Auditor

1
Auditoría Informática

• Miguel Ángel Barahona M.
• Ingeniero Informático, UTFSM
• Magíster en Tecnología y Gestión, UC

2
Clasificación de las Auditorías

• El auditor de TO debe entender los diversos tipos
  de auditorías que pueden identificarse interna o
  externamente, y los procedimientos de auditoría
  asociados a cada uno de ellos.
• Auditorías financieras Determina la exactitud de
  los estados financieros de la organización.
• Auditorías Operativas Esta diseñada para evaluar
  la estructura de control interno en un proceso o
  área determinada.
• Auditorías Integradas Combina la auditoría
  financiera y operativa.
• Auditorías Administrativas Están orientadas
  aspectos relacionados con la eficiencia de la
  productividad operativa dentro de una
  organización.
• Auditorías de TI Este proceso recolecta y evalúa
  la evidencia para determinar si los sistemas de
  información y los recursos relacionados protegen
  adecuadamente los activos, mantienen la
  integridad y disponibilidad de los datos, entre
  otros.
• Auditorías especializadas Existe revisiones
  especializadas que examinan áreas tales como los
  servicios realizados por terceros.
• Auditorías Forenses Es una auditoría
  especializada en descubrir, rebelar y dar
  seguimiento a fraudes y crímenes.

3
SAS70

• SAS70 define los estándares profesionales usados
  por un auditor para evaluar los controles
  internos de una organización de servicios.
• Este tipo de auditoría se ha vuelto cada vez más
  relevante debido a la tendencia de contratar
  externamente algunos servicios (outsourcing).
• Una auditoría tipo SAS70 es importante porque una
  organización de servicios ha pasado por una
  auditoría profunda de sus actividades de control,
  que incluyen controles de TI y procesos
  relacionados.

4
Metodología de la Auditoría

• Una metodología de auditoría es un conjunto de
  procedimientos documentados de auditoría,
  diseñados para alcanzar los objetivos de la
  auditoría.
• La metodología de la auditoría debe ser aprobada
  por la gerencia de auditoría, y debe ser
  comunicada a todo el personal de auditoría.

5
Fases de la Auditoría
Fases de Auditoría Descripción
Sujeto de la auditoría Identificar el área que será auditada
Objetivo de la auditoría Identificar el propósito de la auditoría. Por ejemplo, un objetivo podría ser que los cambios al código fuente de los programas se realicen en un ambiente bien definido y controlado.
Alcance de la auditoría Identificar los sistemas específicos, la función o la unidad de la organización a ser incluida en la revisión. Por ejemplo, en el ejemplo de los cambios a un programa, la declaración de alcance podría limitar la revisión a un solo sistema de aplicación.
Planeación de auditoría Identificar las habilidades y recursos técnicos que se necesitan. Identificar las fuentes de información, tales como organigramas funcionales, políticas, estándares, procedimientos y documentos de trabajo de auditorías previas. Identificar la ubicación o las instalaciones que serán auditadas.
Procedimientos de auditoría y pasos para la recopilación de datos Identificar y seleccionar el método de auditoría para verificar y probar los controles. Identificar una lista de personas a entrevistar Identificar y obtener políticas, estándares, y directrices de los departamentos para su revisión. Desarrollar herramientas y metodologías de auditoría para verificar y comprobar los controles.
Procedimientos para evaluar la prueba o revisar los resultados Específica de la organización
Procedimientos de comunicación con la gerencia Específica de la organización
Elaboración del informe de auditoría Identificar los procedimientos de la revisión de seguimiento Identificar los procedimientos para evaluar/probar la eficiencia y efectividad operativa. Identificar los procedimientos para probar los controles. Revisar y evaluar la corrección de los documentos, las políticas y los procedimientos.
6
Ejecución de una Auditoría

• Proceso de recolección y evaluación de evidencia
  para determinar si los SI y los recursos
  relacionados
• salvaguardan adecuadamente los activos,
• mantienen la integridad de los datos y del
  sistema,
• proveen información relevante y confiable,
• alcanzan efectivamente los objetivos
  organizacionales,
• consumen los recursos eficientemente, y
• cuentan con controles internos que provean una
  seguridad razonable de que los objetivos
  operacionales y de control serán satisfechos y de
  que los eventos no deseados serán prevenidos o
  detectados y corregidos de manera oportuna

7
Ejecución de una Auditoría

• Procedimientos generales de auditoría
• Entendimiento del área u objeto a auditar
• Valoración de riesgos y plan general de auditoría
• Planeación detallada de la auditoría
• Revisión preliminar del área u objeto a auditar
• Evaluación del área u objeto a auditar
• Pruebas de cumplimiento
• Pruebas sustantivas
• Reporte (comunicación de resultados)
• Seguimiento

8
Ejecución de una Auditoría

• Metodología/estrategia de auditoría
• Definición del alcance
• Definición de los objetivos de auditoría
• Definición del programa de trabajo

9
Ejecución de una Auditoría

• Fases Típicas de una Auditoría
• Identificar
• El área a auditar
• El propósito de la auditoría
• Los sistemas específicos, funciones o unidades de
  la organización a ser incluidas en la revisión.
• Las habilidades técnicas y recursos necesarios
• Las fuentes de información para pruebas o
  revisión tales como diagramas de flujo
  funcionales, políticas, estándares,
  procedimientos y papeles de trabajo de auditorías
  anteriores.
• Ubicación de las instalaciones a auditar.
• Selección del enfoque de auditoría para
  verificar y probar los controles
• Lista de personas a entrevistar
• Obtener políticas departamentales, estándares y
  guías para revisión
• Procedimientos para revisiones de seguimiento
• Procedimientos para evaluar/probar la eficiencia
  y efectividad operacional
• Procedimientos para probar controles

10
Ejecución de una Auditoría

• Fases Típicas de una Auditoría
• Desarrollar
• Herramientas y metodología de auditoría para
  probar y verificar el control
• Procedimientos para evaluar los resultados de las
  pruebas o revisiones
• Procedimientos de comunicación con la gerencia
• Revisar y evaluar la solidez de los documentos,
  políticas y procedimientos

11
Ejecución de una Auditoría

• Evidencia
• Es un requerimiento que las conclusiones del
  auditor deben basarse en evidencia suficiente y
  competente
• Independencia del proveedor de la evidencia
• Calificación de la persona que provee la
  información o evidencia
• Objetividad de la evidencia
• Oportunidad de la evidencia

12
Ejecución de una Auditoría

• Técnicas para obtener evidencia
• Revisar las estructuras organizacionales de SI
• Revisar las políticas, procedimientos y
  estándares de SI
• Revisar documentación de SI
• Entrevistar al personal apropiado
• Observar el desempeño de los procesos y de los
  empleados
• Funciones Reales
• Procesos/Procedimientos Reales
• Concientización sobre Seguridad

13
Ejecución de una Auditoría

• Muestreo
• Enfoques generales de muestreo en auditoría
• Muestreo estadístico
• Es un enfoque objetivo para determinar el tamaño
  y los criterios de selección de la muestra. Usa
  las leyes de las probabilidades para calcular el
  tamaño de la muestra, seleccionar los objetos de
  la muestra, y evaluar los resultados de la
  muestra y hacer inferencias.
• Para que una muestra sea estadística, cada
  elemento de la población debe tener igual
  probabilidad de ser seleccionado.
• Muestreo no-estadístico
• El método de muestreo, el número de elementos que
  serán examinados en una población (tamaño de una
  muestra), y cuales elementos seleccionar son
  determinados en base al juicio del auditor.

14
Ejecución de una Auditoría

• Tanto el muestreo estadístico como el
  no-estadístico exigen que el auditor utilice su
  propio juicio al definir características del
  muestreo, y por lo tanto sufren del riesgo de que
  el auditor llegue a una conclusión errónea a
  partir de la muestra (riesgo de muestreo).
• Métodos de muestreo utilizados por los auditores
• Muestreo de atributos también denominado
  muestreo estimativo, es la técnica utilizada para
  estimar el valor de ocurrencia de un control.
• Muestreo de variables también denominado
  estimación dólar o muestreo de estimación media,
  es la técnica que se utiliza para estimar el
  valor del dólar u alguna otra unidad de medida.

15
Ejecución de una Auditoría

• Muestreo (Continuación)
• Muestreo de atributos
• Muestreo parar-o-seguir Es un modelo de muestreo
  que ayuda a prevenir el muestreo excesivo de un
  atributo permitiendo que una prueba de auditoría
  sea detenida lo antes posible. Se usa cuando el
  auditor considera que se encontrarán pocos
  errores.
• Muestreo por descubrimiento Es un modelo de
  muestreo que puede usarse cuando la tasa de
  ocurrencia que se espera es extremadamente baja.
  Se utiliza cuando el objetivo de la auditoría es
  encontrar fraudes u otras irregularidades.
• Muestreo de variables
• Media estratificada por unidad Es un modelo
  estadístico en la cual la población esta
  divididas en grupos y se extraen muestras de los
  diferentes grupos.
• Media no-estratificada por unidad Es un modelo
  estadístico por el cual el promedio de la muestra
  es calculado y proyectado como un total estimado.

16
Ejecución de una Auditoría

• Términos de muestreo estadístico
• Coeficiente de confianza se expresa como un
  porcentaje de la probabilidad de que las
  características de la muestra sea una veraz
  representación del universo. Cuanto más grande es
  el nivel de confiabilidad, mayor es el tamaño de
  la muestra.
• Nivel de riesgo esta cifra es 1 menos el nivel
  de confiabilidad (si el nivel de confiabilidad es
  95 el nivel de riesgo es del 5 1-0.950.05)
• Precisión la precisión la fija el auditor y
  representa el rango de diferencia entre la
  muestra y el universo real de la muestra.
• Tasa de error esperada se expresa como un
  porcentaje y es el valor estimado de los errores
  que pueden presentarse.
• Media de la muestra es la suma de todos los
  valores de la muestra dividido por el tamaño de
  la muestra

17
Ejecución de una Auditoría

• Desviación estándar de la muestra calcula la
  varianza de los valores de la muestra respecto de
  la mediana de la muestra. Mide la extensión o
  dispersión de los valores de la muestra.
• Tasa de error tolerable describe el valor máximo
  de error o el número de errores que puede existir
  sin que una cuenta este materialmente equivocada.

18
Ejecución de una Auditoría

• Pasos claves en la selección de la muestra
• Determinar los objetivos de la prueba
• Definir la población a ser muestreada
• Determinar el método de muestreo, tales como el
  muestreo de atributos versus el muestreo de
  variables.
• Calcular el tamaño de la muestra
• Seleccionar la muestra
• Evaluar la muestra desde una perspectiva de
  auditoría.

19
Ejecución de una Auditoría

• Técnicas de auditoría asistidas por computador
• Las herramientas CAAT (Computer Assisted Audit
  Tools and Techniques ) son muy importantes para
  los auditores de SI en la recolección
  independiente de información
• Utilización de técnicas CAAT
• Generador de datos de prueba para preparar un
  lote de prueba para verificar la lógica de los
  programas de aplicación
• Sistemas expertos aplicaciones desarrolladas a
  fin de contener una base de conocimiento experto
  y lógica provista por expertos en determinado
  campo
• Utilitarios estándares
• Paquetes de biblioteca de software para
  verificar la integridad y corrección de cambios a
  programas

20
Ejecución de una Auditoría

• Utilización de técnicas CAAT
• Instalaciones de prueba integradas consiste en
  crear entidades en un sistema de aplicación y
  procesar datos de prueba o producción sobre la
  entidad a fin de verificar la exactitud de
  procesamiento.
• Instantánea consiste en tomar fotografías de una
  transacción a medida que recorre el sistema
  computadorizado
• Archivo de revisión de auditoría de control del
  sistema consiste en integrar módulos de
  auditoría en un sistema de aplicación para
  realizar un monitoreo continuo de las
  transacciones del sistema.
• Software especializado de auditoría para que el
  auditor realice diversa tareas tales como
  muestreo y comparaciones.

21
Ejecución de una Auditoría

• Ventajas de las técnicas CAAT
• Reducen el nivel de riesgo de auditoría
• Mayor independiencia respecto del auditado
• Cobertura más amplia y coherente de la auditoría
• Mayor disponibilidad de información
• Mejor identificación de excepciones
• Mayor flexibilidad de tiempos de ejecución
• Mayores oportunidades de cuantificar las
  debilidades de control interno
• Mejor muestreo
• Ahorro de tiempo con el transcurso del tiempo

22
Ejecución de una Auditoría

• El auditor debe sopesar los costos y beneficios
  de las técnicas CAAT. Ha de tener en cuenta
• Facilidad de utilización
• Requisitos de capacitación
• Compliejidad de codificación y mantenimiento
• Flexibilidad de uso
• Requisitos de instalación
• Eficiencia de procesamiento
• Esfuerzo que se requiere para llevar al
  información fuente al CAAT para su auditoría

23
Ejecución de una Auditoría

• Cuando se desarrolla un CAAT debe conservarse la
  siguiente documentación
• Listados de los programas
• Flujogramas, tanto detallados como generales
• Informes de muestras
• Diseños de registros y archivos
• Definiciones de campos
• Instrucciones de operación
• Descripción de los documentos fuentes

24
Ejecución de una Auditoría

• ENIAC

25
Ejecución de una Auditoría

• Evaluación de fortalezas y debilidades de
  auditoría
• Luego de desarrollar un programa de auditoría y
  recopilar la evidencia de auditoría, el siguiente
  paso es evaluar la información recopilada a fin
  de desarrollar una opinión de auditoría.
• Lo anterior le exige al auditor de sistemas que
  tenga en cuenta una serie de fortalezas y
  debilidades y que luego desarrolle opiniones y
  recomendaciones de auditoría.

26
Ejecución de una Auditoría

• Evaluación de requerimientos de control
• El auditor debe evaluar los resultados de la
  evidencia recopilada para el cumplimiento de los
  requerimientos de control.
• A menudo se utiliza una matriz de control para
  evaluar el nivel correcto de controles. Sobre el
  eje vertical se colocan los tipos conocidos de
  errores que pueden presentarse en el área y en el
  eje horizontal los controles conocidos para
  detectar o corregir errores.
• Utilizando un método de ranking se llena la
  matriz con las medidas correctas.
• Una vez completada, la matriz muestra las áreas
  en las que los controles son débiles o
  inexistentes.

27
Ejecución de una Auditoría

• Información pertinente y periférica
• Debe aplicarse el juicio para determinar qué
  material es directamente apropiado para los
  objetivos perseguidos en la auditoría y que
  material no es específicamente pertinente.
• Consideración de controles compensatorios y
  redundantes
• Un control fuerte puede compensar un control
  débil en otra área. El auditor de sistemas debe
  tener en cuenta la existencia de controles
  compensatorios en áreas cuyos controles se han
  identificados como débiles.
• Una situación de control compensatorio se
  presenta cuando un control más fuerte respalda a
  uno más débil, los controles redundantes son dos
  controles fuertes.
• Determinación de materialidad de hallazgos
• Este es un tema clave en el momento de decidir
  cuáles hallazgos presentar en un informe de
  auditoría a la gerencia. La clave para
  determinar la materialidad de los hallazgos es
  evaluar los que podrían ser significativos para
  diferentes niveles gerenciales.

28
Ejecución de una Auditoría

• Informes de auditoría
• Los informes de auditoría son el producto final
  del auditor de sistemas.
• Ese es el vehículo que el auditor utiliza para
  informar sus observaciones y recomendaciones a la
  gerencia.
• El formato exacto del informe variará según la
  organización

29
Ejecución de una Auditoría

• Estructura y contenido del informe
• No existe un formato específico para un informe
  de auditoría de sistemas de información, y las
  normas de auditoría de la organización
  normalmente marcarán el formato. Los informes de
  auditoría tienen la siguiente estructura y
  contenido
• Introducción, incluyendo los objetivos y alcance
  de la auditoría, el período cubierto y un resumen
  sobre la naturaleza y extensión de los
  procedimientos de auditoría realizados
• Conclusión global del auditor de sistemas
  expresando una opinión sobre la adecuación de los
  controles o procedimientos revisados durante la
  auditoría
• Observaciones y recomendaciones detalladas de
  auditoría
• Respuestas de la gerencia a las observaciones con
  las acciones correctivas a llevar a cabo y la
  oportunidad de implementación de tales acciones
  correctivas

30
Ejecución de una Auditoría

• Restricciones sobre la implementación de
  recomendaciones
• El auditor de sistemas debe reconocer que tal vez
  la gerencia no esté en condiciones de implementar
  todas las recomendaciones de auditoría en forma
  inmediata.
• El auditor de sistemas debe tratar las
  recomendaciones y las posibles fechas de
  implementación durante el proceso de divulgación
  del informe de auditoría.
• Debe darse cuenta que diversas restricciones,
  tales como limitaciones de personal,
  presupuestos, u otro proyecto, pueden limitar la
  implementación inmediata.
• La gerencia debe desarrollar un programa sólido
  de acción correctiva.

31
Ejecución de una Auditoría

• Comunicación de resultados a la gerencia y al
  comité de auditoría
• El auditor debe tener presente que su
  responsabilidad final es la gerencia superior y
  el comité de auditoría del directorio
• Conclusiones y opiniones
• El informe de auditoría debe incluir una sección
  con la opinión respecto de las observaciones de
  auditoría.
• Puede exponerse como que los controles o
  procedimientos examinados son adecuados o no.
• El resto del informe de auditoría debe respaldar
  esa conclusión, y la evidencia global recopilada
  durante la auditoría debe brindar un nivel mayor
  de respaldo.

32
Ejecución de una Auditoría

• Existen cuatro tipo de informes
• Informe sin salvedades implica una auditoría
  limpia en la que no se hallan problemas
  materiales o declaraciones erróneas. Esta opinión
  normalmente dice que los estados contables de la
  organización auditada están de acuerdo con
  principios de contabilidad generalmente
  aceptados.
• Informe con salvedades los auditores externos
  utilizan un informe con salvedades para indicar
  que la información contable de la organización
  auditada cumple con las normas de auditoría
  generalmente aceptadas, salvo que por una
  excepción de condiciones o situaciones
  mencionadas expresamente. Estas excepciones no
  tienen que tener una importancia que afecte
  materialmente la situación patrimonial de la
  organización
• Opinión adversa los auditores externos emiten
  una opinión adversa cuando consideran que los
  estados contables de la organización auditada
  están mal expuestos o significativamente no
  cumplen con los principios contables generalmente
  aceptados.
• Renuncia de opinión se emite tal tipo de informe
  cuando los auditores externos consideran que la
  situación financiera de la organización auditada
  es muy precaria y puede conllevar con la
  disolución de la misma.

33
Ejecución de una Auditoría

• Entrevista de finalización o salida
• La entrevista de finalización que se lleva a cabo
  al final de la auditoría, le brinda al auditor
  los medios para discutir los hallazgos y
  recomendaciones con la gerencia.
• Durante esta entrevista, puede asegurarse que los
  hechos que se presentan en el informe son
  correctos, asegurarse de que las recomendaciones
  son realistas y efectivas en términos de costos,
  y de no ser así, buscar alternativas a través de
  la negociación con el área auditada, y tratar de
  obtener fechas de implementación para las
  recomendaciones sobre las que se ha llegado a un
  acuerdo.

34
Ejecución de una Auditoría

• Técnicas de exposición
• A menudo se le solicita al auditor de sistemas
  que exponga los resultados de las tareas de
  auditoría a diversos niveles gerenciales. Las
  técnicas de exposición incluyen
• Resumen ejecutivo es un informe de fácil
  lectura, gramaticalmente correcto y breve que
  presenta los hallazgos a la gerencia en forma
  comprensible. Los anexos pueden ser de naturaleza
  técnica ya que la gerencia operativa necesitará
  los detalles para corregir las situaciones
  informadas
• Presentaciones visuales pueden incluir
  transparencias, diapositivas o gráficos

35
Ejecución de una Auditoría

• Acciones de la gerencia para implementar
  recomendaciones
• Los auditores deben darse cuenta que la auditoría
  es un proceso continuo.
• Los auditores deben tener un programa de
  seguimiento para determinar si se han tomado las
  acciones correctivas prometidas según las
  recomendaciones de auditoría.
• Los resultados del seguimiento deben ser
  comunicados a los niveles gerenciales
  correspondientes.