La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

EUROsociAL.

Presentaciones similares


Presentación del tema: "EUROsociAL."— Transcripción de la presentación:

1 EUROsociAL

2 SNCI TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME
TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS Cartagena de Indias Mayo, 2008

3 Presentación y sinopsis. Capítulos 13, 14, 15, 16 y 17.
Comunicación de los resultados. El informe. Seguimiento de la Auditoría. El sistema de Información de la Administración Tributaria. Seguridad de la Información. Auditoría de Sistemas de Información.

4 EL INFORME DE AUDITORIA
HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN EVIDENCIAS, RECOGIENDO OBSERVACIONES, CONCLUSIO-NES Y RECOMENDACIONES. EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.

5 UN INFORME ESTÁNDAR, PODRÍA CONTENER:
CONTENIDO DEL INFORME EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO MÍNIMO DEBE INCLUIR: EL OBJETO, EL ALCANCE Y LOS RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES) UN INFORME ESTÁNDAR, PODRÍA CONTENER: Título y número de referencia. Introducción. Objeto de la auditoría Alcance Metodología utilizada. Informe-resumen o informe ejecutivo. Información preliminar, antecedentes. Firma y fecha. Observaciones. Conclusiones. Recomendaciones. Alegaciones, descargos y opinión del órgano auditado. Anexos.

6 INTRODUCCION DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO.
CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO COMPOSICIÓN DEL EQUIPO DE AUDITORÍA FECHAS DE INICIO Y FINALIZACIÓN DE LAS ACTUACIONES. CARÁCTER O TIPO DEL INFORME. DESTINATARIO/S DEL INFORME.

7 OBJETO COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO. ALCANCE EL ALCANCE: DELIMITA LA NATURALEZA Y ÁMBITO DE LA AUDITORÍA. ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A AUDITAR. LAS LIMITACIONES AL ALCANCE.

8 METODOLOGIA FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS. BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA INFORMACIÓN (APLICACIONES ESPECÍFICAS) METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE REPRESENTATIVIDAD. ANTECEDENTES

9 EXPOSICIONES PERTINENTES DE LOS HECHOS
NO SON JUICIOS DE VALOR. EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS SUFICIENTES, RELEVANTES Y COMPETENTES. DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA PERSPECTIVA Y CONTEXTO ADECUADOS. EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.

10 SURGEN DE LA COMPARACIÓN ENTRE:
CRITERIO (LO QUE DEBE SER) REALIDAD (LO QUE ES) Razón de la diferencia. CAUSA Riesgo a que se somete la organización debido a las diferencias entre “lo que debe ser” y “lo que es”. EFECTOS

11 FORMA DE REFLEJAR LAS EVIDENCIAS:
DEBEN RECOGERSE EN EL INFORME EN FORMA DE CUADROS-RESÚMENES DONDE SE OFREZCAN LOS DATOS AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN UN ANEXO. EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME. EN EL CASO DE ENTREVISTAS CON RESPONSABLES DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE DOCUMENTAL FACILITADO, SI EXISTE. LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS INFORMES EN UN ANEXO.

12 CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR SOBRE LAS OBSERVACIONES Y SUS EFECTOS
DEBEN APARECER CLARAMENTE COMO TALES. DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O CONDUCTAS IRREGULARES DEL PERSONAL. SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinión del auditor.

13 RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS ENCONTRADAS SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME. OPINIONES O ALEGACIONES DEL ORGANO AUDITADO. FECHA Y FIRMA ANEXOS.

14 INFORME EJECUTIVO SE PUEDE INCORPORAR COMO PARTE DEL INFORME O PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.

15 RECOMENDACIONES DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME. OBSERVACIONES (hechos) CONCLUSIONES (opiniones del auditor) Soluciones a los problemas detectados RECOMENDACIONES (hechos) Mejora del servicio público prestado DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A ÉSTAS.

16 RECOMENDACIONES SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO COMPETENCIAL. SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.

17 RECOMENDACIONES EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE OBLIGADO CUMPLIMIENTO PARA EL AUDITADO. EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE OBLIGATORIEDAD QUE DEBERÍA DARSE A LA RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE LA CONVENIENCIA DE APLICACIÓN DE LA MEJORA PROPUESTA. NO OBSTANTE, HAY QUE GARANTIZAR QUE: LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA CONOCE LAS RECOMENDACIONES. LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO. SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.

18 REQUISITOS DE CALIDAD PRECISOS OBJETIVOS CLAROS CONCISOS CONSTRUCTIVOS
COMPLETOS OPORTUNOS ESTANDARIZACION DE INFORMES

19 SUPERVISION DEL INFORME
EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.

20 Las razones que justifican la supervisión:
Asegurando que se han cumplido los objetivos de la auditoría. Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos. Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditoría. Determinando si las evidencia están suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones. Comprobando que se han cumplido las normas de estandarización.

21 POSIBLES TÉCNICAS DE SUPERVISIÓN:
Simple lectura del documento. Contraste del informe con plantillas de informes estandarizados o documentos-guía. Proceso de referencias o indización del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboración

22 TIPOS DE INFORME SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN
SEGÚN EL MOMENTO DE SU ELABORACIÓN ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO

23 TRAMITACIÓN DEL INFORME
) TRAMITACIÓN DEL INFORME DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA TRAMITACIÓN DE LOS INFORMES POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE INFORME. DEBE ESTAR REGULADO Y SER CONOCIDO POR LA ORGANIZACIÓN. DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO. OPCIONAL: antes de la elaboración del borrador del informe (reuniones posteriores a la auditoría; reunión de presentación de conclusiones). OBLIGATORIO: Remisión del borrador para observaciones al órgano auditado o superior jerárquico.

24 DISTRIBUCIÓN DEL INFORME
DESTINATARIOS PRINCIPALES O NATURALES COMITÉ DE AUDITORÍA (SI LO HUBIESE) ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL, SEGURIDAD O RIESGOS DIRECCIÓN DE LA ADMÓN TRIBUTARIA ÓRGANO AUDITADO SUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN OTROS INTERESADOS OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS

25 ARCHIVO Y CONSERVACIÓN DEL INFORME
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD PARA LA MISMA. SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO INFORMATIZADO. LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIÓN Y SEGUIMIENTO DE ACTUACIONES.

26 SEGUIMIENTO DE LA AUDITORIA
MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORÍA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIÓN LOS OBJETIVOS DEL SEGUIMIENTO SON: Verificar el grado de cumplimiento de las recomendaciones de auditoría o la aceptación por la Dirección del riesgo de no hacerlo. Evaluar el impacto de las recomendaciones implantadas en la solución de las deficiencias observadas o las mejoras producidas. Retroalimentar el proceso de control interno de la organización. Aumentar la eficacia de las auditorías.

27 EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS: ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O EN LA FASE DE TRAMITACIÓN DEL INFORME. REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS. SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.

28 EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORÍA UNO RELATIVO A AUDITORÍAS DE SEGUIMIENTO
OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO. LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.

29 SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMAS
SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMAS CARTAGENA DE INDIAS Mayo, 2008

30 APARTADO 17 AUDITORÍA DE SISTEMAS DE INFORMACIÓN APARTADO 17.1 INTRODUCCIÓN Y SINOPSIS La Administración Tributaria (AT) es una organización compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologías de la información y de las comunicaciones. La organización debe supervisar el desempeño de los sistemas de información. Para desarrollar en la AT una actividad de auditoría completa y en profundidad, el OAI necesita disponer de un área de auditoría de sistemas de información, cuyo plantilla esté compuesta por especialistas, auditores de sistemas de información, que ejecuten actuaciones alineadas con el resto de actividades de auditoría del OAI.

31 DEFINICIÓN DEFINICIÓN (1)
EPÍGRAFE DEFINICIÓN DEFINICIÓN (1) La auditoría de sistemas de información, auditoría informática o auditoría de sistemas es un tipo de auditoría consistente en el examen de los sistemas de información y de los centros de proceso de datos, instalaciones y unidades informáticas de las organizaciones, con objeto de facilitar la consecución de los objetivos que persiguen, tanto los del área informática como, primordialmente los del conjunto de la organización .

32 DEFINICIÓN DEFINICIÓN (2)
EPÍGRAFE DEFINICIÓN DEFINICIÓN (2) La auditoría de sistemas de información persigue propiciar con sus actuaciones: - El establecimiento y mantenimiento de sistemas de gestión de la seguridad. - La reducción de los riesgos inherentes a la utilización de los sistemas de información. - El incremento de la confianza de los usuarios internos y externos en los sistemas de información.

33 DEFINICIÓN DEFINICIÓN (3) EPÍGRAFE 17.2.1
Son objeto de la auditoría de sistemas de información: Las auditorías consistentes en la revisión y evaluación de los sistemas automáticos de procesamiento de la información. Las que se ocupan de los procedimientos no automáticos relacionados con ellos y de los interfases correspondientes. Por ejemplo, en el ámbito tributario: La dirección de las instalaciones y unidades informáticas. La adquisición de bienes y servicios informáticos. La gestión de los contenidos residentes en la Intranet corporativa y en el portal Internet de la organización. Las actividades de mejora de la calidad en la entrada de datos.

34 EPÍGRAFE Varios factores han impulsado la demanda de una mayor supervisión y control de los sistemas de información: Las amenazas a la seguridad informática, en un marco de sistemas de información cada vez más abiertos por la utilización de Internet y la interconexión de redes. La protección de los derechos de los ciudadanos, en el ámbito de la sociedad de la información y del gobierno electrónico. La fiabilidad de la información ofrecida por las empresas, que requieren una comprobación de aquellos procesos que elaboran y comunican los resultados conseguidos.

35 FUNCIONES DE LA AUDITORÍA DE SI (1)
EPÍGRAFE FUNCIONES FUNCIONES DE LA AUDITORÍA DE SI (1) Velar por la eficacia y eficiencia del sistema informático, de forma que éste alcance con el menor coste posible los objetivos. Verificar el cumplimiento de las normas y estándares vigentes en la organización (leyes de firma electrónica, de protección de datos de carácter personal, de propiedad intelectual del software, etc.). Supervisar el control interno ejercido sobre los sistemas de información conducente a la protección de los activos de información de información de la organización: recursos humanos, locales e instalaciones, infraestructuras tecnológicas, sistemas y aplicaciones, información tributaria.

36 FUNCIONES DE LA AUDITORÍA DE SI (2)
EPÍGRAFE FUNCIONES DE LA AUDITORÍA DE SI (2) Verificar la calidad de los sistemas de información de la organización y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organización (cumplimiento de normas de calidad o modelo de excelencia en gestión). Comprobar e impulsar la seguridad de los sistemas de información.

37 EPÍGRAFE FUNCIONES Comprobar el cumplimiento de los requerimientos de negocio de la información, es decir las propiedades que la información debe tener para optimizar su utilización por la organización. Analizar la gestión de los riesgos asociados a los sistemas de información, proponiendo la adopción de medidas que mejoren el sistema de análisis y gestión de los riesgos informáticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organización.

38 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
EPÍGRAFE AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA EJEMPLOS (1) Objetivos del SI de la Administración Tributaria: Asegurar la continuidad del servicio prestado por el Centro Informático de la AT y por tanto la atención a los usuarios. Elaborar aplicativos de depuración y de análisis de la información patrimonial capturada por la organización, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio. Garantizar la seguridad de los SI de la organización, estableciendo un entorno de control que incorpore medidas técnicas eficaces y una revisión sistemática de las autorizaciones concedidas y de los accesos registrados.

39 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
EPÍGRAFE AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA Programas de auditoría de SI en la Administración Tributaria: El programa de auditoría de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones: Una actuación en el entorno de explotación y comunicaciones del Centro Informático. Una actuación sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organización para los agentes tributarios desplazados. Una actuación sobre la infraestructura tecnológica de la plataforma Internet, ubicada en el Centro Informático de la AT.

40 EL AUDITOR DE SISTEMAS DE INFORMACIÓN
La auditoría de sistemas de información es una actividad diferenciada. El auditor de sistemas de información o auditor informático es un auditor especialista. La característica principal del auditor de sistemas de información es su capacidad para alcanzar y fundamentar evidencias de auditoría en un contexto real de utilización de las tecnologías de la información.

41 EL AUDITOR DE SISTEMAS DE INFORMACIÓN
Debido a la complejidad de los modernos sistemas de información y a la necesidad de tener amplios conocimientos del área de negocio, el auditor de sistemas de información trabaja en equipo: Con profesionales de distintos perfiles técnicos que cubran áreas funcionales informáticas diferentes (sistemas, desarrollo, comunicaciones). Con una planificación muy elaborada de las actuaciones, plasmada en guiones minuciosos. En algunas actuaciones con la colaboración técnica del propio personal auditado o de terceros no interesados directamente en la actuación.

42 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1)
Conocimientos, proporcionados a su grado de responsabilidad, sobre la organización en la que desarrolla su actividad: La misión, estrategia, políticas y objetivos de la organización. La estructura y funcionamiento de la organización. Los principales procesos de negocio, y las normas y disposiciones que les afectan.

43 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2)
Manejo con soltura del marco profesional para la práctica de la auditoría interna: Los modelos y principios de auditoría, como la supervisión del control interno (Informe COSO I) y la gestión de riesgos (Informe COSO II). Las normas y estándares que regulan en la organización el proceso de auditoría y el proceso de seguimiento de las recomendaciones. Los códigos de conducta aplicables, como puede ser el Código de Ética del Instituto Internacional de Auditoría Interna.

44 CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3)
Conocimientos sólidos en materia de tecnologías de la información y de las comunicaciones: Conocimientos de materias TIC generales (infraestructuras; prácticas operacionales; organización, desarrollo e implementación de los SI, etc.). Conocimientos de materias relacionadas directamente con la seguridad de los sistemas de información (protección de activos de información, continuidad del negocio). Conocimientos de materias relacionadas directamente con la auditoría y el control de los sistemas de información (metodologías de análisis y gestión de riesgos, marcos referenciales, herramientas de auditoría, etc.).

45 ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE SI
Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formación, experiencia y especialización de sus miembros y jefes. Dos de las posibles opciones son las siguientes: A.- Incorporar al OAI a empleados públicos, que posean una certificación en vigor como auditores de sistemas de información, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable. B.- Contratar a profesionales externos de auditoría de sistemas de información, para que pasen a ejercer esta función en la Administración Tributaria como auditores internos en el OAI, siempre que esta contratación sea compatible con el estatus de los auditores internos.

46 FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE EL OAI Y LOS AUDITORES DE SI Los auditores de sistemas de información deben formar parte de los órganos especializados de control, supervisión o auditoría interna de las organizaciones. Funciones generales: El ejercicio de la supervisión del control interno y del análisis y gestión de los riesgos, en relación con los sistemas de información y con los sistemas informáticos de la organización.

47 FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE EL OAI Y LOS AUDITORES DE SI La realización de auditorías totales o parciales de los sistemas de información de la organización. La colaboración con otros equipos de auditoría en actuaciones generales de auditoría interna. La participación en la función de consultoría y asesoramiento que presta el órgano especializado de control interno a la organización.

48 PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE METODOLOGÍA Y ESTÁNDARES Utilización de metodologías, instrumentos y procedimientos operativos propios. En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control. En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.

49 FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES
PROCEDIMIENTOS DE LA AUDITORÍA DE SI EPÍGRAFE FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares: ISACA - Asociación de Auditoría y Control de Sistemas de Información ISO – Organización Internacional para la estandarización. NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.

50 REPERTORIO DE CONTROLES
EPÍGRAFE REPERTORIO DE CONTROLES DEFINICIÓN La auditoría de sistemas de información hace un uso frecuente de marcos de referencia para describir los sistemas de información, con el objetivo de independizarse de la tecnología subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL). Algunos de estos marcos de referencia están especialmente orientados hacia la descripción sistemática del control que debe ser ejercido en los sistemas de información, consiguiendo: Simplificar la tarea de planificación. Facilitar la labor de supervisión del guión de auditoría y del resto de instrumentos de planificación.

51 REPERTORIO DE CONTROLES
EPÍGRAFE REPERTORIO DE CONTROLES COBIT (3) Elementos de COBIT: El marco referencial adoptado por COBIT tiene un propósito general. Por tanto, los objetivos de control se refieren a todos los recursos de las tecnologías de la información: Aplicaciones, Información, Infraestructuras y Personas. y a todos los dominios en que pueden clasificarse las actividades de las organizaciones relacionadas directamente con las tecnologías de la información: Planificación y Organización, Adquisición e Investigación, Entrega y Soporte, Monitoreo.

52 AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA
EPÍGRAFE Actividades de monitoreo y supervisión es muy común en los centros informáticos. Los profesionales informáticos que manejan estos instrumentos son especialistas que deben conocer en profundidad el producto y realizar operaciones con él, en muchos casos en tiempo real. Los auditores de sistemas de información utilizan también en sus actuaciones de auditoría herramientas de hardware y utilidades de software de distintas características para verificar los sistemas informáticos. Por ejemplo, comprueban si el cifrado de las comunicaciones y la configuración de seguridad de los equipos coincide con las directrices de seguridad informática de la organización.

53 TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN
EPÍGRAFE TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE SISTEMAS DE INFORMACIÓN La auditoría de la organización y gestión de los departamentos informáticos o centros de proceso de datos de una organización. La auditoría de la seguridad física y lógica del sistema de información de una organización. La auditoría parcial de un área tecnológica. La auditoría de cumplimiento por el sistema de información de normas y regulaciones. La auditoría destinada a supervisar el control interno o la gestión de riesgos del sistema de información. La auditoría de la contratación de bienes y servicios informáticos.

54 EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN
EPÍGRAFE SISTEMA DE CONTROL INTERNO El control más efectivo es el que está ligado directamente a la actividad de la organización. La Administración Tributaria tiene establecidos controles en los sistemas de información, integrados en el sistema de control interno corporativo. Los controles pueden ser de dos tipos: Controles destinados a monitorizar el funcionamiento del propio sistema de información, coadyuvando a su mejora. Controles dedicados al seguimiento y a las tareas de prevención de riesgos y detección de incidencias en las diversas áreas de negocio de la organización.

55 ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1) Este tipo de actuaciones de auditoría presuponen implícitamente la existencia de un sistema de control interno que monitorea y supervisa las actividades auditadas, en el que participa la organización en su conjunto. El proceso de supervisión del control interno es el siguiente: En primer lugar y durante la fase de planificación, el auditor informático obtiene, si no cuenta previamente con él, un conocimiento suficiente de la organización: Objetivos, estándares y procedimientos, procesos y planificación de las instalaciones y unidades de informática.

56 ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2) Recursos humanos y materiales. Significado y estructura de los datos. En segundo lugar, el auditor informático identifica los controles establecidos en el sistema de información que deberían estar asociados a los riesgos relevantes. En tercer lugar y durante el desarrollo de la auditoría, el auditor informático evalúa el control interno ejercido por la organización para obtener dos resultados principales. Una adecuación del Plan anual de Actuaciones a los conocimientos adquiridos, insistiendo en los riesgos no eliminados o no mitigados convenientemente. La propuesta de mejoras para hacer más eficaz el control.

57 ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE PRUEBAS DE AUDITORÍA Durante el desarrollo de la auditoría, el auditor informático efectúa pruebas de los distintos controles habilitados en los procesos de la organización, en particular: Repite la ejecución de las pruebas y controles programados por el sistema de control interno, en principio por medios alternativos. Verifica la efectiva implantación y la seguridad, tanto del hardware como del software. Realizando pruebas adicionales si los resultados obtenidos no son concluyentes.

58 ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE TIPOS DE PRUEBAS DE AUDITORÍA Pruebas de cumplimiento: Determinan si los controles están establecidos y si están siendo aplicados adecuadamente, es decir de una forma que cumple con las políticas y procedimientos establecidos en la organización. Pruebas sustantivas: Persiguen la comprobación de los resultados obtenidos por el control y evalúan por tanto de esta forma directamente la eficacia del control. Las pruebas de cumplimiento suelen realizarse antes que las pruebas sustantivas. Si de las primeras se obtiene una evidencia suficiente de que el control esta establecido y es adecuado, probablemente se habrán alcanzado los objetivos de la auditoría. Si las pruebas de cumplimiento no son determinantes, se llevarán a cabo pruebas sustantivas adicionales.

59 OBJETIVO DEL PROYECTO EPÍGRAFE 17.6.1
IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA INFORMÁTICA EN EL OAI Las funciones de la unidad son las encomendadas a la auditoría de sistemas de información en las organizaciones, reflejadas en el Epígrafe , del Sistema de Control Normado y especialmente las de: Supervisar el control interno de los sistemas de información. Desarrollar actuaciones de auditoría en el área informática de la organización. Colaborar en las actuaciones del resto de unidades del OAI, de acuerdo con su particular especialización. La unidad aplicará en sus actuaciones la siguiente metodología: Los métodos y procedimientos generales del OAI. Los específicos de la auditoría de sistemas de información.


Descargar ppt "EUROsociAL."

Presentaciones similares


Anuncios Google