EPÍGRAFE ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO

58 CONTROL Y AUDITORÍA INTERNA 58 TIPOS DE PRUEBAS DE AUDITORÍA Pruebas de cumplimiento: Determinan si los controles están establecidos y si están siendo aplicados adecuadamente, es decir de una forma que cumple con las políticas y procedimientos establecidos en la organización. Pruebas sustantivas: Persiguen la comprobación de los resultados obtenidos por el control y evalúan por tanto de esta forma directamente la eficacia del control. Las pruebas de cumplimiento suelen realizarse antes que las pruebas sustantivas. Si de las primeras se obtiene una evidencia suficiente de que el control esta establecido y es adecuado, probablemente se habrán alcanzado los objetivos de la auditoría. Si las pruebas de cumplimiento no son determinantes, se llevarán a cabo pruebas sustantivas adicionales. EPÍGRAFE ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO

59 CONTROL Y AUDITORÍA INTERNA 59 EPÍGRAFE OBJETIVO DEL PROYECTO IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA INFORMÁTICA EN EL OAI Las funciones de la unidad son las encomendadas a la auditoría de sistemas de información en las organizaciones, reflejadas en el Epígrafe , del Sistema de Control Normado y especialmente las de: Supervisar el control interno de los sistemas de información. Desarrollar actuaciones de auditoría en el área informática de la organización. Colaborar en las actuaciones del resto de unidades del OAI, de acuerdo con su particular especialización. La unidad aplicará en sus actuaciones la siguiente metodología: Los métodos y procedimientos generales del OAI. Los específicos de la auditoría de sistemas de información.


Descargar ppt "CONTROL Y AUDITORÍA INTERNA 1 EUROsociAL. CONTROL Y AUDITORÍA INTERNA 2 SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS."

Presentaciones similares


Anuncios Google