MATERIA



¿QUÉ ES AUDITORIA?
Proceso de revisión, evaluación y presentación de un informe final para la gerencia.


¿QUIÉN ES UN AUDITOR?

Persona que tiene la virtud de oir y revisar, pero debe estar encaminado a un objetivo que es de evaluar eficiencia y eficacia


¿QUÉ ES LA AUDITORIA DE SISTEMAS?

Es el examen y evaluación de los procesos del Área de procesamiento automático de datos (PAD) y de la utilización de los recursos que en ellos intervienen, para llegar a establecer el grado de eficiencia, efectividad y economía de los sistemas computarizados en una empresa y presentar conclusiones y recomendaciones encaminadas a corregir las deficiencias existentes y mejorarlas.


AUDITORIA EXTERNA
Examina y evalúa una determinada realidad por personal externo al ente auditado, para emitir una opinión independiente sobre el resultado de las operaciones y la validez técnica del sistema de control que esta operando en el área auditada

Ventajas:

·                     El trabajo del auditor es totalmente independiente y libre de cualquier injerencia por parte de las autoridades de la empresa auditada.
·                     Auditorias apoyadas por una mayor experiencia por parte de los auditores externos, debido a que utilizan técnicas y herramientas que ya fueron probadas en otras empresas con características similares.
Desventajas:

·                     La información del auditor puede estar limitada a la información que puede recopilar debido a que conoce poco la empresa.
·                     Dependen en absoluto de la cooperación que el auditor pueda obtener por parte de los auditados.
·                     Su evaluación, alcances y resultados pueden ser muy limitados.
·                     Muchas auditorias de este tipo pueden se derivan de imposiciones fiscales y legales que pueden llegar a crear ambientes hostiles para los auditores que las realizan.

AUDITORIA INTERNA
Es una función de control al servicio de la alta dirección empresarial. El auditor interno no ejerce autoridad sobre quienes toman decisiones o desarrollan el trabajo operativo, no revela en ningún caso la responsabilidad de otras personas en la organización. 

El objetivo final es contar con un dictamen interno sobre las actividades de toda la empresa, que permita diagnosticar la actuación administrativa, operacional y funcional de empleados y funcionarios de las áreas que se auditan.

Visión Global de la Auditoria de Sistemas


Reacción ante la Auditoria

·                     A nadie le justa ser evaluado
·                     Pocos comprenden la labor del Auditor
·                     Las expectativas de una auditoria no son bien atendidas
·                     Estereotipos del Auditor
·                     Comunique los beneficios de una auditoria

“La palabra auditoria proviene del latín auditorius, y de ella se deriva AUDITOR, que significa todo aquel que tiene la virtud de oír”


“La exacta observación del ambiente, la lógica implacable y la asombrosa agudeza psicológica con que Holmes reconstruye sus casos justifican sobradamente que se haya convertido en uno de los seres de ficción más <<vivos>> y populares de la literatura de todos los tiempos”


www.isaca.org
www.isaca.org.ec

El Proceso de Auditoria de Sistemas de Información


Introducción
- Organización de la Función de Auditoria de SI
·                     Estatuto de Auditoria
         - Autoridad
         - Alcance
         - Responsabilidades
·                     Aprobación del Estatuto
·                     Modificación del Estatuto

- Administración de los Recursos de Auditoria de SI
·                     Los Auditores de SI son un recurso limitado
·                     La Tecnología de SI está cambiando constantemente
·                     Los Auditores de SI deben mantener su competencia técnica
·                     La dirección de Auditoria debería:
          - Asignar recurso humano (habilidades y conocimiento)
          - Asignar recursos tecnológicos
          - Elaborar un plan de capacitación

- Administración de los Recursos de Auditoria de SI
·                     ¿Qué factores determinan cuantos auditores de SI se necesitan?

 - Planeación de la Auditoria
·                     Lograr un entendimiento de la misión, los objetivos, el propósito y los      procesos del negocio
·                     Identificar contenidos específicos (políticas, estándares y directrices                  requeridos, procedimientos y estructura de la organización)
·                     Evaluar el análisis de riesgos y todo análisis de impacto sobre la privacidad
·                     Realizar un análisis de riesgos
·                     Llevar a cabo una revisión de control interno
·                     Establecer el alcance y los objetivos de la auditoria
·                     Desarrollar el enfoque o la estrategia de auditoria
·                     Asignar recursos humanos a la auditoria y dirigir la logística de trabajo 

-Efecto de las Leyes y Regulaciones sobre la planificación de Auditoria de SI
·                     Regulaciones legales:
          - Establecimiento de los requerimientos regulatorios
          - Organización de los requerimientos regulatorios
          - Responsabilidades asignadas a las entidades correspondientes
          - Correlación con las funciones de auditoria financiera, operacional y de TI  
·                     Áreas de Interés:
    - Requerimientos legales (leyes, acuerdos regulatorios y contractuales)                             aplicables a la Auditoria de SI.
     - Requerimientos legales aplicables al auditado y a sus sistemas, administración           de datos, informes, etc.  
·                     Pasos para determinar el cumplimiento con los requerimientos externos:
          - Identificar los requerimientos gubernamentales u otros externos relevantes
          - Documentar las leyes y regulaciones pertinentes
     - Determinar si la administración y la función de SI han considerado los                              requerimientos externos relevantes
          - Revisar los documentos internos del departamento de SI que se ocupan del cumplimiento de las leyes que le son aplicables
          - Determinar el cumplimiento con los procedimientos establecidos   

CASO ENRON:
Antecedentes

         1985.
         Actividades iniciales exitosas en conducción de gas natural y electricidad.
         Comercializadora de energía más poderosa del mundo.
         Se lanza a los mercados de carbón, papel, acero, agua.
         Gozaba de gran prestigio y gran crédito gracias al enorme poderío que le daba su capitalización en el mercado.


         1999 funda Enron online.
         Lo más valioso, sus acciones.
         En Agosto de 2000 alcanza el mayor valor de venta de sus acciones ($90.56).
         Ocupaba el lugar No. 7 en la lista de las 500 empresas más importantes de EE.UU (Fortune).

CASO ENRON:

En picada

         Compensaciones excesivas a altos ejecutivos y socios.
         Despilfarro de fondos por las grandes contribuciones a la financiación de campañas políticas.
         Posibles sobornos.
         Recursos mal empleados por la dirección.
         Inversiones torpes y poco planificadas.


         En Marzo de 2001 la cotización por acción baja a $60.00.
         Incursiona con un rotundo fracaso en el terreno de las telecomunicaciones.
         En el tercer trimestre de 2001 reporta una pérdida de más de $1000 millones.
         El 2 de Diciembre de 2001 la empresa se declara en suspensión de pagos.
         Despide a más de 4.500 empleados.
         El valor por acción cae a menos de 26 centavos.
         Deja de cotizar por rebasar el límite inferior de $1.
         La compañía acumula deudas de más de $30.000 millones.
         Pierde a su Vicepresidente ejecutivo por suicidio.

¿Dónde estaban los auditores?



         Arthur Andersen fue una de las firmas auditoras más importantes del mundo.

         Enron era el segundo cliente más importante de AA.
         El trabajo de AA para Enron superaba los $50 millones anuales.
         Si AA hubiese hecho sonar el silbato en su momento ante las dudosas transacciones financieras, Enron se habría visto obligada a poner freno al crecimiento descontrolado de su deuda.


CASO ENRON:
Responsabilidades



      Comportamientos despiadados y completamente inmorales imperaban en los niveles superiores de la dirección (desenfreno y avaricia).
         Prácticas habituales de ocultar enormes deudas, engaño a los accionistas sobre la posición de liquidez.

         Gran cantidad de “auto-operaciones”.

         La firma AA destruyo papeles y archivos electrónicos correspondientes a las auditorias (1997-2000).
         La actuación de AA dio origen a una demandada de las autoridades por obstrucción a la justicia, destrucción y alteración de documentos.


CASO ENRON:
El fin

         La gran estafa de Enron a sus empleados y accionistas concluyó en penas de cárcel para sus directivos.
        Su ex-presidente falleció antes de cumplir los 45 años de sentencia.
         La firma AA admitió que se destruyeron algunos documentos, pero dijo que era un procedimiento normal.
         Los miembros del jurado tras diez días de deliberaciones no lograban llegar a una decisión unánime sobre la inocencia o culpabilidad.
         Finalmente el tribunal falló en contra de la firma auditora.
         La firma auditora AA es sentenciada a entregar su licencia de operaciones.


CASO ENRON:
Política y Legislación

         La actitud política general estaba menos preocupada por proteger los intereses de los accionistas que los de los directivos.
         El sistema político y legislativo permitió que se extendiera esta cultura.
         Florecimiento de la filosofía de la avaricia.
         La Ley Sarbanes-Oxley, pretende:
     - Aumentar las penas por delitos societarios.
     - Aumentar la autoridad y responsabilidad de los comités de auditoría.
     - Definir estándares de responsabilidad profesional para los abogados.
     - Limitar el alcance de los servicios que los auditores pueden prestar a sus clientes.
     - Eliminar los préstamos a directivos y administradores.


ESTÁNDARES Y DIRECTRICES PARA LA AUDITORIA DE SISTEMAS DE INFORMACIÓN

-Código de Ética Profesional
  Apoyar la implementación y fomentar el cumplimiento de las normas, los procedimientos y los controles apropiados en los SI.
         Ejecutar sus labores con objetividad, diligencia y cuidado profesional, de conformidad con las normas y mejores prácticas profesionales. 

-Código de Ética Profesional (Cont.)
         Servir en el interés de los accionistas en una forma legal y honesta, y al mismo tiempo mantener altos estándares de conducta y de carácter, y no involucrarse en actos que puedan desacreditar la profesión.
         Mantener la privacidad y la confidencialidad de la información obtenida en el curso de su función a menos que la autoridad legal requiera su revelación. Dicha información no será usada para beneficio personal ni será revelada a terceros. 
         Mantener competencia en sus respectivos campos y se comprometerá a emprender únicamente las actividades que puedan realizar con competencia profesional.
         Informar a las personas adecuadas los resultados del trabajo realizado, revelando todos los hechos significativos de los que tengan conocimiento.
         Apoyar la educación profesional de los accionistas para mejorar su comprensión sobre seguridad y control de los sistemas de información.

-Estándares para la Auditoria de Sistemas de Información

         Estándares.
         Directrices.
      Procedimientos.
Estándares y Directrices para la Auditoria de Sistemas de Información
* Estándares para la Auditoria de Sistemas de Información

         S1 Estatuto de Auditoria
         S2 Independencia
         S3 Ética y Estándares Profesionales
         S4 Competencia profesional
         S5 Planeación
         S6 Ejecución del Trabajo de Auditoria
         S7 Informe
         S8 Actividades de Seguimiento
         S9 Irregularidades y Actos Ilícitos
         S10 Gobierno de TI
         S11 Uso de la Evaluación de riesgos en la planeación de Auditoria
Estándares y Directrices para la Auditoria de Sistemas de Información
* Directrices para la Auditoria de Sistemas de Información
         Considerarlas para determinar cómo implementar los estándares.
         Usar el juicio profesional para aplicarlas.
         Poder justificar cualquier diferencia.
         - G1 Uso del trabajo de otros auditores, 01/06/1998
         - G7 Debido cuidado profesional, 01/09/1999
         - G19 Irregularidades y actos ilegales, 01/07/2002
Estándares y Directrices para la Auditoria de Sistemas de Información
* Procedimientos para la Auditoria de Sistemas de Información
         No es obligatorio que el auditor de SI siga estos procedimientos, sin embargo al seguirlos tendrá la certeza de que está siguiendo los estándares
         - P1 Evaluación de riesgos de SI, 01/07/2002
         - P2 Firmas digitales, 01/07/2002
         - P3 Detección de intrusos, 01/08/2003
         - P4 Virus y otros códigos maliciosos, 01/08/2003
         - P5 Autoevaluación de Control de Riesgos, 01/08/2003
Estándares y Directrices para la Auditoria de Sistemas de Información
* Relación entre Estándares, Directrices y Procedimientos
Análisis de Riesgos
“El potencial de que una amenaza determinada explote las vulnerabilidades de un activo o grupo de activos, ocasionando pérdida o daño a los activos”
         Categorías de Activos:
        - Información:
                Tipo de soporte: papel, electrónico
                B/D, ficheros, manuales, contratos, etc
        - Software:
                Aplicaciones, S.O., utilidades, etc
        - Físicos:
                Ordenadores (PC, servidores, portátiles…)
                Comunicaciones (router, switch, hub…)
                Soportes (discos, cintas…)
        - Servicios
                Energía, telefonía, etc
        - Personas
                Conocimiento
        - Imagen
         Amenaza:
        - Declaración intencionada de infligir un daño (robo, acceso no autorizado …)
        - Potencial de que un incidente no querido pueda producir daños a la información (humano, técnico)
        - Desastre natural, intencional o accidental (inundación, terremoto, incendio …)
         Vulnerabilidad
        - Debilidad o agujero en la seguridad de la organización (falta de control de acceso, equipos en lugares inadecuados, cables desprotegidos, falta de personal clave, mantenimiento inexistente, puertas abiertas)
        “Una vulnerabilidad, por si misma, no produce daños. Es una condición para que la amenaza afecte al activo”
         Riesgo y Planeación de la Auditoria
       
        “El análisis de riesgos es parte de la planeación de la auditoria y ayuda a identificar riesgos y vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigar esos riesgos”
         Visión del Riesgo
         Evaluación del Riesgo

Controles Internos
“Pobres controles hacen a una institución susceptible de fracasar”
         Políticas, procedimientos, prácticas y estructuras organizacionales implementadas para reducir riesgos

         Clasificación de los Controles:
        - Preventivos
        - Detectivos
        - Correctivos
         Función de Controles Preventivos:
        - Detectar problemas antes de que surjan
        - Monitorear tanto las operaciones como el ingreso de datos
        - Tratar de predecir los problemas potenciales antes de que éstos ocurran y hacer ajustes
        - Impedir que ocurra un error, una omisión o un acto malicioso
         Ejemplos de Controles Preventivos:
        - Emplear solo personal calificado
        - Segregar funciones (factor disuasivo)
        - Controlar el acceso físico a las instalaciones
        - Usar documentos bien diseñados (evitar errores)
     - Establecer procedimientos adecuados para autorizar transacciones
         Función de Controles Detectivos:
        - Usar controles que detecten y reporten que ha ocurrido un error, una omisión o un acto malicioso
         Ejemplos de Controles Detectivos:
        - Mensajes de error
        - Doble verificación de cálculos
        - Funciones de auditoria interna
         Función de Controles Correctivos:
        - Remediar problemas descubiertos por los controles detectivos
        - Identificar la causa de un problema.
        - Corregir los errores resultantes de un problema
   - Modificar el/los sistema(s) de procesamiento para minimizar ocurrencias futuras del problema
         Ejemplos de Controles Correctivos:
        - Planeación de contingencias
        - Procedimientos de respaldo
        - Procedimientos de segunda ejecución de programas
objetivos del Control Interno
         Controles Internos Contables
        - Dirigidos a las operaciones contables: salvaguarda de activos, confiabilidad de los registros financieros
         Controles Operativos
        - Dirigidos a las operaciones, funciones y actividades cotidianas para asegurar que la operación esté alcanzando los objetivos del negocio
         Controles Administrativos
        - Dirigidos a la eficiencia operativa y la adherencia a las políticas organizacionales
* Objetivos de Control de SI
         Salvaguardar activos de TI
         Asegurar la integridad de los ambientes de S.O en general, incluyendo la administración y las operaciones de la red
         Asegurar la integridad de los ambientes de sistemas de aplicación sensitivos y críticos, a través de:
                - Autorización para el ingreso de datos
                - Exactitud e integridad del procesamiento de  transacciones
                - Confiabilidad de los procesos
                - Exactitud, integridad y seguridad de la  información de salida
                - Integridad de la Base de Datos
Objetivos de Control de SI (Cont.)
         Asegurar la eficiencia y efectividad de las operaciones
         Cumplir con requerimientos de los usuarios, con las políticas y procedimientos organizacionales y con las leyes y reglamentaciones aplicables
         Desarrollar planes de continuidad del negocio y de recuperación de desastres
         Desarrollar un plan de respuesta y manejo de incidentes
* COBIT (Objetivos de Control para la Información y Tecnologías relacionadas)
Governance, Control and Audit for Information and Related Technology
* COBIT (Objetivos de Control para la Información y Tecnologías relacionadas)
         Un marco con 34 procesos de TI
        - Planeación y Organización
        - Adquisición e Implementación
        - Entrega y Soporte
        - Monitoreo y Evaluación
         Respaldan estos procesos más de 200 objetivos detallados de control necesarios para una implementación efectiva
         36 estándares y reglamentos principales relacionados con TI
CobiT … su misión
         Investigar, desarrollar, publicar y promover un marco de trabajo de control de gobierno de TI autorizado y actualizado, internacionalmente aceptado y adoptado para el uso cotidiano de las empresas,  gerentes de negocios, profesionales de TI y de Aseguramiento.
CobiT … sus características
         Orientación al negocio
         Basado en una revisión critica de tareas y actividades en tecnología de información
         Alineamiento con estándares de control y auditoria: COSO, ISO, etc.
Los Directivos necesitan CobiT
         Tomar decisiones relacionadas con la inversión en TI
         Balancear los riesgos y los controles de las inversiones en TI
         Llevar a cabo un benchmark para establecer el adecuado ambiente de tecnología presente  y futuro
Los Usuarios necesitan CobiT
     Obtener aseguramiento sobre la administración y los controles de los servicios provistos por TI a nivel interno y por terceras partes
         Conocer los controles mínimos que deben tener sus sistemas
Los profesionales de TI necesitan CobiT
     Proveer los servicios de TI que el negocio necesita para soportar la estrategia del negocio de una forma controlada y administrada
  Conocer los procesos que se deben establecer a nivel informático
         Conocer los controles mínimos que deben implementar
Los Auditores necesitan CobiT
         Soportar ante la Gerencia la opinión sobre los controles internos

         Asesorar a la gerencia sobre control interno
Ejecución de una Auditoria de SI

         Definición de Auditoria
        Proceso sistemático por el cual una persona competente e independiente obtiene y evalúa objetivamente la evidencia respecto a las afirmaciones acerca de una entidad o un evento económico con el fin de formarse una opinión sobre el particular e informar sobre el grado de cumplimiento en dicha afirmación
         Definición de Auditoria de SI
        Cualquier auditoria que abarca la revisión y evaluación (parcial o total) de los sistemas automatizados de procesamiento de información, procesos relacionados no automatizados y las interfases entre ellos
* Clasificación de las Auditorias
         Auditorias Financieras
         Auditorias Operativas
         Auditorias Integradas
         Auditorias Administrativas
         Auditorias de Sistemas de Información
         Auditorias Especializadas
         Auditorias Forenses
Programas de Auditoria
         Procedimientos Generales de Auditoria:
        - Conocimiento del área/sujeto de auditoria
        - Evaluación del riesgo y plan general de auditoria y cronograma
        - Planeación detallada de auditoria
        - Revisión preliminar del área/objeto de la auditoria
        - Evaluación del área/sujeto de auditoria
        - Verificación del diseño de controles
        - Pruebas de cumplimiento
        - Pruebas sustantivas
        - Informe (comunicación de resultados)
        - Seguimiento
Programas de Auditoria
         Procedimientos para prueba y evaluación de controles de SI:
        -       Uso de software generalizado de auditoria para examinar el contenido de los archivos de datos
        - Uso de software especializado para evaluar el contenido de los archivos de parámetros del sistema operativo
        - Técnicas de elaboración de diagramas de flujo para documentar aplicaciones automatizadas y procesos de negocio
        - Uso de registros/reportes de auditoria disponibles en los sistemas operativos
        - Revisión de la Documentación
        - Observación
* Metodología de Auditoria
         Un conjunto de procedimientos de auditoria documentados y diseñados para alcanzar los objetivos de auditoria planeados
         Compuestas de:
        - Declaración del alcance
        - Declaración de los objetivos de auditoria
        - Declaración del programa de trabajo
         Establecida y aprobada por la dirección de auditoria
         Comunicada a todo el personal de auditoria
Metodología de Auditoria
         Papeles de Trabajo
        ¿Qué debe estar documentado en los papeles de trabajo?
        -       Planes de Auditoria
        -       Programas de Auditoria
        -       Actividades de Auditoria
        -       Pruebas de Auditoria
        -       Hallazgos e Incidentes de Auditoria
         Papeles de Trabajo
        No tienen necesariamente que estar impresos en “papel”
        Deben ser:
        - Fechados
        - Inicializados
        - Paginados
        - Relevantes
        - Completos
        - Claros
        - Autoexplicatorios
        - Debidamente etiquetados
        - Archivados y mantenidos en custodia
Detección de Fraude
         Responsabilidad de la Administración:
        - Establecer, implementar y mantener un marco y un diseño de controles de TI
         Beneficios de un sistema de control interno bien definido:
        - Disuadir fraudes en primera instancia
        - Detectar fraudes oportunamente
         Rol del auditor en la prevención y detección de fraudes
Riesgo de Auditoria y Materialidad
         Un esquema de auditoria basado en riesgo es usado para evaluar el riesgo y asistir al auditor de SI en la toma de decisiones, en cuanto a realizar pruebas de cumplimiento o pruebas sustantivas

No hay comentarios:

Publicar un comentario

Suscribirse a: Entradas (Atom)