460 likes | 1.67k Views
Auditoría de Sistemas. Administración de recursos Ing. En sistemas de Información FRBA - UTN - ARGENTINA 2010. Auditoría de Sistemas. Contenido Concepto Objetivos Justificación Tipos de auditoría Evidencia de auditoría Normas de auditoría Control Interno Riesgos de auditoría
E N D
Auditoría de Sistemas Administración de recursos Ing. En sistemas de Información FRBA - UTN - ARGENTINA 2010
Auditoría de Sistemas Contenido • Concepto • Objetivos • Justificación • Tipos de auditoría • Evidencia de auditoría • Normas de auditoría • Control Interno • Riesgos de auditoría • Fases de la auditoría
Auditoría de Sistemas • Concepto “La auditoría de sistemas es la parte de la auditoria interna que se encarga de llevar a cabo la evaluación de normas, controles, técnicas y procedimientos que se tienen establecidos en una empresa para lograr confiabilidad, oportunidad, seguridad y confidencialidad de la información que se procesa a través de computadores; es decir, en estas evaluaciones se está involucrando tanto los elementos técnicos como humanos que intervienen en el proceso de la información”
Concepto Auditoría de Sistemas
Auditoría de Sistemas 2-Objetivos
Auditoría de Sistemas Objetivos específicos • Evaluar la intervención de la auditoría en el desarrollo, implementación y mantenimiento de aplicaciones. • Evaluar las políticas y criterios para la adquisición y/o desarrollo del software. • Evaluar los riesgos y fraudes de mayor incidencia al interior de la empresa. • Examinar la documentación y los procedimientos existentes para determinar su actualización y efectividad. • Constatar si el personal se encuentra capacitado para aplicar controles y procedimientos de seguridad.
Auditoría de Sistemas Objetivos específicos • Comprobar la participación de los usuarios durante las etapas de análisis, diseño y puesta en marcha de las diferentes aplicaciones. • Evaluar los procedimientos para asignación de claves de acceso, modificaciones, cancelaciones, etc. • Revisar los estándares de producción y comprobar la calidad de la información producida. • Verificar la programación de los mantenimientos a las aplicaciones
Auditoría de Sistemas 3-Justificación
Auditoría de Sistemas 4-Tipos de auditoría • Auditoría forense: en aquellos casos que existan sospechas de fraude o actuaciones ilegales, pueden realizarse investigaciones para obtener evidencia (pruebas) utilizando herramientas informáticas para recuperar datos de forma legal de equipos informáticos utilizados por los sospechosos y posteriormente analizarlos. Este tipo de actuaciones se realiza, generalmente, por la policía, fiscalía o a instancia judicial.
Auditoría de Sistemas 4-Tipos de auditoría • Auditoría de gestión: examen de un sistema informático para evaluar si los objetivos previstos al implementar el sistema han sido alcanzados efectivamente, con criterios de economía y eficiencia. • Auditorías sobre adquisición de equipos y sistemas: dada la complejidad, su efecto en la organización y el elevado coste de los actuales sistemas informáticos, este tipo de auditorías son de realización frecuente en los auditores públicos más avanzados a nivel internacional. Existe una relativamente abundante metodología a nivel internacional sobre este tipo de trabajos
Auditoría de Sistemas 4-Tipos de auditoría • Auditoría de seguridad informática: auditoría de controles de seguridad en sistemas informáticos para evaluar la extensión en la que se mantiene la confidencialidad, integridad y disponibilidad de los datos y los sistemas, teniendo en consideración el perfil de riesgo de la entidad y de sus sistemas TI. Es una de las auditorías de mayor interés para las entidades y empresas, ya que en los complejos sistemas informatizados actuales se multiplican las potenciales vulnerabilidades de seguridad que deben ser adecuadamente cubiertas.
Auditoría de Sistemas 4-Tipos de auditoría • Auditoría de aplicaciones informáticas/sistemas de información y auditorías limitadas sobre controles generales y de aplicación: revisiones sobre los controles manuales y automatizados en un sistema informatizado, con el objetivo de evaluar el grado de confianza que puede depositarse en las transacciones procesadas y en los informes generados por el sistema.
Auditoría de Sistemas 5-Evidencia de auditoría • Concepto y naturaleza: la evidencia de auditoría es toda la información usada por el auditor para alcanzar las conclusiones sobre las que basa su opinión de auditoría, sus conclusiones y recomendaciones. La naturaleza de la evidencia está constituida por todos aquellos hechos y aspectos susceptibles de ser verificados por el auditor. • Características de la evidencia: dado que en pocas ocasiones se puede tener certeza absoluta sobre la validez de la información, el auditor, para tener una base razonable en que apoyar su informe, precisa que la evidencia tenga unas características esenciales; la evidencia debe ser: suficiente y apropiada (pertinente y fiable).
Auditoría de Sistemas 5-Evidencia de auditoría • Suficiente: evidencia suficiente es la que el auditor necesita en términos cuantitativos para obtener una seguridad razonable que le permita expresar una opinión en el informe de auditoría. Es decir, es la medida de la cantidad de evidencia. La valoración del número de elementos de prueba que se considera suficiente depende del juicio del auditor. • Apropiada: apropiada es la medida de la calidad de la evidencia de auditoría, calidad que está condicionada por la relevancia (o pertinencia) y fiabilidad (validez) de la misma. Es la característica cualitativa.
Auditoría de Sistemas 5-Evidencia de auditoría- La evidencia informática de auditoría «Evidencia informática. Información y datos contenidos en soportes electrónicos, informáticos y telemáticos, así como los elementos lógicos, programas y aplicaciones utilizados en los procedimientos de gestión del auditado. Esta evidencia informática incluirá los elementos identificados y estructurados que contienen texto, gráficos, sonidos, imágenes o cualquier otra clase de información que pueda ser almacenada, editada, extraída e intercambiada entre sistemas de tratamiento de la información, o usuarios de tales sistemas, como unidades diferenciadas.»
Auditoría de Sistemas 6-Normas técnicas de auditoria INTOSAI - Organización Internacional de Entidades Fiscalizadoras superiores ISSAI - Normas Internacionales de las Entidades Fiscalizadoras superiores ISSAI 5300-5399 Directrices de la IT auditoria:
Auditoría de Sistemas 6-Normas técnicas de auditoria The Institute of Internal Auditors GTAG - Global Technology Audit Guides • GTAG 12: Auditing IT Projects • GTAG 11: Developing the IT Audit Plan • GTAG 10: Business Continuity Management • GTAG 9: Identity and Access Management • GTAG 8: Auditing Application Controls • GTAG 7: IT Outsourcing • GTAG 6: Managing and Auditing IT Vulnerabilities • GTAG 5: Managing and Auditing Privacy Risks • GTAG 4: Management of IT Auditing • GTAG 3: Continuous Auditing • GTAG 2: Change and Patch Management Controls • GTAG 1: Information Technology Controls
Auditoría de Sistemas 6-Normas técnicas de auditoria The Institute of Internal Auditors GTAG - Global Technology Audit Guides Principios GAIT • Principio 1: la identificación de riesgos y controles generales TI será la continuación del enfoque de arriba hacia abajo basado en el análisis de riesgos utilizado para identificar cuentas significativas, los riesgos de estas cuentas y los controles clave en los procesos de negocio. • Principio 2: los riesgos y controles generales TI que deben ser identificados son los que afectan a la funcionalidad TI que sea crítica en las aplicaciones financieras significativas y los datos relacionados. • Principio 3: los riesgos y controles generales TI que deben identificarse existen en los procesos y en varios niveles TI: aplicaciones, bases de datos, sistemas operativos y redes. • Principio 4: los riesgos en los procesos TI de control son mitigados mediante el cumplimiento de los objetivos de control TI.
Auditoría de Sistemas 6-Normas técnicas de auditoria ISACA - Information Systems Audit and Control Association Normas de Auditoría de Sistemas de Información de ISACA • S1 Estatuto de auditoría • S2 Independencia • S3 Etica y normas profesionales • S4 Competencia profesional • S5 Planeación • S6 Realización labores de auditoría • S7 Reporte • S8 Actividades de seguimiento • S9 Irregularidades y acciones ilegales • S10 Gobernabilidad de TI • S11 Evaluación de riesgos en la planeación • S12 Materialidad • S13 Uso de otros expertos • S14 Evidencia de auditoría
Auditoría de Sistemas 7-Control interno «El control interno es un proceso integral efectuado por la gerencia y el personal, y está diseñado para enfrentarse a los riesgos y para dar una seguridad razonable de que en la consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales: • Ejecución ordenada, ética, económica, eficiente y efectiva de las operaciones • Cumplimiento de las obligaciones de responsabilidad • Cumplimiento de las leyes y regulaciones aplicables • Salvaguarda de los recursos para evitar pérdidas, mal uso y daño.»
Auditoría de Sistemas 7-Control interno Controles internos en entornos informatizados Los controles internos relativos a los procesos informáticos comprenden tanto los controles generales que afectan al entorno informatizado en su conjunto como los controles específicos de las distintas aplicaciones de negocio.
Auditoría de Sistemas 7-Control interno Tipos de controles • a) Controles generales: los controles generales son las políticas y procedimientos que se aplican a la totalidad o a gran parte de los sistemas de información de una entidad, incluyendo la infraestructura y plataformas informáticas de la organización auditada. • b) Controles de aplicación: dado que la mayor parte de los procesos de negocio de una entidad están soportados por aplicaciones informáticas, muchos de los controles internos están automatizados en ellas. • c) Controles de usuario: los controles de usuario son aquellos realizados por personas que interactúan con los controles de los SI. La eficacia de los controles de usuario generalmente depende de la exactitud de la información proporcionada por el sistema de información, como por ejemplo los informes de excepción u otros informes.
Auditoría de Sistemas 8-Riesgos de auditoría Posibilidad de que cualquier error, omisión o irregularidad de importancia que exista y no haya sido puesto de manifiesto por el Sistema de control interno o que no fuera a su vez detectado por la aplicación de las pruebas adecuadas de auditoria. Tipos de riesgo • Riesgo inherente: es la posibilidad inherente a la actividad de la entidad de que existan errores o irregularidades significativas en el proceso, antes de considerar la efectividad de los sistemas de control. El riesgo inherente es la tendencia de un área de Tecnología de Información a cometer un error que podría ser material, en forma individual o en combinación con otros, suponiendo la inexistencia de controles internos relacionados. • Riesgo de Control: es el riesgo por el que un error, que podría cometerse en un área de auditoría y que podría ser material, individualmente o en combinación con otros-, no pueda ser evitado o detectado y corregido oportunamente por el sistema de control interno.
Auditoría de Sistemas 8-Riesgos de auditoría • Riesgo de Detección: es el riesgo que se produce cuando los procedimientos sustantivos del Auditor Interno no detectan un error que podría ser material, individualmente o en combinación con otros. Por ejemplo, el riesgo de detección asociado a la identificación de violaciones de la seguridad en un sistema de aplicación es normalmente alto, debido a que en el transcurso de la auditoría, los registros de todo su período no se encuentran disponibles. El riesgo de detección asociado con la identificación de la falta de planes de recuperación ante desastres es normalmente bajo, dado que su existencia puede verificarse con facilidad.
Auditoría de Sistemas 9-Fases de la auditoría Las Normas Internacionales de Auditoría exigen que el auditor realice sus auditorías basándose en el risk-based approach to auditing o enfoque de auditoría basado en el análisis de los riesgos (ABAR). Esto implica tres pasos: • Evaluar el riesgo de manifestaciones erróneas significativas; • Diseñar y ejecutar los procedimientos de auditoría precisos en respuesta a los riesgos evaluados y reducir el riesgo a un nivel aceptablemente bajo, y • Emitir un adecuado informe escrito basado en la evidencia de auditoría obtenida y en las incidencias de auditoría detectadas.
Auditoría de Sistemas 9-Fases de la auditoría Etapas principales de la Auditoria • Exploración: la exploración es la etapa en la cual se realiza el estudio o examen previo al inicio de la Auditoria con el propósito de conocer en detalle las características de la entidad a auditar. Los resultados de la exploración permiten, además, hacer la selección y las adecuaciones a la metodología y programas a utilizar; así como determinar la importancia de las materias que se habrán de examinar. • Planeamiento: el trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la Auditoría a acometer. Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría.
Auditoría de Sistemas 9-Fases de la auditoría • Contenidos mínimos del plan de auditoría: • Definición de los temas y las tareas a ejecutar. • Nombre del o los especialistas que intervendrán en cada una de ellas. • Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración hasta la conclusión del trabajo. • Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando como mínimo: • Nombre del especialista. • Definición de los temas y cada una de las tareas a ejecutar. • Fecha de inicio y terminación de cada tarea. • Cualquier ampliación del término previsto debe estar autorizada por el supervisor u otro nivel superior; dejando constancia en el expediente de Auditoría. • Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual de cada especialista, pueden incluirse en un solo documento en atención al número de tareas a ejecutar, cantidad de especialistas subordinados, etc.
Auditoría de Sistemas 9-Fases de la auditoría Etapas principales de la Auditoria • Supervisión: el propósito esencial de la supervisión es asegurar el cumplimiento de los objetivos de la Auditoría y la calidad razonable del trabajo. Asimismo, debe garantizar el cumplimiento de las Normas de Auditoría y que el informe final refleje correctamente los resultados de las comprobaciones, verificaciones e investigaciones realizadas. • Ejecución: el propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo de campo, esta depende grandemente del grado de profundidad con que se hayan realizado las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota, instrumentos que respaldan excepcionalmente la opinión del auditor actuante.
Auditoría de Sistemas 9-Fases de la auditoría Etapas principales de la Auditoria • Informe: en esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el trabajo realizado. La elaboración del informe final de Auditoría es una de las fases más importante y compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección. • El informe de Auditoría debe cumplir con los principios siguientes: • Que se emita por el jefe de grupo de los auditores actuantes. • Por escrito. • Oportuno. • Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de entender. • Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a hallazgos relevantes con evidencias suficientes y competentes. • Que refleje una actitud independiente. • Que muestre la calificación según la evaluación de los resultados de la Auditoría. • Distribución rápida y adecuada. • .
Auditoría de Sistemas 9-Fases de la auditoría Etapas principales de la Auditoria • Seguimiento: en esta etapa se siguen, como dice la palabra, los resultados de una Auditoría, generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria. Técnicas y Herramientas de trabajo • Análisis de la información recabada del auditado. • Cruzamiento de las informaciones anteriores. • Entrevistas. • Simulación. • Muestreos. • Cuestionarios. • Cuestionario Checklist. • Simuladores (Generadores de datos). • Paquetes de auditoría (Generadores de Programas).
Auditoría de Sistemas Bibliografía Alonso Tamayo Alzate, Auditoría de sistemas. Una visión practica. Universidad Nacional de Colombia Antonio Minguillón Roy, La Auditoría de sistemas de Información integrada en la auditoría Financiera.