PLANEACIÓN DE LA AUDITORIA EN INFORMÁTICA 2 Objetivos Conocerá las distintas fases que comprende la auditoría en informática. Comprenderá la importancia en el trabajo de auditoría de la planeación, examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.
FASES DE LA AUDITORÍA La auditoría en informática es el proceso de recolección y evaluación de evidencias para determinar cuándo son salvaguardados los activos de los sistemas computarizados, de que manera se mantiene la integridad de los datos y como se logran los objetivos de la organización eficazmente y se usan los recursos consumidos eficientemente.
FASES DE LA AUDITORÍA La auditoría interna tiene el objetivo de apoyar a los miembros de la organización en el desempeño de sus responsabilidades.
FASES DE LA AUDITORÍA Los auditores internos son responsables de proporcionar información acerca de la adecuación y efectividad del sistema de control interno de la organización y de la calidad de la gestión
FASES DE LA AUDITORÍA El auditor interno debe ser independiente de las actividades que audita. Las normas de auditoría interna comprenden: Las actividades auditadas y la objetividad de los auditores internos.
FASES DE LA AUDITORÍA El conocimiento técnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su función. El alcance del trabajo de auditoría interna en el área de informática. El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditoría a informática
FASES DE LA AUDITORÍA Los auditores deben ser independiente y con un buen criterio para no tomar decisiones subjetivas. La objetividad es una actitud de independencia mental que los auditores internos deben mantener al realizar las auditorias.
FASES DE LA AUDITORÍA El departamento de auditoría interna deberá asignar a cada auditoría a aquellas personas que en su conjunto posean los conocimientos, la experiencia y la disciplina necesarios para conducir apropiadamente la auditoría.
FASES DE LA AUDITORÍA El departamento de auditoría interna deberá asegurarse: Que las auditorias sean supervisadas en forma apropiada. La supervisión es un proceso continuo que comienza con la planeación y termina con el trabajo de auditoría.
FASES DE LA AUDITORÍA Que los informes de auditoría sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditoría. Que la auditoría sea debidamente documentada y que se conserve la evidencia apropiada de la supervisión.
FASES DE LA AUDITORÍA Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informática posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditorias.
FASES DE LA AUDITORÍA Cada auditor interno requiere de ciertos conocimientos y experiencias: Se requiere pericia en la aplicación de las normas, procedimientos y técnicas de auditoría interna para el desarrollo de las revisiones.
FASES DE LA AUDITORÍA Tener la habilidad para aplicar conocimiento a posibles situaciones que se presenten, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcanzar soluciones razonables.
FASES DE LA AUDITORÍA Los auditores deberán evaluar si el empleo de los recursos se realiza de forma económica y eficiente. La administración es responsable de establecer los estándares de operación para medir la eficiencia y economía en el uso de los recursos.
FASES DE LA AUDITORÍA Los auditores internos son responsables de determinar si: Los estándares para medir la economía y la eficiencia en el uso de los recursos son los adecuados. Los estándares de operación establecidos han sido entendidos y se cumplen.
FASES DE LA AUDITORÍA Las desviaciones a los estándares de operación se identifican, analizan y se comunican a los responsables para que se tomen las medidas correctivas. Se toman las medidas correctivas.
FASES DE LA AUDITORÍA Las auditorias relacionadas con el uso económico y eficiente de los recursos deberán i9dentificar situaciones tales como: Subutilización de instalaciones. Trabajo no productivos.
FASES DE LA AUDITORÍA Procedimientos que no justifican su costo. Exceso o insuficiencia de personal. Uso indebido de las instalaciones.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA El trabajo de auditoría deberá incluir la planeación de la auditoría, el examen y la evaluación de la información, la comunicación de los resultados y el seguimiento.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA La planeación deberá ser documentada e incluirá: El establecimiento de los objetivos y el alcance del trabajo. La obtención de información de apoyo sobre las actividades que se auditarán.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA La determinación de los recursos necesarios para realizar la auditoría. El establecimiento de la comunicación necesaria con todos los que estarán involucrados en la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA La realización, en la forma más apropiada, de una inspección física para familiarizarse con las actividades y controles a auditar, así como identificación de las áreas en las que se deberá hacer énfasis al realizar la auditoría y promover comentarios y la promoción de los auditados.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA La preparación por escrito del programa de auditoría. La determinación de cómo, cuándo y a quién se le comunicarán los resultados de la auditoría. La obtención de la aprobación del plan de trabajo de la auditoría.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de varios objetivos: Evaluación administrativa del área de procesos electrónicos. Evaluación de los sistemas y procedimientos.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Evaluación de los equipos de cómputo. Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes, bases de datos, comunicaciones).
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA Seguridad y confidencialidad de la información. Aspectos legales de los sistemas y de la información.
PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA El proceso de planeación comprende el establecer: Metas. Programas de trabajo de auditoría. Planes de contratación de personal y presupuesto financiero. Informes de actividades.
REVISIÓN PRELIMINAR El primer paso en el desarrollo de la auditoría, después de la planeación, es la revisión preliminar del área de informática.
REVISIÓN PRELIMINAR El objetivo de la revisión preliminar es el de obtener la información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría.
REVISIÓN PRELIMINAR Al terminar la revisión preliminar el auditor puede proceder en uno de los tres caminos siguientes: Diseño de la auditoría. Puede haber problemas debido a la falta de competencia técnica para realizar la auditoría.
REVISIÓN PRELIMINAR Realizar una revisión detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias.
REVISIÓN PRELIMINAR Decidir el no confiar en los controles internos del sistemas.
REVISIÓN PRELIMINAR La RP significa la recolección de evidencias por medio de: (1) entrevistas con el personal de la instalación, (2) la observación de las actividades en la instalación y (3) la revisión de la documentación preliminar.
REVISIÓN PRELIMINAR Las evidencias se pueden recolectar por medio de: Cuestionarios iniciales Entrevistas Documentación narrativa
REVISIÓN PRELIMINAR Debemos considerar que ésta será solo una información inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará en el desarrollo de la auditoría.
REVISIÓN DETALLADA Los objetivos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.
REVISIÓN DETALLADA En la fase de evaluación detallada es importante para el auditor identificar las causas de las pérdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por éstas.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN Los auditores deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoría.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN El proceso de examen y evaluación de la información es el siguiente: Se deben obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoría.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendaciones de la auditoría.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN Los procedimientos de auditoría, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadístico, deberán ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditoría se cumplieron.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN Los documentos de trabajo de la auditoría, deberán sewr preparados por los auditores y revisados por la gerencia de auditoría. Estos documentos deberán registrar la información obtenida y el análisis realizado, y deben apoyar las bases de los hallazgos de auditoría y las recomendaciones que se harán.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN El auditor deberá discutir las conclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final. La opinión de los auditados respecto a este informe se los puede incluir como anexos.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN El director de auditoría en informática deberá establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar: Descripciones de los puestos de cada nivel de auditoría en informática. Selección de los individuos calificados y competentes.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN Entrenamiento y oportunidad de capacitación profesional continua para todos y cada uno de los auditores. Evaluación del trabajo de cada uno de los auditores por lo menos una vez al año. Asesoría a los auditores en lo referente a su trabajo y a su desarrollo profesional.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN La supervisión del trabajo de los auditores en informática deberá llevarse a cabo continuamente para asegurarse de que está trabajando de acuerdo con las normas, políticas y programas de auditoría en informática.
PRUEBAS DE CONSENTIMIENTO El objetivo de la fase de prueba de consentimiento es el de determinar si los controles internos operan como fueron diseñados para operar. El auditor debe determinar si los controles declarados en realidad existen y si realmente trabajan confiablemente.
PRUEBAS DE CONTROLES DEL USUARIO En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informática.
PRUEBAS DE CONTROLES DEL USUARIO Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, vistas y evaluación hechas directamente con los usuarios.
PRUEBAS SUSTANTIVAS El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento de la información.
PRUEBAS SUSTANTIVAS Se pueden identificar ocho diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos.
PRUEBAS SUSTANTIVAS Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o contadores físicos. Confirmación de datos con fuentes externas
PRUEBAS SUSTANTIVAS Pruebas para confirmar la adecuada comunicación. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad.
PRUEBAS SUSTANTIVAS El auditor debe participar en tres estados del sistema: Durante la fase del diseño del sistema. Durante la fase de operación. Durante la fase posterior a la auditoría.
PRUEBAS SUSTANTIVAS El que el auditor participe en el diseño del sistemas pueda afectar a la independencia del mismo, existen formas en las cuales se puede eliminar esto: Aumentando los conocimientos en informática del auditor.
PRUEBAS SUSTANTIVAS Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al posterior a la auditoría. Crear una sección de auditoría en informática dentro del departamento de auditoría interna, especializado en auditoría en informática. Obtener mayor soporte de la alta gerencia.
PRUEBAS SUSTANTIVAS Realizar una auditoría en informática es un trabajo complejo. Para ello, para lograr los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que realizan las actividades básicas de cada subsistema.
PRUEBAS SUSTANTIVAS Evaluar la confianza de cada componente, y la de los subsistemas, y en forma agregada evaluar cada subsistema hasta llegara a una evaluación global sobre la confianza total del sistema.
PRUEBAS SUSTANTIVAS “La suma de los óptimos parciales de los subsistemas no es igual al óptimo del sistema, pero nos da una buena aproximación.”
PRUEBAS SUSTANTIVAS Invesigación Preliminar Investigación detallada Prueba los controles críticos Pruebas sustantivas Conclusión
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Una de las formas de evaluar la importancia que puede tener para la organización de un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la pérdida de la información o bien el que sea usado por personal ajeno a la organización
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que: Son susceptibles a diferentes tipos de pérdida económica. Ejemplo: Fraudes y desfalcos entre los cuales están los sistemas financieros
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Las fallas pueden impactar grandemente a la organización. Ejemplo: Una falla en el procesamiento de la nómina puede tener como consecuencia una huelga.
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Interfieren con otros sistemas, y los errores generados inciden a otros sistemas.
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Potencialmente, alto riesgo debido a daños en la competencia. Algunos sistemas le dan a la organización un nivel competitivo muy alto dentro del mercado. Ejemplo: Sistemas de planeación estratégica. Patentes. Derechos de autor, los cuales son las mayores fuentes de recursos de la organización. Otros a través de los cuales su pérdida puede destruir la imagen de la organización.
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Sistemas de tecnología de punta o avanzada. Si los sistemas utilizan tecnología avanzada o de punta. Ejemplo: Sistemas de base de datos, sistemas distribuidos o de comunicación, tecnología sobre la cual la organización tenga muy poca experiencia o respaldo, la cual es más probable que sea una fuente de problemas de control.
EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.