Post on 23-Jun-2015
description
© ITGI 2004 - not for commercial use. 1
Auditoría de Tecnologías de Información
PremisaPremisa
Dotar a la auditoría de una actitud Dotar a la auditoría de una actitud proactiva que permita proporcionar proactiva que permita proporcionar un valor agregado al servicio que un valor agregado al servicio que presta a sus clientes, el mismo que presta a sus clientes, el mismo que hasta la fecha parece no haberse hasta la fecha parece no haberse logradologrado
© ITGI 2004 - not for commercial use. 2
Auditoría de Tecnologías de Información
Socialización del sílaboSocialización del sílabo
© ITGI 2004 - not for commercial use. 3
Auditoría de Tecnologías de Información
AntecedentesAntecedentes
OrígenesOrígenes
“ “auditory”auditory”
Inicialmente, informar sobre cualquier Inicialmente, informar sobre cualquier irregularidad en las operaciones y irregularidad en las operaciones y mantener un balance adecuado de ellasmantener un balance adecuado de ellas
Ahora su papel ha pasado de ser un Ahora su papel ha pasado de ser un detector de problemas a un identificador detector de problemas a un identificador de oportunidades y emisor de propuestas de oportunidades y emisor de propuestas de valorde valor
© ITGI 2004 - not for commercial use. 4
Auditoría en general, definición
La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúan el cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.
© ITGI 2004 - not for commercial use. 5
Significado de la definición de Auditoría
Es una disciplina
Es aplicada por personas independientes de la operación
Busca evaluar el cumplimiento de los objetivos institucionales
Emite un juicio sobre el cumplimiento de los objetivos
Efectúa recomendaciones
© ITGI 2004 - not for commercial use. 6
¿Cómo definir la Auditoría de TI?
Es decir, cómo convertir la anterior definición en una definición de auditoría de TI
¿Qué cambiarían?
¿Dónde cambiarían?
¿O necesitamos una nueva definición?
© ITGI 2004 - not for commercial use. 7
Auditoría en general, definición
La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúan el cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.
© ITGI 2004 - not for commercial use. 8
Auditoría de TI, definición
La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúa la función de tecnología de información y su contribución al cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.
© ITGI 2004 - not for commercial use. 9
Clasificación de la auditoría
Con base a quien la realiza
Mediante contrato con auditores independientes de la empresa
Auditores empleados formalmente por la empresaA. interna
A. externa
© ITGI 2004 - not for commercial use. 10
Auditores son independientesRelación se limita a un contratoAntigua y exitosa. Razones:
Alto nivel técnico alcanzado por las firmas de auditoría
Exigida como aval reconocidoLegislación de muchos gobiernos las exige
Price WaterhouseCoopers, Arthur Andersen, Ernst and Young, Deloitte and Touch, KPMG-Peat Marwick
Auditoría externa
© ITGI 2004 - not for commercial use. 11
Auditores son empleados de las empresa Ajenos a la operación de la misma Elemento fundamental de los sistemas de
administración Orientación
Eficiencia operativa Cumplimiento de normatividad
Reporta Directorio
Ejemplos Citybank, mundo Contraloría General, SBS, Perú
Auditoría interna
© ITGI 2004 - not for commercial use. 12
Clasificación de la auditoría
Con base en los objetivos
Opinión sobre los estados financieros
Financiera, protección activos, eficiencia y eficacia, normatividad,etc
Integral
Financiera
Administrativa
Evaluación de eficiencia y productividad de las operaciones
© ITGI 2004 - not for commercial use. 13
¿Dónde encaja la auditoría de TI?
Tipo Auditoría de TI
Externa √
Interna √
Financiera √
Administrativa √
Integral √
© ITGI 2004 - not for commercial use. 14
Estructura del Proceso de Auditoría según COBIT
Identificacion y
Documentación
Identificacion y
DocumentaciónEvaluaciónEvaluación Pruebas de
CumplimientoPruebas de
CumplimientoPruebasPruebas
SustantivasSustantivasPruebasPruebas
SustantivasSustantivas
© ITGI 2004 - not for commercial use. 15
PlaneaciónAnálisis y evaluación del CIAplicación de pruebasInformeSeguimiento
Otra versión del proceso de auditoría
ActividadesActividades
SUPERVISIÓN
© ITGI 2004 - not for commercial use. 16
1. ¿Qué da inicio a la P. de la auditoría?
2. ¿Por qué es necesario planificar la auditoría?
3. ¿Qué información necesitamos para la P?
4. ¿Para qué nos serviría la anterior información?5. ¿Por qué es importante una buena P?
6. ¿Cuáles son los productos de la planeación?
Planeación de la auditoría
© ITGI 2004 - not for commercial use. 17
Parte de un requerimiento inicial Obtener entendimiento general
Características del negocio, infraestructura tecnológica, sistemas de información, áreas de riesgos, objetivos estratégicos, otros asuntos
DeterminarProcedimientos, personal responsables, fechas y duración aproximada
Planeación de la auditoría
© ITGI 2004 - not for commercial use. 18
Analizar y evaluar el CI
Las politicas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables
DefiniDefinicciióón n dede ControlControl
DefiniDefinicciióón n dede ObjetivObjetivoo de de
Control Control de de TTII
Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI
Recordemos primero las definiciones de control ya vistas
© ITGI 2004 - not for commercial use. 19
Plan auditoría deviene en programa de trabajo específico para evaluar los procedimientos de control
¿Cómo? Mediante entrevistas, observación, inspección documental
Información obtenida se documenta Utiliza para fundamentar análisis sobre
efectividad y eficiencia del control
Analizar y evaluar el CI
© ITGI 2004 - not for commercial use. 20
Pruebas de cumplimiento Comprobar los procesos de trabajo de la empresa,
particularmente los de TI Ratificar o rectificar el juicio preliminar Ejemplos:
Pruebas sustantivas Evaluar los productos de los procesos de trabajo Se expresan en información Aplicables a los SI o a la infraestructura tecnológica Ejemplos:
Aplicar pruebas de auditoría
© ITGI 2004 - not for commercial use. 21
Resultados: Adecuación y confiabilidad del control
interno con pruebas de cumplimiento Medida en que se logran los objetivos
a cuyo cumplimiento están orientados los procedimientos de control, con pruebas sustantivas
Aplicar pruebas de auditoría
© ITGI 2004 - not for commercial use. 22
Elaborar un informe sobre su trabajo, los resultados del mismo, conclusiones y recomendaciones
Presentar su opinión, abstenerse de la misma o presentar una opinión negativa
Señalar si hubo limitaciones
Informar sobre los resultados
© ITGI 2004 - not for commercial use. 23
Las recomendaciones se convierten en compromisos para las áreas de auditoría
El auditor deberá efectuar revisiones de seguimiento
Efectuar seguimiento
© ITGI 2004 - not for commercial use. 24
Actividad permanente
El auditor será el principal responsable del trabajo realizado por su equipo
Supervisar el trabajo
© ITGI 2004 - not for commercial use. 25
Stakeholders o interesados
Clientes
Proveedores
Inversionistas
Gobierno
Comunidad
AccionistasAdministración
Empleados
Empresa
Auditoría
© ITGI 2004 - not for commercial use. 26
Procedimiento Definición Pruebas
Técnicas
Manuales
Aplicadas a la tecnología
Asistidas por la tecnología
Procedimientos y técnicas de AI
© ITGI 2004 - not for commercial use. 27
Inspección documental
Entrevistas
EncuestasNiveles de satisfacción
Sesiones facilitadas (focus groups)
Certificación
Confirmación
Circularización
Técnicas de Ingeniería de Información
Técnicas manuales
© ITGI 2004 - not for commercial use. 28
Sirven para evaluar el componente tecnológico del CI y no sus productos o resultados Ejemplos. La evaluación o medición de:
la capacidad de un computador para manejar altos volúmenes de tx
la velocidad y consistencia de un canal de comunicaciones
La eficiencia y exactitud de los lectores ópticos
Técnicas aplicadas a la tecnología
© ITGI 2004 - not for commercial use. 29
¿Qué son? ¿para qué sirven? Computer assited audit techiques Asistir en la evaluación de la efectividad del CI mediante el examen de sus productos o resultadosFormas de implementación:
Utilizando equipo e instalaciones de la propia empresa mediante programas de utilería, reporteadores o software especializado de auditoría
Utilizando software de auditoría que opera en microcomputadoras (ACL, IDEA, etc)
¿CAAT? o TAAC
© ITGI 2004 - not for commercial use. 30
Programas controlados Mapeo y rastreo de programas Análisis de código de programas Ambiente de prueba Ambiente integrado de prueba (ITF, inglés)
Análisis de bitácoras (logs) Simulación paralela Código de auditoría integrado Análisis de datos Programas de utilidad
Técnicas más utilizadas
© ITGI 2004 - not for commercial use. 31
Dos situaciones Planificar el trabajo de todo un año Planificar una auditoría específica
Planeación de la auditoría