2. Concepto de Auditoria
• Las normas de Auditoria del IMCP nos dicen:
“La auditoria no es una actividad meramente
mecánica que implique la aplicación de ciertos
procedimientos cuyos resultados, una vez llevados
a cabo, son de carácter indudable. La auditoria
requiere el ejercicio de un juicio profesional, sólido
y maduro, para juzgar los procedimientos que
deben de seguirse y estimar los resultados
obtenidos”.
3. Concepto de Informática
• Ciencia del Tratamiento sistemático y
eficaz, realizado especialmente mediante
maquinas automáticas, de la información
contemplada como vehiculo del saber
humano y de la comunicación en los
ámbitos técnico, económico y
social.(1966)
4. Concepto de Informática
• Aplicación racional, sistemática de la
información para el desarrollo económico,
social y político. (1975 UNESCO)
• Ciencia de los Sistemas Inteligentes de
Información. (1977 AMI)
• Confusión entre Datos e Información
5. Tipos de Auditoria
• Auditoria Contable/Financiera
• Auditoria Administrativa
• Auditoria de Calidad
• Auditoria Fiscal
• Auditoria Ambiental
• Auditoria Informática
• Etcétera
7. Auditoria con Informática
• Mejor conocido como Auditorias asistidas
por computadora, el uso de la herramienta
permite ampliar la cobertura del examen,
reduciendo costos/tiempo de las pruebas y
procedimientos de muestreo.
• Entre sus técnicas se encuentran: pruebas
integrales, simulación, revisiones de acceso,
operaciones en paralelo, evaluación de un
sistema de datos de prueba, registros
extendidos, entre otros.
8. Control Interno
Los objetivos básicos del CONTROL INTERNO de
acuerdo al Boletín E-02 del IMCP son:
• La protección de los activos de la empresa.
• La obtención de información financiera veraz,
confiable y oportuna.
• La promoción de la eficiencia en la operación
del negocio.
• Lograr que en la ejecución de las operaciones
se cumplan políticas establecidas por los
administradores de la empresa.
9. Auditoria en Informática
• Es la revisión y evaluación de controles,
sistemas y procedimientos de la función
de informática, de los equipos de
computo, su utilización, eficiencia y
seguridad; garantizando una utilización
más eficiente, confiable y segura de la
información que servirá para una
adecuada toma de decisiones.
10. Perfil del Auditor
• Conocimientos
• Capacidades / Habilidades
• Valores
• Actitudes
• Tarea y construcción en clase.
11. Código de Ética /
Deodontología del Auditor
• Ver lectura y realizar propuesta en clase.
• Deontología .- Con este término se hace referencia a la
rama de la Ética (parte de la filosofía que trata de la moral y de las
obligaciones del hombre) cuyo objeto de estudio son los
fundamentos del deber y las normas morales. Se refiere a un
conjunto ordenado de deberes y obligaciones morales que tienen
los profesionales de una determinada materia. También conocida
bajo el nombre de "Teoría del deber”.
12. ¿La razón para auditar
informática?
• Asegurar la eficiencia y eficacia en los
procesos de la AFI.
• Diagnosticar el estado que guarda la AFI.
• Asegurar la continuidad en las
operaciones.
• Apoyo en la calidad de la AFI.
• Establecimiento de Políticas, Controles y
Procedimientos de AFI.
13. ¿La razón para auditar
informática?
• Orientar el cumplimiento de estándares
definidos a nivel nacional e internacional.
• Asesorar a los administradores de
informática para una mejora continua.
14. ¿Qué es la metodología de
Auditoria en Informática (MAI)?
• Un camino estructurado de forma lógica para el
éxito de proyectos de Auditoria en Informática
(AI).
• Especifica el Qué, Cómo, Cuándo y Quién.
• Clarifica:
– Roles y responsabilidades
– Requerimientos para el logro exitoso del proyectos de
AI.
– Etapas
– Tareas y productos terminados (por etapa y proyecto)
15. ¿Qué elementos complementan la
metodología?
1. Técnicas
– Documentación
– Análisis
– Observación /
Inspección
– Muestreo
– Entrevistas
– Análisis Costo /
Beneficio
– Control de Proyectos
2. Herramientas
– Software de oficina
– Aplicaciones
– Hardware
– Comunicaciones
– CAATS (Computer
Assisted Audit
Techniques )
– Control de Proyectos
16. ¿Qué elementos complementan la
metodología?
3. Recomendaciones de Asociaciones
Profesionales
– AMAI (Asociación Mexicana de Auditores en
Informática)
– ISACA (Informations Systems Audit and
Control Association Capitulo México)
– IMCP (Instituto Mexicano de Contadores
Públicos)
– THEIIA ( THE Institute of Internal Auditors )
17. Metodología de Auditoria en
Informática
1. Diagnóstico
– Negocio
– Informática
2. Justificación
– Áreas a auditar
– Plan Propuesto
3. Adecuación
– Método-Técnicas
– Herramientas
4. Formalización
– Aprobación
– Arranque
5. Desarrollo
– Entrevistas
– Observaciones
– Recomendaciones
– Informe Final
6. Implantación /
Seguimiento
– Acciones
– Seguimiento
18. DIAGNOSTICO
Información requerida
• Negocio
– Misión, Objetivos, Estrategias
– Funciones del Negocio
– AFI.
– Proyectos
– Imagén de Informática
Consideraciones:
– No sobre analizar
– Evaluar servicios externos
– Proceso rápido y objetivo
– Entrevista con Altos Niveles
Productos Terminados
• Fortalezas y Debilidades
• Admon. y organización
• Grado de Satisfacción
• Presupuestos
• Expectativas y requerimientos
• Tendencias
• Proyectos Actuales y Futuros
de Informática
19. DIAGNOSTICO
Información Requerida
• Informática
– Procesos de Gestión
– Productos
– Servicios
– Control Interno
– Imagén de Informática
– Outsourcing
– Auditorias Previas
Consideraciones:
– No sobreanalizar
– Evaluar servicios externos
– Proceso rápido y objetivo
– Entrevista con Altos Niveles
Productos Terminados
• Procesos ( Políticas / Procesos /
Mejores Prácticas)
• Administración y Organización
• Grado de Satisfacción
• Presupuestos
• Plan de Informática
• Respeto al Control Interno
• Proyectos Actuales y Futuros de
Informática
20. JUSTIFICACION
Información Requerida
• Diagnóstico
– Negocio
– Informática
– Área de oportunidad
• Inventarios
– Hardware
– Software
– Aplicaciones
– Usuarios / Áreas
• Datos Complementarios
– Auditoria Previas
– Medio Ambiente Tecnológico
– Planes de Auditoria
– Entrevistas adicionales a usuarios
claves del negocio
– Visita a Centros de Computo
Productos Terminados
• Plan de Auditoria
– Etapas
– Tareas
– Productos Terminados
– Responsables
– Involucrados
• Áreas de oportunidad
• Matriz de riesgos
– Áreas de Auditar
– Componentes
Consideraciones
• Valida Responsable del Proyecto
• Estimar proceso de Adecuación a
la Empresa
21. ADECUACION
Información Requerida
• Diagnóstico
– Negocio
– Informática
• Justificación
– Áreas de oportunidad
– Matriz de riesgos
– Plan General del Proyecto
– Compromiso Inicial
Consideraciones
– Proceso rápido y objetivo
– Entrevista con Altos Niveles
Productos Terminados
• Objetivos y Requerimientos de
éxito para la Auditoria
• Plan del Proyecto Actualizado y
Detallado
– Etapas y Tareas
– Responsables e Involucrados
– Productos Terminados
– Revisiones
– Fechas de Auditoria
• Componentes de cada área
seleccionada
• Definir y/o actualizar estándares,
políticas y procedimientos por
áreas
• Cuestionarios por áreas
22. FORMALIZACION
Información Requerida
• Diagnóstico
– Negocio
– Informática
• Justificación
• Adecuación
• Prioridades del Negocio
Consideraciones
– Aprobación formal de
Dirección
– Proceso Rápido
– Compromiso de los
involucrados
Productos Terminados
• Plan aprobado
– Adecuaciones
– Vo. Bo. Por escrito
– Compromiso de los Ejecutivos –
Kick Off
• Difusión formal a:
– Informática
– Usuarios
– Externos
– Auditoria
23. DESARROLLO
Información Requerida
• Justificación
– Matriz de Auditoria
– Plan de Auditoria de Informática
Propuesto
• Requerimientos por área que se
auditara:
– Técnicas de auditoria
– Herramientas
– Cuestionarios / Entrevistas
– Controles, Objetivos - AMAI
• Otras fuentes
– Información técnica
– Normas y procedimientos
recomendados por IMCP
Productos Terminados
• Áreas auditadas por:
– Entrevistas
– Cuestionarios
– Visitas
– Observación
• Informe Final:
– Observaciones
– Recomendaciones
– Áreas de oportunidad
– Acciones inmediatas
– Plan de Implantación
Consideraciones
– Proceso más largo y
documentado
– Plantar soluciones no problemas
– Alta involucración de informática
24. IMPLANTACION / SEGUIMIENTO
Información Requerida
• Desarrollo
– Informe Final
– Plan de Implantación
• Sugerencias de Auditoria
Tradicional
Productos Terminados
• Implantación de:
– Acciones inmediatas
– Acciones a corto, mediano y largo
plazo
• Seguimiento:
– Aseguramiento de la Calidad
– Informe de Avance
– Sugerencias
Consideraciones
– Alta involucración de informática y
de los usuarios en la implantación
– Auditoria debe dar seguimiento
oportuno y orientarse a la calidad
25. ETAPA DIAGNOSTICO
• Diagnóstico del Negocio: Alta Dirección y
Áreas Usuarias
• Diagnóstico de Informática: Responsables
de la Función
26. METODOLOGIA PARA LA AUDITORIA EN
INFORMATICA: ETAPA DIAGNOSTICO
ETAPA TAREAS PRODUCTOS RESPONSABLE INVOLUCRADOS
Diagnóstico
Preliminar
1. Diagnóstico del
Negocio
1.1 Misión y Objetivos del
Negocio
1.2 Organización del
Negocio
1.3 Grado de Apoyo al
Negocio
LP / RAI
LP / RAI
LP / RAI
AD
AD
AD / PU
2. Diagnóstico de
Informática
2.1 Misión y Objetivos de
la Función de Informática
2.2 Organización de
Informática
2.3 Control Interno
(Formalidad)
2.4 Productos y Servicios
LP / RAI
LP / RAI
LP / RAI
LP / RAI
RI
RI
RI / PI
RI
3. Diagnóstico de
áreas de
oportunidad
3.1 Áreas de Oportunidad
para mejoras inmediatas
LP / RAI AD / PU / RI
Nomenclatura: AD=Alta Dirección , PU=Personal Usuario, RI= Responsable del área de informática
PI=Personal de Informática, LP=Lider de Proyecto, RAI=Responsable del Área de Auditoría
Informática
27. Diagnóstico del Negocio: Alta
Dirección y Áreas Usuarias
• Apoyo al Negocio
– Apoyo a la Alta Dirección ( Por ejemplo: Sistemas de Información
Estratégica, Tecnología).
– Apoyo a las Gerencias (Sistemas de Información Integrales,
Tecnología, entre otros).
– Apoyo a niveles operativos ( Sistemas de Información Básico o de
Transacciones, Tecnología, entre otros).
– Debe de conocer:
• Participación de Informática en los proyectos claves del negocio.
• Difusión de las Políticas y Planes de Informática en los niveles estratégicos,
tácticos y operativos del negocio.
• Imagen de Informática ante la Alta Dirección y los responsables de cada
área del negocio.
• Grado de satisfacción de los servicios prestados por informática.
• Expectativas que tiene el Negocio referentes a Informática.
• Fortalezas de Informática.
• Debilidades de Informáticas.
• Áreas de Oportunidad
28. Diagnóstico del Negocio: Alta
Dirección y Áreas Usuarias
• Áreas de oportunidad
– Reubicación de la FI en la estructura organizacional.
– Capacitación a los niveles ejecutivos o a los usuarios
de las aplicaciones instaladas.
– Actualización tecnológica (infraestructura / software /
seguridad/ etc.).
– Sistematización de algunas áreas del negocio.
– Apoyo en proyectos de comercio electrónico para
expandir ventas y puntos de servicios.
– Formalización y divulgación de políticas y planes de
informática en el negocio.
29. Diagnóstico de Informática:
Responsables de la FI
Servicios a evaluar:
• Implantación de soluciones de información. Desarrollo de SI.
Compras y adecuación de aplicaciones desarrolladas por terceros.
Bases de Datos.
• Evaluación, adquisición, instalación y reemplazos de: Cómputo /
software / equipos de telecomunicaciones / lenguajes de
programación.
• Mantenimiento de : SI / Bases de Datos / Cómputo / LANs y WANs.
• Soporte a Usuarios. Capacitación / asesoria técnico y funcional.
• Investigación.
– Tecnología ( equipos de cómputo, comunicaciones, CASE, EDI, etc.).
– Aplicaciones en el mercado.
• Planeación de Informática
• Auditoria en Informática / Soporte a la Alta Dirección
30. Diagnóstico de Informática:
Responsables de la FI
• Áreas de oportunidad.
– Capacitación o actualización profesional del personal de
informática.
– Creación y difusión de nuevos servicios de informática para el
negocio.
– Reubicación de la función de informática en la estructura
organizacional.
– Capacitación a los niveles ejecutivos o a los usuarios claves en
relación a las aplicaciones y SI en operación.
– Actualización Tecnológica.
– Sistematización de algunas áreas del negocio
– Creación de algún comité de informática.
– Formalización y divulgación de políticas y planes de informática
en el negocio.
31. Etapa de Justificación
Productos Terminados:
•Matriz de Riesgos
•Plan General de la Auditoria en Informática
•Compromiso Ejecutivo
32. Etapa de Justificación
Tareas Producto Responsable Involucrados
1. Realizar Matriz
de Riesgos
Matriz de Riesgos LP / AI RAI
2. Justificar la
auditoria por
c/área de revisión
Justificar la Matriz
de Riesgos
LP / AI RAI
3. Hacer un Plan
General de
Auditoria en
Informática
Plan General de la
Auditoria
LP RAI / AI
4. Aprobación del
Plan
Plan Aprobado LP RAI / RI
33. Etapa de Justificación
Matriz de Riesgos
• Debilidades que pueden motivar la auditoria de un SI
• Clasificación de riesgos que representa el uso de
hardware y software
• Evaluación del nivel de riesgo que representa el uso
inadecuado de los productos y servicios por el personal
de informática y usuarios dentro de la organización
• Evaluación de los estándares de telecomunicaciones,
comercio electrónico, adquisición e implementación de
un sistema ERP, automatización de procesos, etc.
34. Etapa de Justificación
Matriz de Riesgos
• Clasificación de los riesgos según criterios
establecidos por la función de Auditoria en
Informática
• La existencia de una matriz de riesgo previa en
donde se muestren las áreas de la AFI
susceptibles de una revisión.
• Prioridades fijadas por la Alta Dirección como
una estrategia de negocio y no necesariamente
coincidentes con las prioridades de AFI
35. Etapa de Justificación
Plan General de la Auditoria en Informática
• Se deriva de los siguientes elementos:
– Áreas de oportunidad / Matriz de Riesgos
– Prioridades de la Alta Dirección, de Auditoria, de
Informática, entre otros.
• El plan elaborado debe de ser general, ya que
solo busca plantear los datos básicos para que
la alta dirección los analice y apruebe.
• El plan debe de indicar Objetivos por área a
auditar o bien objetivos generales,
requerimientos por área a auditar y tiempo por
actividad o tarea.
36. Etapa de Justificación
Compromiso Ejecutivo
• Presentación del Plan con la información de
soporte requerida bien documentada y validada
con los principales involucrados.
• Lograr que la alta dirección tome conciencia del
compromiso requerido de su parte para
culminación exitosa del proyecto.
• Recibir una aprobación formal del plan general
(FIRMA).
• El líder del proyecto debe indicar fechas de
inicio y terminación estimadas.
37. Etapa de Adecuación
Productos Terminados
• Solicitudes de Actualización del Plan
General
• Plan Detallado del Proyecto de Auditoria en
Informática
38. Etapa de Adecuación
Elaborar una bitácora de cambios al plan
general que contemple:
• Cambio / Motivo del cambio / Responsable de
solicitar el cambio
• Tareas o fechas que afecta / Área (s) por
evaluar afectadas por el cambio
• Responsable de aprobar el cambio / Fecha de
Cambio / Versión del Plan
• Otros que el auditor en informática considere
necesarios
39. Etapa de Adecuación
Plan Detallado del Proyecto de Auditoria en
Informática Actualizado
• Realizar los ajustes al Plan Inicial, determinando
las nuevas tareas y productos terminados en
conformidad con los cambios solicitados.
• Presentar el Plan Actualizado, Revisado y
Detallado a la Alta Dirección.
• Aprobación del Plan Actualizado.
• Compromiso Ejecutivo
41. Etapa de Formalización
• Socializar con cada una de las áreas
involucradas, el alcance y los objetivos de la
A.I.(Reuniones de Trabajo).
• Elaboración de una programa de entrevistas con
los involucrados, indicando fechas de
entrevistas, visitas y aplicación de cuestionarios.
• Compromiso por parte de los responsables de
cada una de las áreas involucradas
42. Etapa de Desarrollo
Productos Terminados:
• Análisis de Cuestionarios
• Análisis de Entrevistas
• Análisis de Evidencias
• Informe de Visitas de Verificación
• Informe Preliminar
43. Etapa de Desarrollo
Tareas a realizar:
• Concertar citas
• Verificar Tareas e involucrados
• Clasificar técnicas, cuestionarios y
herramientas a utilizar de acuerdo al
tamaño, tipo y riesgos del negocio.
• Efectuar Entrevistas
44. Etapa de Desarrollo
• Aplicar cuestionarios
• Efectuar visitas de verificación
• Elaborar informe preliminar acerca de las
áreas auditadas
• Revisar el informe preliminar con los
responsables de auditar cada área
• Autorizar el borrador de informe preliminar
por área y componente
45. Etapa de Desarrollo
• Efectuar entrevistas, cuestionarios y visitas
complementarias
• Elaborar informe final
• Elaborar plan de implantación general de
acciones sugeridas
• Aprobar informe y plan de implantación
• Presentación de informe y plan aprobados a
Dirección General
• Aprobación de Dirección General