SlideShare una empresa de Scribd logo

Introducción auditoría

Descargar como PPT, PDF
S
sylviaenciso1
1 de 40
 Teorías de administración de empresas (Anthony, Blumenthal, Nolan).  El rol de la auditoria en las organizaciones.  Gobierno de TI: “Sistema mediante el cual la Tecnología de Información (TI) es dirigida y controlada, con el propósito de estar alineada al negocio y habilitar el logro de sus objetivos estratégicos”. ANTECEDENTES ANTES DETECTOR DE PROBLEMAS HOY IDENTIFICADOR DE OPORTUNIDADES Y EMISOR DE PROPUESTAS DE VALOR
AUDITORÍA DE SISTEMAS: “La disciplina que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aporte al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”. DEFINICIÓN Aplicada por personas independientes a la operación: • Independencia de criterio. • Libertad para expresar su juicio.
1. Requisito Legal (Bolsa de Valores). 2. Para Certificación. 3. Política de la Organización. 4. Problema u oportunidad de Mejora. ORIGEN DE LA AUDITORÍA
1. LA AUDITORIA EXTERNA: Es aquella que realiza un auditor o grupo de auditores que son independientes a la empresa auditada y su relación con la misma se limita a un contrato o convenio de servicios profesionales establecido entre la empresa auditada y el auditor. CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA Beneficios:  Alto nivel técnico.  Experiencia profesional en distintas industrias.  Ser independientes a las empresas que auditan (credibilidad).  La legislación tributaria o los requisitos de participación en Bolsa.
FIRMAS DEL PANORAMA MUNDIAL: • Price Waterhouse Coopers • Ernest and Young • KPMG - Peat Marwick • Deloitte and Touch. CASO: Arthur Andersen – Enron Corporation: Houston junio 2002 por obstruir la justicia, destruir y alterar documentos. Multa y privación de funciones. CLASIFICACIÓN
2. LA AUDITORIA INTERNA Realizada por un auditor o grupo de auditores empleados formalmente por la empresa. Sus funciones son ajenas totalmente a la operación de la misma Sus actividades se limitan a las directamente relacionadas con la auditoria. Los auditores internos reportan normalmente al Consejo de Administración o al presidente de éste. Las funciones del director general son objeto de evaluación por parte del auditor. CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA
• Auditoria Integral o de Gestión: Evaluar en su totalidad los objetivos que existen en una organización (administrativa, financiera, ambiental, producto final, sistemas y energética). • Auditoria Administrativa: Evaluación de aspectos relacionados con la eficiencia y productividad de las operaciones de una empresa. • Auditoria Financiera: Emitir una opinión sobre los estados financieros de una organización, evaluación de aspectos de integridad y veracidad de la información. • Auditoría de Sistemas: Evaluar el componente tecnológico de la organización. POR OBJETIVOS QUE SE PERSIGUEN CLASIFICACIÓN
Determinar si cumple con:  Requisitos de ley.  Los objetivos de la organización.  Un procedimiento y determinar su eficacia.  Identificar riesgos.  Mejorar la comunicación. ¿Por qué? ¿Por qué y cuándo realizar auditorías? ¿Cuándo?  Se determina de acuerdo con el riesgo.  De acuerdo con un plan preestablecido.  Hay cambios en los procesos, productos o servicios.  Por la necesidad de acciones correctivas.  De acuerdo a resultados de auditorías previas.
• Conocimiento acerca de cómo funciona la organización. • Mejora relaciones cliente-proveedor. • Confirmación que el sistema funciona eficazmente. • Recomendaciones de mejora en la productividad y eficiencia. • Minimizar el riesgo e implementar controles. Resultados de la Auditoría.
PROCESO GENÉRICO Planear la Auditoría Analizar y evaluar el Control Interno Aplicar pruebas de Auditoría Informar los resultados de la Auditoría Efectuar Seguimiento Supervisar el trabajo de Auditoría Retroalimentación COBIT MASSOFT AS/NZ 4360 CMMI PMBOK SOX LOPD ISO NIST MAGERIT METRICA V.3 COSO
PROCESO RIESGOS Y CONTROLES 10. Informe de Auditoria (Conclusiones y Recomendaciones). 1.Planeación 2.Levantamiento De Información 3.Determinación de Riesgos 4.Clasificación de Riesgos 5.Evidencia de Controles 6.Análisis de Riesgos Reales 7.Análisis de Consecuencias 8. Recomenda- ciones 9.Informe Preliminar
ESTABLECER VIABILIDAD DEL TRABAJO DE AUDITORIA. Acordar con el auditado: • Alcance (tiempo, costo, recursos) • Objetivos de la auditoría (total, parcial, proceso). • Tipo de auditoría (proceso, producto o servicio, registro-legal, sistemas) • Profundidad de la auditoría (nivel de detalle). • Las condiciones generales del mismo (ambiente de trabajo). • Manejo de autoridad, confidencialidad. Visita de Preauditoría: Adquirir un conocimiento general. • Objetivos estratégicos • Características de negocio • Infraestructura tecnológica • Sistemas de información • Áreas de riesgo PROCESO GENÉRICO
1. PLANEAR LA AUDITORIA. Con los requerimientos, realizar un trabajo de planeación: • Determinar tipo de procedimientos de revisión • Personal responsable del desarrollo de las actividades • Fechas y duración del proceso de auditoría. PROCESO GENÉRICO
Determinar tipo de procedimientos de revisión. ORGWARE LIVEWARE SOFTWARE HARDWARE OBJETIVOS DEL NEGOCIO 1. SO, LP, BdD, R y C. 2. Fuentes, Pruebas. 3. Riesgos y Controles. 1. SO, LP, BdD, R y C. 2. Capacidad. 3. Continuidad. 1. Hallazgos, Riesgos, Controles, Consecuencias. 2. Recomendaciones. MASSOFT: 1. Misión, Visión, Objetivos. 2. Políticas, normas (int-ext). 3. Proceso Vs Aplicación. 1. Cultura Organizacional. 2. Funciones. 3. Competencias.
Auditoría en TI Telecomuni- caciones Procesamiento electrónico de datos Administraciónde Empresas T.G.S Métodos Numéricos Finanzas y contabilidad Sistemas de Información Com portam iento Hum ano Personal responsable del desarrollo de las actividades:
Fechas y duración del proceso de auditoría. Id EDT Hito Nombre de tarea Duración Comienzo Fin 1 1 Sí FASE0 - ACTIVIDADES HITO 193 días mié 15/03/06 lun 11/12/06 2 1.1 Sí Inscribir hoja vida en CVLAC 0 días lun 20/03/06 lun 20/03/06 3 1.2 Sí Registro de Grupo en GRUPLAC 0 días lun 11/12/06 lun 11/12/06 4 1.3 Sí Reunión 01 Fase 1 Marzo 15 0 días mié 15/03/06 mié 15/03/06 5 1.4 Sí Reunión 02 Fase 1 Marzo 29 0 días lun 29/05/06 lun 29/05/06 6 1.5 Sí Reunión 03 Fase 1 Abril 19 0 días mié 19/04/06 mié 19/04/06 7 1.6 Sí Reunión 04 Fase 1 Mayo 10 0 días mié 10/05/06 mié 10/05/06 8 1.7 Sí Reunión 05 Fase 1 Mayo 31 0 días mié 31/05/06 mié 31/05/06 9 1.8 Sí Reunión 06 Fase 1 Junio 21 0 días mié 21/06/06 mié 21/06/06 10 2 No FASE I - EPISTEMOLOGICA 85 días jue 23/02/06 mié 21/06/06 11 2.1 No Actividad 1 Solicitud Compra Materiales 15 días jue 23/02/06 mié 15/03/06 12 2.1.1 No Normas (Cobit - ISO) 15 días jue 23/02/06 mié 15/03/06 13 2.1.2 No 1 Pc 15 días jue 23/02/06 mié 15/03/06 14 2.1.3 No 1 Impresora 15 días jue 23/02/06 mié 15/03/06 15 2.1.4 No Papeleria 15 días jue 23/02/06 mié 15/03/06 16 2.1.5 No Transporte 15 días jue 23/02/06 mié 15/03/06 17 2.2 No Actividad 2 Organización Equipos de Trabajo 6 días mié 08/03/06 mié 15/03/06 18 2.2.1 No Estrategias 6 días mié 08/03/06 mié 15/03/06 19 2.2.2 No Metodologías 6 días mié 08/03/06 mié 15/03/06 20 2.2.3 No Monitoreo Cronograma, Costos, Riesgos 6 días mié 08/03/06 mié 15/03/06 21 2.3 No Actividad 3 Análisis y Diseño Instrumentos de Investigación21 días mié 08/03/06 mié 05/04/06 22 2.3.1 No Tablas, Comparaciones, Formatos, Encuestas, Entrevistas21 días mié 08/03/06 mié 05/04/06 23 2.4 No Actividad 4 Análisis Normas y Documentación 35 días jue 16/03/06 mié 03/05/06 24 2.4.1 No Análisis (Cobit, ISO y Documentos) 15 días jue 16/03/06 mié 05/04/06 25 2.4.2 No Comparar Análisis 15 días jue 06/04/06 mié 26/04/06 26 2.4.3 No Informe Resultados 5 días jue 27/04/06 mié 03/05/06 15/03 20/03 15/03 L M X J V S D L M X J V S D L M 06 mar '06 13 mar '06 20 mar '06
2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Obtener información sobre los procedimientos de control. El control interno informático controla diariamente todas las actividades de sistemas de información para que sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección Informática, así como los requerimientos legales. Por medio de:  Entrevistas  Observación Directa  Inspección Documental Documentar para usar como referencia y como fuente de consulta. PROCESO GENÉRICO
2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Funciones del control interno:  Definir procedimientos de control.  Control de la seguridad física y lógica.  Control del entorno de análisis, diseño, desarrollo, producción y mantenimiento de los sistemas de información.  Control de datos.  Control de soportes magnéticos y físicos.  Control de calidad de los servicios.  Control de costos.  Control de licencias e inventarios.  Control de cambios de HW y versiones de SW.  Vigilancia del cumplimiento de normas y controles. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. Técnicas con el propósito de evaluar el funcionamiento de los componentes tecnológicos. Evaluación de: • Capacidad para manejar altos volúmenes de transacciones del computador. • Velocidad y consistencia de transmisión de un canal de comunicación. • Efectividad de una planta de energía alterna. • Efectividad del equipo de detección y extinción de fuego. • Eficiencia y exactitud de lectores ópticos. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. PRUEBAS DE CUMPLIMIENTO (Orientadas a Procesos): Permiten verificar la efectividad de los procedimientos de control. Los resultados podrán ratificar o rectificar el juicio preliminar. PRUEBAS SUSTANTIVAS (Orientadas a Productos): Pueden implicar la utilización de software (Programas de Auditoría). Pruebas a la información (ACL, IDEA) Pruebas a los componentes de la infraestructura tecnológica. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: A.COMPARACIÓN DE PROGRAMAS: De código fuente, comandos de proceso entre un programa en operación y su backup en custodia. B. MAPEO Y RASTREO DE PROGRAMAS: software especializado que analiza los programas, indicando el número de veces que cada línea de código es procesada e indicando también las condiciones de las variables de memoria que estuvieron presentes. También indica las líneas de código que no se utilizan durante el proceso. Detectar "bombas de tiempo". C. ANÁLISIS DE CÓDIGO DE PROGRAMAS: Del código fuente como el código ejecutable. Verificar que el programa incluye todos los procesos requeridos por el usuario. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: D. DATOS DE PRUEBA: Controles detecten los errores. Preparar datos correctos como datos con errores predeterminados. No detecta rutinas de excepciones como un nombre “JOSE MARIA” (F o M). E. DATOS DE PRUEBA INTEGRADOS (integrases test facilities -ITF-): Crear una entidad "falsa" dentro de los sistemas de información, una sucursal, una empresa o un departamento inexistente, pero que sean procesados en forma conjunta con las transacciones reales de la compañía. F. ANÁLISIS DE BITÁCORAS: De uso equipo, accesos no autorizados, uso de recursos, procesos ejecutados, fallas del equipo, etc. G. SIMULACIÓN PARALELA. desarrollar programas que emulen a los programas de un sistema en producción e identificar diferencias entre los resultados de ambos. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: H. CÓDIGO INTEGRADO (embedded code): Incluir en los programas rutinas de auditoría y todas las veces que sea ejecutado se evaluará su control. I. ANÁLISIS DE DATOS: Almacenados en archivos o bases de datos. Se utilizan queries, comandos SQL o lenguajes de desarrollo. Objetivo determinar la razonabilidad de la información financiera. J. PROGRAMAS DE UTILERÍAS (utility programs). Emplear los propios recursos del sistema (comandos COPY, DUMP, SORT) con fines de auditoria. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Data díddling (manipulación de datos): Consiste en modificar los datos de un sistema durante su captura. Trojan Horse: Es ocultar un programa o rutinas malignas dentro de otro programa que aparenta ser "sano”. Salammi techníques: Tomar pequeñas porciones de los saldos o movimientos de cuentas y traspasarlos a una cuenta puente “falsa”. Superzapping (nombre programa utilitario de IBM): Tomar ventaja de los mecanismos de acceso de urgencia que muchos sistemas tienen. Trapdoors (puertas traseras): “Huecos' que dejan los programadores en los sistemas para facilitar la inserción de rutinas adicionales Logic Bombs (bomba lógica): Son programas o instrucciones que permanecen inactivos hasta que se presente una condición predefinida. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Extraer información que queda grabada en los archivos después de la conclusión de los procesos normales. Extraer información de los sistemas enmascarándola para que pase inadvertidamente y burle los posibles controles de detección. En telecomunicaciones interceptar la comunicación de datos mediante el acceso a las líneas de transmisión de datos. Virus informáticos: programas capaces de reproducirse y dañar en forma deliberada los recursos de una empresa. Virus Robots: Objetivo controlar su PC. Virus Modulares: Llegan por partes lo que les permite pasar por debajo del sistema operativo y antivirus, luego se arman y activan. PROCESO GENÉRICO
3. APLICAR PRUEBAS DE AUDITORIA. QUIENES AMENAZAN. Actos de la Naturaleza: Terremotos, Incendios, Rayos. Las Personas: Errores o Fraudes. La Tecnología: Cuando es defectuosa. (Banco Disco Duro). Los Procedimientos: Cuando no existen, no son claros y traba el SI. Las Organizaciones: No esta definida la estructura orgánica, las funciones. La Técnica de la Escoba: Escudriñar en la basura. (Embajada de Japón en Perú). Ingeniería Social: En reuniones sociales hablar de asuntos confidenciales (Colombia vs. Venezuela). PROCESO GENÉRICO
4. INFORMAR LOS RESULTADOS DE LA AUDITORIA. El informe incluye:  Hallazgos, Riesgos, Controles, Recomendaciones.  RNC – Reporte de No Conformidades.  RAC – Reporte Acciones Correctivas.  ROM – Reporte Oportunidades de Mejora.  Indicar su nivel de involucramiento y responsabilidad  Dependiendo de los resultados abstenerse de presentar una opinión cuando considere que no tiene elementos suficientes para sustentarla. PROCESO GENÉRICO
5. EFECTUAR SEGUIMIENTO. REVISION Deficiencias Oportunidades de mejora Recomendaciones emitidas por el Auditor PROCESO GENÉRICO
6. SUPERVISAR EL TRABAJO DE AUDITORIA. • En especial el realizado por personal con menor experiencia. • El auditor será el principal responsable de su trabajo. PROCESO GENÉRICO
• Planificar la auditoría y elaborar documentos de trabajo. • Recolectar y analizar evidencia objetiva. • Conclusiones pertinentes y suficientes. • Acuerdo de confidencialidad. • Reportar los resultados. • Verificar la implementación de acciones correctivas. • Capacidad para dirigir un equipo auditor. • Habilidad para realizar entrevistas, presentaciones y reportes. • Diplomático, mente abierta, justo y versátil. Funciones y Competencias del Auditor
La auditoría no transcurre de acuerdo con el plan por:  Hostilidad (problemas laborales).  Evasivas (mantener la apariencia).  Falta de cooperación (mucho trabajo).  Nerviosismo. Situaciones Difíciles de Auditoría Es importante que ni usted ni los miembros de su equipo tomen como algo personal el comportamiento pasivo o agresivo del auditado. El trato con respeto (evitar contienda verbal). Mantenerse sereno y no dejarse provocar.
Los procedimientos de auditoria pueden ser tan variados como distintas sean las empresas y proyectos que se desarrollen. Sin embargo, existe un grupo de técnicas básicas que el auditor utiliza adecuándolas a cada caso en particular. COBIT. Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas NTC BS 7799-2:2004 Sistema de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC ISO 17799:2000 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. NTC ISO 27001:2006 TI. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC 5254:2004 Gestión del Riesgo – Referencia AS/NZ 4360:1999 PROCEDIMIENTOS
El fraude implica la existencia de dolo y premeditación en un acto que perjudica a la empresa y beneficia al perpetrador. La auditoría no tiene como propósito la detección de fraude. Sin embargo, se espera que mediante el desarrollo de su trabajo puedan salir a la luz situaciones irregulares que ameriten la atención de la empresa. SU RELACION CON LOS FRAUDES
Un error representa un acto involuntario en que se incurre y que provoca una situación no deseada. La negligencia es una característica que acompaña las actividades desempeñadas por los seres humanos y que incrementa la probabilidad de ocurrencia de errores. Estudios realizados en estados unidos demuestran que la negligencia afectan en mucha mayor proporción a las empresas que los propios fraudes. En la mayoría de las ocasiones, los fraudes se efectúan una sola vez, mientras que el error es un elemento repetitivo, sobre todo y potencialmente en un ambiente de procesamiento electrónico de datos. SU RELACION CON EL ERROR
STAKE HOLDER (“interesados”): Persona o grupo de personas que tienen interés en el buen funcionamiento de una empresa. Accionistas: Desean obtener un retorno sobre la inversión. Administración: Responsable directo de los resultados. Empleados: Lugar estable de trabajo, posibilidad de desarrollo. Proveedores: Mayor operación - mayores beneficios. COMPROMISO ÉTICO
Clientes: Dependen de la operación de la empresa para lograr sus propios objetivos. Gobierno: Sus impuestos son una contribución indispensable para el gasto publico. Inversionistas: Adquieren acciones de la empresa a través de la bolsa de valores. La Comunidad: Impacto que dicha empresa pueda tener en la vida socio económica de la comunidad. COMPROMISO ÉTICO
Empleados Accionistas Administración Empresa Clientes Gobierno Proveedores Inversionistas Comunidad en general Auditoría COMPROMISO ÉTICO
El auditor moderno con actitud proactiva y de mayor compromiso hacia sus stakeholders. Generar mayor valor agregado a sus actividades. Actualizar e incorporar los conocimientos. CONCLUSIONES
Reingeniería de la Auditoría Informática, SOLÍS MONTES Gustavo Adolfo. Editores S.A. de C.V., México D.F. ISBN 970-92177-0-4 Manual de Habilidades para Auditoría, MALLEN David y COLLINS Christine. ICONTEC, Bogotá D.C. Colombia. ISBN 958-9383-37-8. Auditoría Informática, PIATTINI Mario y DEL PESO Emilio. Alfaomega, Madrid España. ISBN 958-682-455-1 Guía de Auditoría, LARRY Bailey y HOLZMAN Oscar. Editores Harcourt Brace Madrid, España. ISBN 84-8174-383-6 Auditoría Integral, ORTIZ José Joaquín y ORTIZ Armando. Editorial Kimpres Ltda, Bogotá D.C. Colombia. BIBLIOGRAFÍA
GRACIAS

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
auditoria-07
auditoria-07auditoria-07
auditoria-07Cristian Aviles
 
Informe final auditoria interna de calidad
Informe final auditoria interna de calidadInforme final auditoria interna de calidad
Informe final auditoria interna de calidadSHERSTE
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadSantiago Rivas Hormazábal
 
Auditoria revision sgsst
Auditoria revision sgsst Auditoria revision sgsst
Auditoria revision sgsst .. ..
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria DeymileeRocca
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoriaJesus Cisneros Morales
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 

Recomendados

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
auditoria-07
auditoria-07auditoria-07
auditoria-07Cristian Aviles
 
Informe final auditoria interna de calidad
Informe final auditoria interna de calidadInforme final auditoria interna de calidad
Informe final auditoria interna de calidadSHERSTE
 
Auditorias de seguridad
Auditorias de seguridadAuditorias de seguridad
Auditorias de seguridadSantiago Rivas Hormazábal
 
Auditoria revision sgsst
Auditoria revision sgsst Auditoria revision sgsst
Auditoria revision sgsst .. ..
 
Principios y normas de la auditoria
Principios y normas de la auditoria Principios y normas de la auditoria
Principios y normas de la auditoria DeymileeRocca
 
Informe de auditoria
Informe de auditoriaInforme de auditoria
Informe de auditoriaJesus Cisneros Morales
 
.Auditoria de sistemas
.Auditoria de sistemas.Auditoria de sistemas
.Auditoria de sistemasfranyelis23
 
Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumenfranyelis23
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 
Autoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río CuartoAutoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río CuartoSGI_UNC
 
Fundamentos de auditoria
Fundamentos de auditoriaFundamentos de auditoria
Fundamentos de auditoriaJAPECO69
 
Auditor interno
Auditor internoAuditor interno
Auditor internomorms8812
 
Auditoria interna procedimiento
Auditoria interna procedimientoAuditoria interna procedimiento
Auditoria interna procedimientooscaralvaradobarrientos
 
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Stefany Gamero
 
Auditoriasgc
AuditoriasgcAuditoriasgc
AuditoriasgcRaul Lara
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo AuditoriaChristopher Ticeran Lopez
 
Tesis auditoria de mexico
Tesis auditoria de mexico Tesis auditoria de mexico
Tesis auditoria de mexico Mario López-Muñoz
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Andreita Lissette
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Fundamentacion teorica de la auditoria
Fundamentacion teorica de la auditoriaFundamentacion teorica de la auditoria
Fundamentacion teorica de la auditoriaFeibert Alirio Guzmán Pérez
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 
Importancia De La Auditoria De Sistemas
Importancia De La Auditoria De SistemasImportancia De La Auditoria De Sistemas
Importancia De La Auditoria De SistemasAireth Amaya
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlosuniversidad cesar vallejo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001Diego Cueva Córdova
 
Introducción auditoría
Introducción auditoríaIntroducción auditoría
Introducción auditoríasylviaenciso1
 
Diferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y AdministrativaDiferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y AdministrativaBryan Torres
 
Comparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativaComparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativaYAS A
 
Mis principales razones
Mis principales razonesMis principales razones
Mis principales razonesdeissy2114
 

Más contenido relacionado

La actualidad más candente

Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoriakarla
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumenfranyelis23
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 
Autoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río CuartoAutoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río CuartoSGI_UNC
 
Fundamentos de auditoria
Fundamentos de auditoriaFundamentos de auditoria
Fundamentos de auditoriaJAPECO69
 
Auditor interno
Auditor internoAuditor interno
Auditor internomorms8812
 
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Stefany Gamero
 
Auditoriasgc
AuditoriasgcAuditoriasgc
AuditoriasgcRaul Lara
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Andreita Lissette
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosAaron Crespo
 
Importancia De La Auditoria De Sistemas
Importancia De La Auditoria De SistemasImportancia De La Auditoria De Sistemas
Importancia De La Auditoria De SistemasAireth Amaya
 

La actualidad más candente (18)

Reporte final de auditoria
Reporte final de auditoriaReporte final de auditoria
Reporte final de auditoria
 
Auditoria de sistemas resumen
Auditoria de sistemas resumenAuditoria de sistemas resumen
Auditoria de sistemas resumen
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemas
 
Autoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río CuartoAutoevaluación Universidad Nacional de Río Cuarto
Autoevaluación Universidad Nacional de Río Cuarto
 
Fundamentos de auditoria
Fundamentos de auditoriaFundamentos de auditoria
Fundamentos de auditoria
 
Auditor interno
Auditor internoAuditor interno
Auditor interno
 
Auditoria interna procedimiento
Auditoria interna procedimientoAuditoria interna procedimiento
Auditoria interna procedimiento
 
Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...Informe metologico que indica el paso a paso para hacer una auditoria informa...
Informe metologico que indica el paso a paso para hacer una auditoria informa...
 
Auditoriasgc
AuditoriasgcAuditoriasgc
Auditoriasgc
 
Trabajo Auditoria
Trabajo AuditoriaTrabajo Auditoria
Trabajo Auditoria
 
Tesis auditoria de mexico
Tesis auditoria de mexico Tesis auditoria de mexico
Tesis auditoria de mexico
 
Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)Manual auditoria de sistemas informatica(1)
Manual auditoria de sistemas informatica(1)
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Fundamentacion teorica de la auditoria
Fundamentacion teorica de la auditoriaFundamentacion teorica de la auditoria
Fundamentacion teorica de la auditoria
 
Municipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticosMunicipalidad de informe final auditoria de sistemas informaticos
Municipalidad de informe final auditoria de sistemas informaticos
 
Importancia De La Auditoria De Sistemas
Importancia De La Auditoria De SistemasImportancia De La Auditoria De Sistemas
Importancia De La Auditoria De Sistemas
 
Iso27001 Porras Guevara Carlos
Iso27001 Porras Guevara CarlosIso27001 Porras Guevara Carlos
Iso27001 Porras Guevara Carlos
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 

Destacado

Introducción auditoría
Introducción auditoríaIntroducción auditoría
Introducción auditoríasylviaenciso1
 
Diferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y AdministrativaDiferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y AdministrativaBryan Torres
 
Comparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativaComparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativaYAS A
 
Mis principales razones
Mis principales razonesMis principales razones
Mis principales razonesdeissy2114
 
Taller de dirección y control katerine paternina
Taller de dirección y control katerine paterninaTaller de dirección y control katerine paternina
Taller de dirección y control katerine paterninaktrin01
 
Presentación jornadas cebe open doc albarracin rev03
Presentación jornadas cebe open doc albarracin rev03Presentación jornadas cebe open doc albarracin rev03
Presentación jornadas cebe open doc albarracin rev03Adolfo Blanco Sarto
 
Responsabilidad social. Francisco Sanchez
Responsabilidad social. Francisco SanchezResponsabilidad social. Francisco Sanchez
Responsabilidad social. Francisco Sanchezlfsanchez
 
El éxito y el liderazgo
El éxito y el liderazgoEl éxito y el liderazgo
El éxito y el liderazgoECCI
 
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...Desarrollo de competencias para el logro de objetivos en una biblioteca unive...
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...Audiovisuales BC - PUCP
 
Bases del concurs de disseny com sona l'eso 2014
Bases del concurs de disseny com sona l'eso 2014Bases del concurs de disseny com sona l'eso 2014
Bases del concurs de disseny com sona l'eso 2014unclotdemusica
 
Diagnostico de la legislacion y ayudas de la biomasa en espana v5
Diagnostico de la legislacion y ayudas de la biomasa en espana v5Diagnostico de la legislacion y ayudas de la biomasa en espana v5
Diagnostico de la legislacion y ayudas de la biomasa en espana v5Adolfo Blanco Sarto
 
Transmision de informacion
Transmision de informacionTransmision de informacion
Transmision de informacionnumeronce
 
Cuidando un recurso indispensable para la vida.
Cuidando un recurso indispensable para la vida.Cuidando un recurso indispensable para la vida.
Cuidando un recurso indispensable para la vida.ileslide
 

Destacado (20)

Introducción auditoría
Introducción auditoríaIntroducción auditoría
Introducción auditoría
 
Diferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y AdministrativaDiferencias entre Auditoria Financiera y Administrativa
Diferencias entre Auditoria Financiera y Administrativa
 
Comparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativaComparación auditoria financiera y administrativa
Comparación auditoria financiera y administrativa
 
Mis principales razones
Mis principales razonesMis principales razones
Mis principales razones
 
Taller de dirección y control katerine paternina
Taller de dirección y control katerine paterninaTaller de dirección y control katerine paternina
Taller de dirección y control katerine paternina
 
Presentación jornadas cebe open doc albarracin rev03
Presentación jornadas cebe open doc albarracin rev03Presentación jornadas cebe open doc albarracin rev03
Presentación jornadas cebe open doc albarracin rev03
 
Responsabilidad social. Francisco Sanchez
Responsabilidad social. Francisco SanchezResponsabilidad social. Francisco Sanchez
Responsabilidad social. Francisco Sanchez
 
Lineamientos dgei
Lineamientos dgeiLineamientos dgei
Lineamientos dgei
 
Mercancias peligrosas examen
Mercancias peligrosas examenMercancias peligrosas examen
Mercancias peligrosas examen
 
Exito y liderazgo
Exito y liderazgoExito y liderazgo
Exito y liderazgo
 
El éxito y el liderazgo
El éxito y el liderazgoEl éxito y el liderazgo
El éxito y el liderazgo
 
Deja tu huella te abraza
Deja tu huella te abrazaDeja tu huella te abraza
Deja tu huella te abraza
 
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...Desarrollo de competencias para el logro de objetivos en una biblioteca unive...
Desarrollo de competencias para el logro de objetivos en una biblioteca unive...
 
Incendios2010
Incendios2010Incendios2010
Incendios2010
 
Bases del concurs de disseny com sona l'eso 2014
Bases del concurs de disseny com sona l'eso 2014Bases del concurs de disseny com sona l'eso 2014
Bases del concurs de disseny com sona l'eso 2014
 
Diagnostico de la legislacion y ayudas de la biomasa en espana v5
Diagnostico de la legislacion y ayudas de la biomasa en espana v5Diagnostico de la legislacion y ayudas de la biomasa en espana v5
Diagnostico de la legislacion y ayudas de la biomasa en espana v5
 
Transmision de informacion
Transmision de informacionTransmision de informacion
Transmision de informacion
 
Plan de estudios 2009
Plan de estudios 2009Plan de estudios 2009
Plan de estudios 2009
 
Gastronomia
GastronomiaGastronomia
Gastronomia
 
Cuidando un recurso indispensable para la vida.
Cuidando un recurso indispensable para la vida.Cuidando un recurso indispensable para la vida.
Cuidando un recurso indispensable para la vida.
 

Similar a Introducción auditoría

Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nAnadolore Tejada
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...Vanessa Hernández
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.ROMERGOMEZ
 
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.ppt
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.pptPRESENTACION GESTION Y AUDUTORIA AMBIENTAL.ppt
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.pptSandraCalderon85
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Anabel Jaramillo
 
Auditoría de sistemas fundamentos
Auditoría de sistemas fundamentosAuditoría de sistemas fundamentos
Auditoría de sistemas fundamentosDocente Contaduría
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaPepe Lascano
 

Similar a Introducción auditoría (20)

Planeacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3nPlaneacic3b3n de-la-ai-continuacic3b3n
Planeacic3b3n de-la-ai-continuacic3b3n
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno2011 ii cap 01 - fundamentos control interno
2011 ii cap 01 - fundamentos control interno
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
 
Segunda parte
Segunda parteSegunda parte
Segunda parte
 
Auditorias de sistemas de información.
Auditorias de sistemas de información.Auditorias de sistemas de información.
Auditorias de sistemas de información.
 
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.ppt
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.pptPRESENTACION GESTION Y AUDUTORIA AMBIENTAL.ppt
PRESENTACION GESTION Y AUDUTORIA AMBIENTAL.ppt
 
Presentación sgi aud. calidad maria luisa
Presentación sgi aud. calidad maria luisaPresentación sgi aud. calidad maria luisa
Presentación sgi aud. calidad maria luisa
 
Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA Modulo1 AUDITORIA INFORMATICA
Modulo1 AUDITORIA INFORMATICA
 
Auditoría de sistemas fundamentos
Auditoría de sistemas fundamentosAuditoría de sistemas fundamentos
Auditoría de sistemas fundamentos
 
Auditoria ii ye
Auditoria ii yeAuditoria ii ye
Auditoria ii ye
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
A3 ap ratas
A3 ap ratasA3 ap ratas
A3 ap ratas
 
Clase01
Clase01Clase01
Clase01
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 

Introducción auditoría

  • 1.  Teorías de administración de empresas (Anthony, Blumenthal, Nolan).  El rol de la auditoria en las organizaciones.  Gobierno de TI: “Sistema mediante el cual la Tecnología de Información (TI) es dirigida y controlada, con el propósito de estar alineada al negocio y habilitar el logro de sus objetivos estratégicos”. ANTECEDENTES ANTES DETECTOR DE PROBLEMAS HOY IDENTIFICADOR DE OPORTUNIDADES Y EMISOR DE PROPUESTAS DE VALOR
  • 2. AUDITORÍA DE SISTEMAS: “La disciplina que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aporte al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”. DEFINICIÓN Aplicada por personas independientes a la operación: • Independencia de criterio. • Libertad para expresar su juicio.
  • 3. 1. Requisito Legal (Bolsa de Valores). 2. Para Certificación. 3. Política de la Organización. 4. Problema u oportunidad de Mejora. ORIGEN DE LA AUDITORÍA
  • 4. 1. LA AUDITORIA EXTERNA: Es aquella que realiza un auditor o grupo de auditores que son independientes a la empresa auditada y su relación con la misma se limita a un contrato o convenio de servicios profesionales establecido entre la empresa auditada y el auditor. CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA Beneficios:  Alto nivel técnico.  Experiencia profesional en distintas industrias.  Ser independientes a las empresas que auditan (credibilidad).  La legislación tributaria o los requisitos de participación en Bolsa.
  • 5. FIRMAS DEL PANORAMA MUNDIAL: • Price Waterhouse Coopers • Ernest and Young • KPMG - Peat Marwick • Deloitte and Touch. CASO: Arthur Andersen – Enron Corporation: Houston junio 2002 por obstruir la justicia, destruir y alterar documentos. Multa y privación de funciones. CLASIFICACIÓN
  • 6. 2. LA AUDITORIA INTERNA Realizada por un auditor o grupo de auditores empleados formalmente por la empresa. Sus funciones son ajenas totalmente a la operación de la misma Sus actividades se limitan a las directamente relacionadas con la auditoria. Los auditores internos reportan normalmente al Consejo de Administración o al presidente de éste. Las funciones del director general son objeto de evaluación por parte del auditor. CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA
  • 7. • Auditoria Integral o de Gestión: Evaluar en su totalidad los objetivos que existen en una organización (administrativa, financiera, ambiental, producto final, sistemas y energética). • Auditoria Administrativa: Evaluación de aspectos relacionados con la eficiencia y productividad de las operaciones de una empresa. • Auditoria Financiera: Emitir una opinión sobre los estados financieros de una organización, evaluación de aspectos de integridad y veracidad de la información. • Auditoría de Sistemas: Evaluar el componente tecnológico de la organización. POR OBJETIVOS QUE SE PERSIGUEN CLASIFICACIÓN
  • 8. Determinar si cumple con:  Requisitos de ley.  Los objetivos de la organización.  Un procedimiento y determinar su eficacia.  Identificar riesgos.  Mejorar la comunicación. ¿Por qué? ¿Por qué y cuándo realizar auditorías? ¿Cuándo?  Se determina de acuerdo con el riesgo.  De acuerdo con un plan preestablecido.  Hay cambios en los procesos, productos o servicios.  Por la necesidad de acciones correctivas.  De acuerdo a resultados de auditorías previas.
  • 9. • Conocimiento acerca de cómo funciona la organización. • Mejora relaciones cliente-proveedor. • Confirmación que el sistema funciona eficazmente. • Recomendaciones de mejora en la productividad y eficiencia. • Minimizar el riesgo e implementar controles. Resultados de la Auditoría.
  • 10. PROCESO GENÉRICO Planear la Auditoría Analizar y evaluar el Control Interno Aplicar pruebas de Auditoría Informar los resultados de la Auditoría Efectuar Seguimiento Supervisar el trabajo de Auditoría Retroalimentación COBIT MASSOFT AS/NZ 4360 CMMI PMBOK SOX LOPD ISO NIST MAGERIT METRICA V.3 COSO
  • 11. PROCESO RIESGOS Y CONTROLES 10. Informe de Auditoria (Conclusiones y Recomendaciones). 1.Planeación 2.Levantamiento De Información 3.Determinación de Riesgos 4.Clasificación de Riesgos 5.Evidencia de Controles 6.Análisis de Riesgos Reales 7.Análisis de Consecuencias 8. Recomenda- ciones 9.Informe Preliminar
  • 12. ESTABLECER VIABILIDAD DEL TRABAJO DE AUDITORIA. Acordar con el auditado: • Alcance (tiempo, costo, recursos) • Objetivos de la auditoría (total, parcial, proceso). • Tipo de auditoría (proceso, producto o servicio, registro-legal, sistemas) • Profundidad de la auditoría (nivel de detalle). • Las condiciones generales del mismo (ambiente de trabajo). • Manejo de autoridad, confidencialidad. Visita de Preauditoría: Adquirir un conocimiento general. • Objetivos estratégicos • Características de negocio • Infraestructura tecnológica • Sistemas de información • Áreas de riesgo PROCESO GENÉRICO
  • 13. 1. PLANEAR LA AUDITORIA. Con los requerimientos, realizar un trabajo de planeación: • Determinar tipo de procedimientos de revisión • Personal responsable del desarrollo de las actividades • Fechas y duración del proceso de auditoría. PROCESO GENÉRICO
  • 14. Determinar tipo de procedimientos de revisión. ORGWARE LIVEWARE SOFTWARE HARDWARE OBJETIVOS DEL NEGOCIO 1. SO, LP, BdD, R y C. 2. Fuentes, Pruebas. 3. Riesgos y Controles. 1. SO, LP, BdD, R y C. 2. Capacidad. 3. Continuidad. 1. Hallazgos, Riesgos, Controles, Consecuencias. 2. Recomendaciones. MASSOFT: 1. Misión, Visión, Objetivos. 2. Políticas, normas (int-ext). 3. Proceso Vs Aplicación. 1. Cultura Organizacional. 2. Funciones. 3. Competencias.
  • 15. Auditoría en TI Telecomuni- caciones Procesamiento electrónico de datos Administraciónde Empresas T.G.S Métodos Numéricos Finanzas y contabilidad Sistemas de Información Com portam iento Hum ano Personal responsable del desarrollo de las actividades:
  • 16. Fechas y duración del proceso de auditoría. Id EDT Hito Nombre de tarea Duración Comienzo Fin 1 1 Sí FASE0 - ACTIVIDADES HITO 193 días mié 15/03/06 lun 11/12/06 2 1.1 Sí Inscribir hoja vida en CVLAC 0 días lun 20/03/06 lun 20/03/06 3 1.2 Sí Registro de Grupo en GRUPLAC 0 días lun 11/12/06 lun 11/12/06 4 1.3 Sí Reunión 01 Fase 1 Marzo 15 0 días mié 15/03/06 mié 15/03/06 5 1.4 Sí Reunión 02 Fase 1 Marzo 29 0 días lun 29/05/06 lun 29/05/06 6 1.5 Sí Reunión 03 Fase 1 Abril 19 0 días mié 19/04/06 mié 19/04/06 7 1.6 Sí Reunión 04 Fase 1 Mayo 10 0 días mié 10/05/06 mié 10/05/06 8 1.7 Sí Reunión 05 Fase 1 Mayo 31 0 días mié 31/05/06 mié 31/05/06 9 1.8 Sí Reunión 06 Fase 1 Junio 21 0 días mié 21/06/06 mié 21/06/06 10 2 No FASE I - EPISTEMOLOGICA 85 días jue 23/02/06 mié 21/06/06 11 2.1 No Actividad 1 Solicitud Compra Materiales 15 días jue 23/02/06 mié 15/03/06 12 2.1.1 No Normas (Cobit - ISO) 15 días jue 23/02/06 mié 15/03/06 13 2.1.2 No 1 Pc 15 días jue 23/02/06 mié 15/03/06 14 2.1.3 No 1 Impresora 15 días jue 23/02/06 mié 15/03/06 15 2.1.4 No Papeleria 15 días jue 23/02/06 mié 15/03/06 16 2.1.5 No Transporte 15 días jue 23/02/06 mié 15/03/06 17 2.2 No Actividad 2 Organización Equipos de Trabajo 6 días mié 08/03/06 mié 15/03/06 18 2.2.1 No Estrategias 6 días mié 08/03/06 mié 15/03/06 19 2.2.2 No Metodologías 6 días mié 08/03/06 mié 15/03/06 20 2.2.3 No Monitoreo Cronograma, Costos, Riesgos 6 días mié 08/03/06 mié 15/03/06 21 2.3 No Actividad 3 Análisis y Diseño Instrumentos de Investigación21 días mié 08/03/06 mié 05/04/06 22 2.3.1 No Tablas, Comparaciones, Formatos, Encuestas, Entrevistas21 días mié 08/03/06 mié 05/04/06 23 2.4 No Actividad 4 Análisis Normas y Documentación 35 días jue 16/03/06 mié 03/05/06 24 2.4.1 No Análisis (Cobit, ISO y Documentos) 15 días jue 16/03/06 mié 05/04/06 25 2.4.2 No Comparar Análisis 15 días jue 06/04/06 mié 26/04/06 26 2.4.3 No Informe Resultados 5 días jue 27/04/06 mié 03/05/06 15/03 20/03 15/03 L M X J V S D L M X J V S D L M 06 mar '06 13 mar '06 20 mar '06
  • 17. 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Obtener información sobre los procedimientos de control. El control interno informático controla diariamente todas las actividades de sistemas de información para que sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección Informática, así como los requerimientos legales. Por medio de:  Entrevistas  Observación Directa  Inspección Documental Documentar para usar como referencia y como fuente de consulta. PROCESO GENÉRICO
  • 18. 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Funciones del control interno:  Definir procedimientos de control.  Control de la seguridad física y lógica.  Control del entorno de análisis, diseño, desarrollo, producción y mantenimiento de los sistemas de información.  Control de datos.  Control de soportes magnéticos y físicos.  Control de calidad de los servicios.  Control de costos.  Control de licencias e inventarios.  Control de cambios de HW y versiones de SW.  Vigilancia del cumplimiento de normas y controles. PROCESO GENÉRICO
  • 19. 3. APLICAR PRUEBAS DE AUDITORIA. Técnicas con el propósito de evaluar el funcionamiento de los componentes tecnológicos. Evaluación de: • Capacidad para manejar altos volúmenes de transacciones del computador. • Velocidad y consistencia de transmisión de un canal de comunicación. • Efectividad de una planta de energía alterna. • Efectividad del equipo de detección y extinción de fuego. • Eficiencia y exactitud de lectores ópticos. PROCESO GENÉRICO
  • 20. 3. APLICAR PRUEBAS DE AUDITORIA. PRUEBAS DE CUMPLIMIENTO (Orientadas a Procesos): Permiten verificar la efectividad de los procedimientos de control. Los resultados podrán ratificar o rectificar el juicio preliminar. PRUEBAS SUSTANTIVAS (Orientadas a Productos): Pueden implicar la utilización de software (Programas de Auditoría). Pruebas a la información (ACL, IDEA) Pruebas a los componentes de la infraestructura tecnológica. PROCESO GENÉRICO
  • 21. 3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: A.COMPARACIÓN DE PROGRAMAS: De código fuente, comandos de proceso entre un programa en operación y su backup en custodia. B. MAPEO Y RASTREO DE PROGRAMAS: software especializado que analiza los programas, indicando el número de veces que cada línea de código es procesada e indicando también las condiciones de las variables de memoria que estuvieron presentes. También indica las líneas de código que no se utilizan durante el proceso. Detectar "bombas de tiempo". C. ANÁLISIS DE CÓDIGO DE PROGRAMAS: Del código fuente como el código ejecutable. Verificar que el programa incluye todos los procesos requeridos por el usuario. PROCESO GENÉRICO
  • 22. 3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: D. DATOS DE PRUEBA: Controles detecten los errores. Preparar datos correctos como datos con errores predeterminados. No detecta rutinas de excepciones como un nombre “JOSE MARIA” (F o M). E. DATOS DE PRUEBA INTEGRADOS (integrases test facilities -ITF-): Crear una entidad "falsa" dentro de los sistemas de información, una sucursal, una empresa o un departamento inexistente, pero que sean procesados en forma conjunta con las transacciones reales de la compañía. F. ANÁLISIS DE BITÁCORAS: De uso equipo, accesos no autorizados, uso de recursos, procesos ejecutados, fallas del equipo, etc. G. SIMULACIÓN PARALELA. desarrollar programas que emulen a los programas de un sistema en producción e identificar diferencias entre los resultados de ambos. PROCESO GENÉRICO
  • 23. 3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: H. CÓDIGO INTEGRADO (embedded code): Incluir en los programas rutinas de auditoría y todas las veces que sea ejecutado se evaluará su control. I. ANÁLISIS DE DATOS: Almacenados en archivos o bases de datos. Se utilizan queries, comandos SQL o lenguajes de desarrollo. Objetivo determinar la razonabilidad de la información financiera. J. PROGRAMAS DE UTILERÍAS (utility programs). Emplear los propios recursos del sistema (comandos COPY, DUMP, SORT) con fines de auditoria. PROCESO GENÉRICO
  • 24. 3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Data díddling (manipulación de datos): Consiste en modificar los datos de un sistema durante su captura. Trojan Horse: Es ocultar un programa o rutinas malignas dentro de otro programa que aparenta ser "sano”. Salammi techníques: Tomar pequeñas porciones de los saldos o movimientos de cuentas y traspasarlos a una cuenta puente “falsa”. Superzapping (nombre programa utilitario de IBM): Tomar ventaja de los mecanismos de acceso de urgencia que muchos sistemas tienen. Trapdoors (puertas traseras): “Huecos' que dejan los programadores en los sistemas para facilitar la inserción de rutinas adicionales Logic Bombs (bomba lógica): Son programas o instrucciones que permanecen inactivos hasta que se presente una condición predefinida. PROCESO GENÉRICO
  • 25. 3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Extraer información que queda grabada en los archivos después de la conclusión de los procesos normales. Extraer información de los sistemas enmascarándola para que pase inadvertidamente y burle los posibles controles de detección. En telecomunicaciones interceptar la comunicación de datos mediante el acceso a las líneas de transmisión de datos. Virus informáticos: programas capaces de reproducirse y dañar en forma deliberada los recursos de una empresa. Virus Robots: Objetivo controlar su PC. Virus Modulares: Llegan por partes lo que les permite pasar por debajo del sistema operativo y antivirus, luego se arman y activan. PROCESO GENÉRICO
  • 26. 3. APLICAR PRUEBAS DE AUDITORIA. QUIENES AMENAZAN. Actos de la Naturaleza: Terremotos, Incendios, Rayos. Las Personas: Errores o Fraudes. La Tecnología: Cuando es defectuosa. (Banco Disco Duro). Los Procedimientos: Cuando no existen, no son claros y traba el SI. Las Organizaciones: No esta definida la estructura orgánica, las funciones. La Técnica de la Escoba: Escudriñar en la basura. (Embajada de Japón en Perú). Ingeniería Social: En reuniones sociales hablar de asuntos confidenciales (Colombia vs. Venezuela). PROCESO GENÉRICO
  • 27. 4. INFORMAR LOS RESULTADOS DE LA AUDITORIA. El informe incluye:  Hallazgos, Riesgos, Controles, Recomendaciones.  RNC – Reporte de No Conformidades.  RAC – Reporte Acciones Correctivas.  ROM – Reporte Oportunidades de Mejora.  Indicar su nivel de involucramiento y responsabilidad  Dependiendo de los resultados abstenerse de presentar una opinión cuando considere que no tiene elementos suficientes para sustentarla. PROCESO GENÉRICO
  • 28. 5. EFECTUAR SEGUIMIENTO. REVISION Deficiencias Oportunidades de mejora Recomendaciones emitidas por el Auditor PROCESO GENÉRICO
  • 29. 6. SUPERVISAR EL TRABAJO DE AUDITORIA. • En especial el realizado por personal con menor experiencia. • El auditor será el principal responsable de su trabajo. PROCESO GENÉRICO
  • 30. • Planificar la auditoría y elaborar documentos de trabajo. • Recolectar y analizar evidencia objetiva. • Conclusiones pertinentes y suficientes. • Acuerdo de confidencialidad. • Reportar los resultados. • Verificar la implementación de acciones correctivas. • Capacidad para dirigir un equipo auditor. • Habilidad para realizar entrevistas, presentaciones y reportes. • Diplomático, mente abierta, justo y versátil. Funciones y Competencias del Auditor
  • 31. La auditoría no transcurre de acuerdo con el plan por:  Hostilidad (problemas laborales).  Evasivas (mantener la apariencia).  Falta de cooperación (mucho trabajo).  Nerviosismo. Situaciones Difíciles de Auditoría Es importante que ni usted ni los miembros de su equipo tomen como algo personal el comportamiento pasivo o agresivo del auditado. El trato con respeto (evitar contienda verbal). Mantenerse sereno y no dejarse provocar.
  • 32. Los procedimientos de auditoria pueden ser tan variados como distintas sean las empresas y proyectos que se desarrollen. Sin embargo, existe un grupo de técnicas básicas que el auditor utiliza adecuándolas a cada caso en particular. COBIT. Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas NTC BS 7799-2:2004 Sistema de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC ISO 17799:2000 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. NTC ISO 27001:2006 TI. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC 5254:2004 Gestión del Riesgo – Referencia AS/NZ 4360:1999 PROCEDIMIENTOS
  • 33. El fraude implica la existencia de dolo y premeditación en un acto que perjudica a la empresa y beneficia al perpetrador. La auditoría no tiene como propósito la detección de fraude. Sin embargo, se espera que mediante el desarrollo de su trabajo puedan salir a la luz situaciones irregulares que ameriten la atención de la empresa. SU RELACION CON LOS FRAUDES
  • 34. Un error representa un acto involuntario en que se incurre y que provoca una situación no deseada. La negligencia es una característica que acompaña las actividades desempeñadas por los seres humanos y que incrementa la probabilidad de ocurrencia de errores. Estudios realizados en estados unidos demuestran que la negligencia afectan en mucha mayor proporción a las empresas que los propios fraudes. En la mayoría de las ocasiones, los fraudes se efectúan una sola vez, mientras que el error es un elemento repetitivo, sobre todo y potencialmente en un ambiente de procesamiento electrónico de datos. SU RELACION CON EL ERROR
  • 35. STAKE HOLDER (“interesados”): Persona o grupo de personas que tienen interés en el buen funcionamiento de una empresa. Accionistas: Desean obtener un retorno sobre la inversión. Administración: Responsable directo de los resultados. Empleados: Lugar estable de trabajo, posibilidad de desarrollo. Proveedores: Mayor operación - mayores beneficios. COMPROMISO ÉTICO
  • 36. Clientes: Dependen de la operación de la empresa para lograr sus propios objetivos. Gobierno: Sus impuestos son una contribución indispensable para el gasto publico. Inversionistas: Adquieren acciones de la empresa a través de la bolsa de valores. La Comunidad: Impacto que dicha empresa pueda tener en la vida socio económica de la comunidad. COMPROMISO ÉTICO
  • 38. El auditor moderno con actitud proactiva y de mayor compromiso hacia sus stakeholders. Generar mayor valor agregado a sus actividades. Actualizar e incorporar los conocimientos. CONCLUSIONES
  • 39. Reingeniería de la Auditoría Informática, SOLÍS MONTES Gustavo Adolfo. Editores S.A. de C.V., México D.F. ISBN 970-92177-0-4 Manual de Habilidades para Auditoría, MALLEN David y COLLINS Christine. ICONTEC, Bogotá D.C. Colombia. ISBN 958-9383-37-8. Auditoría Informática, PIATTINI Mario y DEL PESO Emilio. Alfaomega, Madrid España. ISBN 958-682-455-1 Guía de Auditoría, LARRY Bailey y HOLZMAN Oscar. Editores Harcourt Brace Madrid, España. ISBN 84-8174-383-6 Auditoría Integral, ORTIZ José Joaquín y ORTIZ Armando. Editorial Kimpres Ltda, Bogotá D.C. Colombia. BIBLIOGRAFÍA