Trabajo #1. auditoria de sistemas. juan noriega. 19.088.735
Auditoria informatica-sesion-1
1. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Auditoría Informática
Sesión 1:
Introducción a la auditoría
MBA Ing° Christian A. Dios Castillo
Trujillo - Perú
1
2. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Agenda
Conceptos, importancia y clasificación de auditoría.
Etapas de auditoría.
Normas generales.
Estrategias y herramientas generales.
Casos prácticos.
Conclusiones.
2
3. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Conceptos, importancia
y clasificación de auditoría
3
4. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Elementos Básicos de la Administración.
1. Planeamiento.
2. Organización.
3. Dirección.
4. Coordinación e Integración.
5. Control.
4
5. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Conceptos de Auditoría
• La Auditoría Administrativa se ocupa de la calidad de
la administración.
• Está diseñada para evaluar la efectividad de la
administración en el cumplimiento de sus tareas
asignadas:
– El cumplimiento de los objetivos organizativos
por parte de la Gerencia.
– El cumplimiento de sus funciones de planeación,
organización, dirección y control.
5
6. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Importancia de la Auditoría
La razón principal para llevar a cabo una auditoría
es la necesidad de detectar y superar las deficiencias.
Por lo tanto, el auditor tiene la obligación de
detectar debilidades e indicar alternativas de solución.
6
7. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Clasificación de la Auditoría
Por su naturaleza:
• Auditoría Administrativa u Operativa.
• Auditoría de Gestión.
• Auditoría a la Información Presupuestaria.
• Auditoría de Estados Financieros.
• Auditoría Tributaria.
• Auditoría de Sistemas Informáticos.
• Auditoría Ecológica o Ambiental.
• Auditoría Integral.
• Exámenes Especiales.
7
8. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Clasificación de la Auditoría
Por la Dependencia:
• Auditoría Interna.
• Auditoría Externa.
8
9. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Clasificación de la Auditoría
Esquema del Sistema de Auditoría referido a su
ámbito, clases y tipo de auditores.
Ámbito Clase Tipo de Auditor
Auditoría Administrativa Auditor Interno
Interna Auditoría de Gestión.
Auditoría Inf. Presup.
Auditoría de EEFF.
Auditoría Auditoría Tributaria.
Auditoría Sistemas Informáticos.
Externa Auditoría Ecológica o Ambiental. Auditor Externo
Auditoría Integral.
Exámenes Especiales.
9
10. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Definición del Auditor.
Profesional colegiado, que tiene formación,
especialización y experiencia en las técnicas de
auditoría (informática).
10
11. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Perfil Genérico del Auditor.
1.El auditor no es, ni debe esperarse que sea un perito
en todas las materias.
2.El equipo de auditoría informática está compuesto
por un staff de especialistas en cada una de las
ramas: redes de comunicación, bases de datos,
sistemas de información, aplicaciones diversas,
planes de contingencias, organización, etc.
3.La independencia mental del auditor será mayor
entre mayor sea el nivel al que reporta.
11
12. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Perfil Genérico del Auditor.
4. El auditor debe tener formación profesional, con
Postgrado y especializado en el sistema de control.
5. El auditor debe contar con amplia experiencia
profesional, a nivel de ejecutivo.
6. El auditor debe acreditar solvencia moral y ética en
su trayectoria personal y profesional.
7. El auditor debe guardar discreción profesional en
su ejercicio.
12
13. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Etapas de la auditoría
13
14. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Las etapas de un proyecto de auditoría son las
siguientes:
1.Planificación.
2.Ejecución.
3.Elaboración de informes.
La calidad de cada etapa es crucial para el logro de los
objetivos del proyecto de auditoría.
14
15. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
1.- Planificación
- El proyecto de auditoría debe planificarse
adecuadamente para asegurar su calidad.
- Debe basarse en las actividades que desarrolla la
entidad a auditar y las disposiciones legales que la
afectan.
- Los Programas de Auditoría deben incluir los
objetivos, alcances de la muestra, procedimientos
detallados, oportunidad de su aplicación y el personal
responsable de su ejecución.
15
16. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
1.- Planificación (continuación)
- Debe organizarse el Archivo Permanente (conjunto
de documentos con información de interés y de uso
continuo).
16
17. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Exposición del Plan de Auditoría al Equipo de Auditores
17
18. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
2.- Ejecución
- Debe focalizarse principalmente a las áreas críticas
de la entidad.
- Debe evaluarse el cumplimiento adecuado de las
normas técnicas informáticas.
- Debe realizarse de manera continua la supervisión de
actividades para el mejoramiento de la calidad del
proyecto y el logro de sus objetivos.
- Deben obtenerse evidencias suficientes, competentes
y relevantes que sustenten los hallazgos. 18
19. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
2.- Ejecución (continuación)
- Debe organizarse un registro completo y detallado de
la labor realizada y sus conclusiones, a través de
Papeles de Trabajo.
- Las observaciones de relevancia deben ser
comunicadas de manera formal a las autoridades de
la entidad.
19
20. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Desarrollo de los procesos de auditoría
20
21. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Desarrollo de los procesos de auditoría
21
22. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
3.- Elaboración de Informes
- Existen informes de cada especialista dentro de los
aspectos auditados: Organización, sistemas de
información, redes de comunicación de datos, planes de
contingencias, etc.
- Deben ser oportunos para que el proceso de mejora sea
inmediato.
- Deben estar en un lenguaje sencillo y preciso, tratando
los temas de manera concreta y con la documentación
sustentatoria.
22
23. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
3.- Elaboración de Informes (Continuación)
- El informe final debe indicar las conclusiones a las que
se ha llegado y las recomendaciones correspondientes.
- Cuando se evidencie la realización de actos delictivos,
debe elaborarse con celeridad un informe especial,
anexando la documentación técnica y legal
sustentatoria.
23
24. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Elaboración de informes de auditoría
24
25. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Normas Generales
De Auditoría
25
26. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Normas de Auditoría Generalmente Aceptadas –
NAGAs y Normas Internacionales de Auditoría -
NIAs.
Estas normas tienen que ver con la calidad y el juicio
profesional del auditor independiente en la realización
de una auditoría y en la emisión del informe.
Se dividen en:
a) Normas Generales de Auditoría.
b) Normas de Trabajo.
c) Normas de Preparación de Informes.
26
27. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
a)Normas Generales de Auditoría.
1. La auditoría será efectuada por profesionales que
tienen entrenamiento técnico adecuado y pericia
como auditores.
2. El auditor mantendrá independencia de criterio.
3. Debido cuidado profesional en la ejecución del
examen y en la preparación del informe.
27
28. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
b)Normas de Trabajo.
1. La auditoría será planeada adecuadamente.
2. Se estudiará y evaluará el control interno, para
determinar el alcance de las comprobaciones que
deben efectuarse mediante los procedimientos de
auditoría.
3. Se obtendrá evidencia adecuada en grado
suficiente, mediante constataciones, indagaciones
y confirmaciones, para proveer una base razonable
que permita la expresión de una opinión sobre la
gestión empresarial. 28
29. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
c)Normas de Preparación de Informes.
1. Todo informe de auditoría contendrá lo siguiente:
‾ Información introductoria.
‾ Observaciones.
‾ Conclusiones.
‾ Recomendaciones.
‾ Anexos.
29
30. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Estrategias y
Herramientas Generales
30
31. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
TÉCNICAS DE AUDITORÍA:
• Formas de acción del auditor para obtener
evidencias necesarias suficiente y competente que le
permita formarse un criterio profesional sobre lo
examinado.
• Son herramientas que emplea el auditor según su
criterio y las circunstancias.
31
32. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
TÉCNICAS DE AUDITORÍA:
Las técnicas se clasifican de acuerdo con la acción
adoptada por el auditor en el desarrollo de la acción a
efectuar:
– Técnicas de verificación orales: Indagación,
entrevistas.
– Técnicas de verificación oculares: Observación,
comparación.
32
33. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
TÉCNICAS DE AUDITORÍA:
– Técnicas de verificación escrita: Análisis,
conciliación, confirmación.
– Técnicas de verificación documental:
Comprobación, rastreo.
– Técnicas de verificación física: Conteo.
33
34. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS:
• Es el conjunto de hechos comprobados suficientes,
competentes y pertinentes que sustentan las
conclusiones del auditor.
• Es la información específica obtenida durante la labor
de auditoría a través de observación, inspección,
entrevistas y examen de los procesos informáticos.
34
35. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS:
• Las evidencias pueden ser:
– Evidencia física: Mediante inspección u
observación directa.
– Evidencia testimonial: Obtenida de otros a través
de cartas o declaraciones recibidas en respuestas a
indagaciones.
– Evidencia documental: Documentos internos de
la empresa y documentos externos.
35
36. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
– Evidencia analítica: Se obtiene al verificar la
información recibida.
36
37. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
• Las evidencias deben tener las siguientes
características:
Suficiencia:
–La evidencia será suficiente cuando por los
resultados de la aplicación de una o varias pruebas,
el auditor podrá adquirir certeza razonable que los
hechos revelados se encuentran satisfactoriamente
comprobados.
–Para determinar si la evidencia es suficiente, se
requiere aplicar el criterio profesional.
–Cuando sea conveniente, se podrá emplear métodos
estadísticos con ese propósito. 37
38. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
Competencia:
– Para que sea competente, la evidencia debe ser válida
y confiable.
– A fin de evaluar la competencia de la evidencia, el
auditor deberá considerar cuidadosamente si existen
razones para dudar de su validez o de su integridad.
– De ser así, deberá obtener evidencia adicional o
revelar esa situación en su informe.
38
39. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
Competencia:Los siguientes supuestos constituyen
criterios útiles para juzgar si la evidencia es
competente, si bien no deberán considerarse
suficientes para determinar la competencia:
–La evidencia que se obtiene de fuentes independientes
es más confiable que la obtenida del propio organismo
auditado.
39
40. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
–La evidencia que se obtiene cuando se ha establecido
un sistema de control interno apropiado es más
confiable que aquella que se obtiene cuando el sistema
de control interno es deficiente, no es satisfactorio o no
se ha establecido.
–La evidencia que se obtiene físicamente mediante un
examen, observación, cálculo o inspección es más
confiable que la que se obtiene en forma indirecta.
40
41. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
–Los documentos originales son más confiables que
sus copias.
–La evidencia testimonial que se obtiene en
circunstancias que permite a los informantes expresarse
libremente merece mas crédito que aquella que se
obtiene en circunstancias comprometedoras (por
ejemplo, cuando los informantes pueden sentirse
intimidados).
41
42. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
EVIDENCIAS (continuación):
Relevancia:
–Se refiere a la relación que existe entre la evidencia y
su uso.
–La información que se utilice para demostrar o refutar
un hecho será relevante si guarda una relación lógica y
patente con ese hecho.
–Si no lo hace, será irrelevante y, por consiguiente, no
deberá incluirse como evidencia.
–Cuando lo estimen conveniente, el auditor deberá
obtener de los funcionarios de la entidad auditada
declaraciones por escrito respecto a la relevancia y
42
competencia de la evidencia que haya obtenido..
43. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Evidencias de hallazgos: Documentarias.
43
44. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Evidencias de hallazgos: Captura de Pantallas.
44
45. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA:
• Problematización: El Juego de Gari.
¿Qué hemos visto?
Si todos hemos visto el mismo video,
¿porque hemos observado cosas
diferentes?
45
46. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA:
Es que la realidad es compleja y
relativa.
Por lo tanto, debemos hacer esfuerzos
en ser lo más objetivos.
46
47. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA:
• Es una reunión lógica de datos y una presentación
objetiva de los hechos que el auditor ha observado o
encontrado durante su examen.
• Un hallazgo debe tener ciertos requisitos:
– Importancia relativa que merezca su comunicación.
– Debe basarse en hechos y evidencias precisas que
figuran en los papeles de trabajo.
– Convincente a una persona que no ha participado en
la auditoría (“!!!Yo vi un OVNI¡¡¡”) ¿Por qué no me
creen?.
47
48. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (continuación):
• En un hallazgo deben considerarse los siguientes
factores:
– Las condiciones y circunstancias existentes al
momento en que ocurrió el hecho.
– Índole y complejidad técnica del hecho observado.
– Someter el hallazgo potencial a un análisis crítico.
– Suficientemente completo para una conclusión y/o
recomendación.
48
49. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (continuación):
• Las pasos a seguir en el desarrollo de un hallazgo
pueden ser:
– Identificación de las líneas de autoridad.
– Verificación de las causas de la deficiencia.
– Determinar si la deficiencia es un caso aislado o
tiene el problema o la condición difundida.
– Determinación de los efectos.
49
50. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (continuación):
– Obtención de comentarios de personas afectadas
por el hecho encontrado.
– Determinación de las conclusiones en base al
hallazgo.
– Determinación de posibles acciones correctivas a
modo de recomendaciones.
50
51. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (continuación):
• Los atributos de un hallazgo son:
– Condición:
Situación actual encontrada, “LO QUE ES”.
– Criterio:
La norma aplicada o unidad de medida,
“LO QUE DEBE SER”
– Efecto:
La diferencia entre “LO QUE ES” y “LO QUE
DEBE SER”.
– Causa:
Las razones de desviación “POR QUÉ SUCEDIÓ”.
51
52. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
• Los atributos de un hallazgo son:
– Condición:
De la revisión a los procesos de generación de las
copias de respaldo a la información del Sistema de
Información, se ha evidenciado que estas no son
guardadas en lugares remotos al local de la entidad.
52
53. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
• Los atributos de un hallazgo son:
– Criterio:
Esta situación contraviene a la Norma COBIT DS11.25
Almacenamiento de Respaldos, de la Fundación de
Auditoría y Control de Sistemas de Información, la
cual indica que los procedimientos de respaldo para
los medios relacionados con tecnología de
información deberán incluir el almacenamiento
apropiado de los archivos de datos, del software y de
la documentación relacionada, tanto dentro como
fuera de las instalaciones…
53
54. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
• Los atributos de un hallazgo son:
– Efecto:
La consecuencia que traería sería la pérdida
definitiva de la información, en el caso de la
ocurrencia de desastres tales como un incendio.
54
55. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
• Los atributos de un hallazgo son:
– Causa:
No se ha identificado aún el lugar destinado para
estos fines.
Cuando no se sabe con precisión la CAUSA, porque las
razones son difusas o aún no se tiene la respuesta del
auditado, este atributo no es considerado en el hallazgo.
55
56. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
Sin embargo, no son fáciles de definir:
En una entidad se evidenció que los extintores eran
demasiado pesados (20Kg) para ser utilizados por el
personal de un piso, el cual estaba conformado
íntegramente por damas. Además, los pozos a tierra no
tenían el mantenimiento adecuado para su correcto
funcionamiento.
Revisando el MOF del área informática, no se encontró
dentro de sus funciones la administración de extintores ni
pozos a tierra. 56
57. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
Pregunta:
¿Es pertinente hacer un hallazgo si el área de informática
no es la responsable de estas funciones?
De acuerdo al MOF, las áreas responsables son:
-Adm. de extintores: Dpto. de Seguridad.
-Adm. de pozos a tierra: Dpto. de mantenimiento
eléctrico.
Si estamos auditando procesos informáticos ¿porqué
tenemos que hacer hallazgos en áreas que no realizan
tareas informática? 57
58. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
HALLAZGOS DE AUDITORÍA (Ejemplo):
Respuestas: Redacte sus conclusiones.
58
59. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
LOS PAPELES DE TRABAJO DEL
AUDITOR:
Definición:
Conjunto de cédulas y documentos en los que el
auditor registra cronológicamente datos por él
formulados, la información obtenida e igualmente
el resultado de sus pruebas técnicas, métodos y
procedimientos utilizados en el desarrollo de una
auditoría.
59
60. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
LOS PAPELES DE TRABAJO DEL
AUDITOR:
Importancia:
• Historial de la labor efectuada.
• Resultado de la labor del auditor.
• Respaldo del informe del auditor.
• Deja constancia del grado de confianza del control
interno.
• Es fuente de información futura.
• Facilita la revisión y supervisión del trabajo.
• Respaldan los hallazgos de auditoría.
• Es base para la elaboración del informe.
60
61. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
LOS PAPELES DE TRABAJO DEL
AUDITOR:
Contenido:
• Programa de Auditoría.
• Cuestionarios de control interno.
• Hojas de trabajo del auditor.
• Información respectiva de la empresa.
• Confirmaciones externas.
• Notas y observaciones del auditor.
61
62. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
LOS PAPELES DE TRABAJO DEL
AUDITOR:
Una forma de Organizarlos:
Referencia
Documentación de los procesos Anexos
De auditoría
62
63. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
63
64. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Casos de Estudio
Elabora hallazgos de
auditoría
64
65. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Conclusiones
65
66. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
Luego del desarrollo de la sesión se ha llegado a las siguientes
conclusiones.
•¿Por qué es importante la auditoría informática?
•¿Cuáles son las etapas de auditoría y sus funciones?
•¿Qué características tiene un auditor?
•¿Qué técnicas de auditoría existen?
•¿Qué tipos de evidencias existen?
•¿Qué tipos características deben tener las evidencias?
•¿Qué es un hallazgo?
•¿Qué atributos tiene un hallazgo?
66
67. Ing. Christian Dios Castillo
Ing. Hobber Siccha Ayvar
Auditoría Informática
¿Preguntas
adicionales?
67