Auditoría Informática Miguel Ángel Barahona M. Ingeniero Informático, UTFSM Magíster en Tecnología y Gestión, UC
Clasificación de las Auditorías El auditor de TO debe entender los diversos tipos de auditorías que pueden identificarse interna o externamente, y los procedimientos de auditoría asociados a cada uno de ellos. Auditorías financieras: Determina la exactitud de los estados financieros de la organización. Auditorías Operativas: Esta diseñada para evaluar la estructura de control interno en un proceso o área determinada. Auditorías Integradas: Combina la auditoría financiera y operativa. Auditorías Administrativas: Están orientadas aspectos relacionados con la eficiencia de la productividad operativa dentro de una organización. Auditorías de TI: Este proceso recolecta y evalúa la evidencia para determinar si los sistemas de información y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos, entre otros. Auditorías especializadas: Existe revisiones especializadas que examinan áreas tales como los servicios realizados por terceros. Auditorías Forenses: Es una auditoría especializada en descubrir, rebelar y dar seguimiento a fraudes y crímenes.
SAS70 SAS70 define los estándares profesionales usados por un auditor para evaluar los controles internos de una organización de servicios. Este tipo de auditoría se ha vuelto cada vez más relevante debido a la tendencia de contratar externamente algunos servicios (outsourcing). Una auditoría tipo SAS70 es importante porque una organización de servicios ha pasado por una auditoría profunda de sus actividades de control, que incluyen controles de TI y procesos relacionados.
Metodología de la Auditoría Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría, diseñados para alcanzar los objetivos de la auditoría. La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y debe ser comunicada a todo el personal de auditoría.
Fases de la Auditoría Fases de Auditoría Descripción Sujeto de la auditoría Identificar el área que será auditada Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser que los cambios al código fuente de los programas se realicen en un ambiente bien definido y controlado. Alcance de la auditoría Identificar los sistemas específicos, la función o la unidad de la organización a ser incluida en la revisión. Por ejemplo, en el ejemplo de los cambios a un programa, la declaración de alcance podría limitar la revisión a un solo sistema de aplicación. Planeación de auditoría • Identificar las habilidades y recursos técnicos que se necesitan. • Identificar las fuentes de información, tales como organigramas funcionales, políticas, estándares, procedimientos y documentos de trabajo de auditorías previas. • Identificar la ubicación o las instalaciones que serán auditadas. Procedimientos de auditoría y pasos para la recopilación de datos • Identificar y seleccionar el método de auditoría para verificar y probar los controles. • Identificar una lista de personas a entrevistar • Identificar y obtener políticas, estándares, y directrices de los departamentos para su revisión. • Desarrollar herramientas y metodologías de auditoría para verificar y comprobar los controles. Procedimientos para evaluar la prueba o revisar los resultados Específica de la organización Procedimientos de comunicación con la gerencia Elaboración del informe de auditoría • Identificar los procedimientos de la revisión de seguimiento • Identificar los procedimientos para evaluar/probar la eficiencia y efectividad operativa. • Identificar los procedimientos para probar los controles. • Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
Ejecución de una Auditoría Proceso de recolección y evaluación de evidencia para determinar si los SI y los recursos relacionados: salvaguardan adecuadamente los activos, mantienen la integridad de los datos y del sistema, proveen información relevante y confiable, alcanzan efectivamente los objetivos organizacionales, consumen los recursos eficientemente, y cuentan con controles internos que provean una seguridad razonable de que los objetivos operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o detectados y corregidos de manera oportuna
Ejecución de una Auditoría Procedimientos generales de auditoría Entendimiento del área u objeto a auditar Valoración de riesgos y plan general de auditoría Planeación detallada de la auditoría Revisión preliminar del área u objeto a auditar Evaluación del área u objeto a auditar Pruebas de cumplimiento Pruebas sustantivas Reporte (comunicación de resultados) Seguimiento
Ejecución de una Auditoría Metodología/estrategia de auditoría Definición del alcance Definición de los objetivos de auditoría Definición del programa de trabajo
Ejecución de una Auditoría Fases Típicas de una Auditoría Identificar El área a auditar El propósito de la auditoría Los sistemas específicos, funciones o unidades de la organización a ser incluidas en la revisión. Las habilidades técnicas y recursos necesarios Las fuentes de información para pruebas o revisión tales como diagramas de flujo funcionales, políticas, estándares, procedimientos y papeles de trabajo de auditorías anteriores. Ubicación de las instalaciones a auditar. Selección del enfoque de auditoría para verificar y probar los controles Lista de personas a entrevistar Obtener políticas departamentales, estándares y guías para revisión Procedimientos para revisiones de seguimiento Procedimientos para evaluar/probar la eficiencia y efectividad operacional Procedimientos para probar controles
Ejecución de una Auditoría Fases Típicas de una Auditoría Desarrollar Herramientas y metodología de auditoría para probar y verificar el control Procedimientos para evaluar los resultados de las pruebas o revisiones Procedimientos de comunicación con la gerencia Revisar y evaluar la solidez de los documentos, políticas y procedimientos
Ejecución de una Auditoría Evidencia Es un requerimiento que las conclusiones del auditor deben basarse en evidencia suficiente y competente Independencia del proveedor de la evidencia Calificación de la persona que provee la información o evidencia Objetividad de la evidencia Oportunidad de la evidencia
Ejecución de una Auditoría Técnicas para obtener evidencia: Revisar las estructuras organizacionales de SI Revisar las políticas, procedimientos y estándares de SI Revisar documentación de SI Entrevistar al personal apropiado Observar el desempeño de los procesos y de los empleados Funciones Reales Procesos/Procedimientos Reales Concientización sobre Seguridad
Ejecución de una Auditoría Muestreo Enfoques generales de muestreo en auditoría: Muestreo estadístico: Es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra. Usa las leyes de las probabilidades para: calcular el tamaño de la muestra, seleccionar los objetos de la muestra, y evaluar los resultados de la muestra y hacer inferencias. Para que una muestra sea estadística, cada elemento de la población debe tener igual probabilidad de ser seleccionado. Muestreo no-estadístico El método de muestreo, el número de elementos que serán examinados en una población (tamaño de una muestra), y cuales elementos seleccionar son determinados en base al juicio del auditor.
Ejecución de una Auditoría Tanto el muestreo estadístico como el no-estadístico exigen que el auditor utilice su propio juicio al definir características del muestreo, y por lo tanto sufren del riesgo de que el auditor llegue a una conclusión errónea a partir de la muestra (riesgo de muestreo). Métodos de muestreo utilizados por los auditores: Muestreo de atributos: también denominado muestreo estimativo, es la técnica utilizada para estimar el valor de ocurrencia de un control. Muestreo de variables: también denominado estimación dólar o muestreo de estimación media, es la técnica que se utiliza para estimar el valor del dólar u alguna otra unidad de medida.
Ejecución de una Auditoría Muestreo (Continuación…) Muestreo de atributos Muestreo parar-o-seguir: Es un modelo de muestreo que ayuda a prevenir el muestreo excesivo de un atributo permitiendo que una prueba de auditoría sea detenida lo antes posible. Se usa cuando el auditor considera que se encontrarán pocos errores. Muestreo por descubrimiento: Es un modelo de muestreo que puede usarse cuando la tasa de ocurrencia que se espera es extremadamente baja. Se utiliza cuando el objetivo de la auditoría es encontrar fraudes u otras irregularidades. Muestreo de variables Media estratificada por unidad: Es un modelo estadístico en la cual la población esta divididas en grupos y se extraen muestras de los diferentes grupos. Media no-estratificada por unidad: Es un modelo estadístico por el cual el promedio de la muestra es calculado y proyectado como un total estimado.
Ejecución de una Auditoría Términos de muestreo estadístico: Coeficiente de confianza: se expresa como un porcentaje de la probabilidad de que las características de la muestra sea una veraz representación del universo. Cuanto más grande es el nivel de confiabilidad, mayor es el tamaño de la muestra. Nivel de riesgo: esta cifra es 1 menos el nivel de confiabilidad (si el nivel de confiabilidad es 95% el nivel de riesgo es del 5% 1-0.95=0.05) Precisión: la precisión la fija el auditor y representa el rango de diferencia entre la muestra y el universo real de la muestra. Tasa de error esperada: se expresa como un porcentaje y es el valor estimado de los errores que pueden presentarse. Media de la muestra: es la suma de todos los valores de la muestra dividido por el tamaño de la muestra
Ejecución de una Auditoría Desviación estándar de la muestra: calcula la varianza de los valores de la muestra respecto de la mediana de la muestra. Mide la extensión o dispersión de los valores de la muestra. Tasa de error tolerable: describe el valor máximo de error o el número de errores que puede existir sin que una cuenta este materialmente equivocada.
Ejecución de una Auditoría Pasos claves en la selección de la muestra Determinar los objetivos de la prueba Definir la población a ser muestreada Determinar el método de muestreo, tales como el muestreo de atributos versus el muestreo de variables. Calcular el tamaño de la muestra Seleccionar la muestra Evaluar la muestra desde una perspectiva de auditoría.
Ejecución de una Auditoría Técnicas de auditoría asistidas por computador Las herramientas CAAT (Computer Assisted Audit Tools and Techniques ) son muy importantes para los auditores de SI en la recolección independiente de información Utilización de técnicas CAAT Generador de datos de prueba: para preparar un lote de prueba para verificar la lógica de los programas de aplicación Sistemas expertos: aplicaciones desarrolladas a fin de contener una base de conocimiento experto y lógica provista por expertos en determinado campo Utilitarios estándares Paquetes de biblioteca de software: para verificar la integridad y corrección de cambios a programas
Ejecución de una Auditoría Utilización de técnicas CAAT Instalaciones de prueba integradas: consiste en crear entidades en un sistema de aplicación y procesar datos de prueba o producción sobre la entidad a fin de verificar la exactitud de procesamiento. Instantánea: consiste en tomar fotografías de una transacción a medida que recorre el sistema computadorizado Archivo de revisión de auditoría de control del sistema: consiste en integrar módulos de auditoría en un sistema de aplicación para realizar un monitoreo continuo de las transacciones del sistema. Software especializado de auditoría: para que el auditor realice diversa tareas tales como muestreo y comparaciones.
Ejecución de una Auditoría Ventajas de las técnicas CAAT: Reducen el nivel de riesgo de auditoría Mayor independiencia respecto del auditado Cobertura más amplia y coherente de la auditoría Mayor disponibilidad de información Mejor identificación de excepciones Mayor flexibilidad de tiempos de ejecución Mayores oportunidades de cuantificar las debilidades de control interno Mejor muestreo Ahorro de tiempo con el transcurso del tiempo
Ejecución de una Auditoría El auditor debe sopesar los costos y beneficios de las técnicas CAAT. Ha de tener en cuenta: Facilidad de utilización Requisitos de capacitación Compliejidad de codificación y mantenimiento Flexibilidad de uso Requisitos de instalación Eficiencia de procesamiento Esfuerzo que se requiere para llevar al información fuente al CAAT para su auditoría
Ejecución de una Auditoría Cuando se desarrolla un CAAT debe conservarse la siguiente documentación: Listados de los programas Flujogramas, tanto detallados como generales Informes de muestras Diseños de registros y archivos Definiciones de campos Instrucciones de operación Descripción de los documentos fuentes
Ejecución de una Auditoría ENIAC
Ejecución de una Auditoría Evaluación de fortalezas y debilidades de auditoría Luego de desarrollar un programa de auditoría y recopilar la evidencia de auditoría, el siguiente paso es evaluar la información recopilada a fin de desarrollar una opinión de auditoría. Lo anterior le exige al auditor de sistemas que tenga en cuenta una serie de fortalezas y debilidades y que luego desarrolle opiniones y recomendaciones de auditoría.
Ejecución de una Auditoría Evaluación de requerimientos de control El auditor debe evaluar los resultados de la evidencia recopilada para el cumplimiento de los requerimientos de control. A menudo se utiliza una matriz de control para evaluar el nivel correcto de controles. Sobre el eje vertical se colocan los tipos conocidos de errores que pueden presentarse en el área y en el eje horizontal los controles conocidos para detectar o corregir errores. Utilizando un método de ranking se llena la matriz con las medidas correctas. Una vez completada, la matriz muestra las áreas en las que los controles son débiles o inexistentes.
Ejecución de una Auditoría Información pertinente y periférica Debe aplicarse el juicio para determinar qué material es directamente apropiado para los objetivos perseguidos en la auditoría y que material no es específicamente pertinente. Consideración de controles compensatorios y redundantes Un control fuerte puede compensar un control débil en otra área. El auditor de sistemas debe tener en cuenta la existencia de controles compensatorios en áreas cuyos controles se han identificados como débiles. Una situación de control compensatorio se presenta cuando un control más fuerte respalda a uno más débil, los controles redundantes son dos controles fuertes. Determinación de materialidad de hallazgos Este es un tema clave en el momento de decidir cuáles hallazgos presentar en un informe de auditoría a la gerencia. La clave para determinar la materialidad de los hallazgos es evaluar los que podrían ser significativos para diferentes niveles gerenciales.
Ejecución de una Auditoría Informes de auditoría Los informes de auditoría son el producto final del auditor de sistemas. Ese es el vehículo que el auditor utiliza para informar sus observaciones y recomendaciones a la gerencia. El formato exacto del informe variará según la organización
Ejecución de una Auditoría Estructura y contenido del informe No existe un formato específico para un informe de auditoría de sistemas de información, y las normas de auditoría de la organización normalmente marcarán el formato. Los informes de auditoría tienen la siguiente estructura y contenido: Introducción, incluyendo los objetivos y alcance de la auditoría, el período cubierto y un resumen sobre la naturaleza y extensión de los procedimientos de auditoría realizados Conclusión global del auditor de sistemas expresando una opinión sobre la adecuación de los controles o procedimientos revisados durante la auditoría Observaciones y recomendaciones detalladas de auditoría Respuestas de la gerencia a las observaciones con las acciones correctivas a llevar a cabo y la oportunidad de implementación de tales acciones correctivas
Ejecución de una Auditoría Restricciones sobre la implementación de recomendaciones El auditor de sistemas debe reconocer que tal vez la gerencia no esté en condiciones de implementar todas las recomendaciones de auditoría en forma inmediata. El auditor de sistemas debe tratar las recomendaciones y las posibles fechas de implementación durante el proceso de divulgación del informe de auditoría. Debe darse cuenta que diversas restricciones, tales como limitaciones de personal, presupuestos, u otro proyecto, pueden limitar la implementación inmediata. La gerencia debe desarrollar un programa sólido de acción correctiva.
Ejecución de una Auditoría Comunicación de resultados a la gerencia y al comité de auditoría El auditor debe tener presente que su responsabilidad final es la gerencia superior y el comité de auditoría del directorio Conclusiones y opiniones El informe de auditoría debe incluir una sección con la opinión respecto de las observaciones de auditoría. Puede exponerse como que los controles o procedimientos examinados son adecuados o no. El resto del informe de auditoría debe respaldar esa conclusión, y la evidencia global recopilada durante la auditoría debe brindar un nivel mayor de respaldo.
Ejecución de una Auditoría Existen cuatro tipo de informes: Informe sin salvedades: implica una auditoría limpia en la que no se hallan problemas materiales o declaraciones erróneas. Esta opinión normalmente dice que los estados contables de la organización auditada están de acuerdo con principios de contabilidad generalmente aceptados. Informe con salvedades: los auditores externos utilizan un informe con salvedades para indicar que la información contable de la organización auditada cumple con las normas de auditoría generalmente aceptadas, salvo que por una excepción de condiciones o situaciones mencionadas expresamente. Estas excepciones no tienen que tener una importancia que afecte materialmente la situación patrimonial de la organización Opinión adversa; los auditores externos emiten una opinión adversa cuando consideran que los estados contables de la organización auditada están mal expuestos o significativamente no cumplen con los principios contables generalmente aceptados. Renuncia de opinión: se emite tal tipo de informe cuando los auditores externos consideran que la situación financiera de la organización auditada es muy precaria y puede conllevar con la disolución de la misma.
Ejecución de una Auditoría Entrevista de finalización o salida La entrevista de finalización que se lleva a cabo al final de la auditoría, le brinda al auditor los medios para discutir los hallazgos y recomendaciones con la gerencia. Durante esta entrevista, puede asegurarse que los hechos que se presentan en el informe son correctos, asegurarse de que las recomendaciones son realistas y efectivas en términos de costos, y de no ser así, buscar alternativas a través de la negociación con el área auditada, y tratar de obtener fechas de implementación para las recomendaciones sobre las que se ha llegado a un acuerdo.
Ejecución de una Auditoría Técnicas de exposición A menudo se le solicita al auditor de sistemas que exponga los resultados de las tareas de auditoría a diversos niveles gerenciales. Las técnicas de exposición incluyen: Resumen ejecutivo: es un informe de fácil lectura, gramaticalmente correcto y breve que presenta los hallazgos a la gerencia en forma comprensible. Los anexos pueden ser de naturaleza técnica ya que la gerencia operativa necesitará los detalles para corregir las situaciones informadas Presentaciones visuales: pueden incluir transparencias, diapositivas o gráficos
Ejecución de una Auditoría Acciones de la gerencia para implementar recomendaciones Los auditores deben darse cuenta que la auditoría es un proceso continuo. Los auditores deben tener un programa de seguimiento para determinar si se han tomado las acciones correctivas prometidas según las recomendaciones de auditoría. Los resultados del seguimiento deben ser comunicados a los niveles gerenciales correspondientes.