Post on 01-Jan-2015
1
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EUROsociALEUROsociAL
2
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SNCISNCI
TITULO IVTITULO IV
DESARROLLO DE LA AUDITORIA: RESULTADOS DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORMEE INFORME
TITULO VTITULO V
SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMASSISTEMAS
SNCISNCI
TITULO IVTITULO IV
DESARROLLO DE LA AUDITORIA: RESULTADOS DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORMEE INFORME
TITULO VTITULO V
SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMASSISTEMAS
Cartagena de IndiasMayo, 2008
3
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Presentación y sinopsis. Capítulos 13, 14, 15, 16 y 17.
Comunicación de los resultados. El informe.
Seguimiento de la Auditoría. El sistema de Información de la
Administración Tributaria. Seguridad de la Información. Auditoría de Sistemas de
Información.
4
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL INFORME DE AUDITORIAEL INFORME DE AUDITORIA
HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDADESTÁNDARES DE CALIDAD QUE DEBEN SER COMUNESCOMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD.
EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN
EVIDENCIASEVIDENCIAS, RECOGIENDO OBSERVACIONESOBSERVACIONES, CONCLUSIO-NES Y CONCLUSIO-NES Y
RECOMENDACIONES.RECOMENDACIONES.
EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL
LECTOR UNA IMAGEN CLARAIMAGEN CLARA DE PORQUÉ SE EXAMINARON LOS
ASUNTOS Y DEL RESULTADO DEL EXAMEN.
5
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CONTENIDO DEL INFORME
EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO MÍNIMO DEBE INCLUIR: EL OBJETO, EL ALCANCE Y LOS RESULTADOSEL OBJETO, EL ALCANCE Y LOS RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES)
UN INFORME ESTÁNDAR, PODRÍA CONTENER:
Título y número de referencia. Introducción. Objeto de la auditoría Alcance Metodología utilizada. Informe-resumen o informe ejecutivo. Información preliminar, antecedentes.
Firma y fecha. Observaciones. Conclusiones. Recomendaciones.
Alegaciones, descargos y opinión del órgano auditado.
Anexos.
6
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
INTRODUCCION
DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO.
CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA
ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO
COMPOSICIÓN DEL EQUIPO DE AUDITORÍA
FECHAS DE INICIO Y FINALIZACIÓN DE LAS ACTUACIONES.
CARÁCTER O TIPO DEL INFORME.
DESTINATARIO/S DEL INFORME.
7
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ALCANCE
OBJETO
COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL
SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO.
EL ALCANCE: DELIMITA LA NATURALEZA Y ÁMBITO DE LA AUDITORÍA.
ÁMBITO TERRITORIAL Y FUNCIONALÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A AUDITAR. LOS PROCESOS AUDITADOSPROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODOPERIODO A AUDITAR.
LAS LIMITACIONES AL ALCANCELIMITACIONES AL ALCANCE.
8
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
METODOLOGIA
FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS.
BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA INFORMACIÓN (APLICACIONES ESPECÍFICAS)
METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE
REPRESENTATIVIDAD.
ANTECEDENTES
9
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EXPOSICIONES PERTINENTES DE LOS HECHOS
NO SON JUICIOS DE VALOR.NO SON JUICIOS DE VALOR.
EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIASEVIDENCIAS SUFICIENTES, RELEVANTES Y COMPETENTES.
DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA PERSPECTIVA Y CONTEXTO ADECUADOS.
EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.
10
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SURGEN DE LA COMPARACIÓN ENTRE:
CRITERIOCRITERIO
(LO QUE DEBE (LO QUE DEBE SER)SER)
REALIDADREALIDAD
(LO QUE ES)(LO QUE ES)
Razón de la diferencia.
EFECTOS
CAUSA
Riesgo a que se somete la organización debido a las diferencias entre “lo que debe ser” y “lo que es”.
11
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FORMA DE REFLEJAR LAS EVIDENCIAS:
DEBEN RECOGERSE EN EL INFORME EN FORMA DE CUADROS-CUADROS-RESÚMENESRESÚMENES DONDE SE OFREZCAN LOS DATOS AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN UN ANEXO.
EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLESASPECTOS SENSIBLES O DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME.
EN EL CASO DE ENTREVISTASENTREVISTAS CON RESPONSABLES DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE DOCUMENTAL FACILITADO, SI EXISTE.
LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS INFORMES EN UN ANEXO.
12
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR SOBRE LAS OBSERVACIONES Y SUS EFECTOS
DEBEN APARECER CLARAMENTE COMO TALES.
DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O CONDUCTAS IRREGULARES DEL PERSONAL.
SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinión del auditor.
13
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS ENCONTRADAS
SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME.
OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.
FECHA Y FIRMA
ANEXOS.
14
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
INFORME EJECUTIVO
SE PUEDE INCORPORAR COMO PARTE DEL INFORME O PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.
15
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
RECOMENDACIONES
DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME.
OBSERVACIONES (hechos)
CONCLUSIONES (opiniones del auditor)
RECOMENDACIONES (hechos)
Soluciones a los problemas detectados
Mejora del servicio público prestado
DEBEN ESTAR NUMERADASNUMERADAS, AGRUPARSE EN LOS MISMOS ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A ÉSTAS.
16
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
RECOMENDACIONES
SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO COMPETENCIAL.
SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.
17
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
RECOMENDACIONES
EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE
OBLIGADO CUMPLIMIENTO PARA EL AUDITADO.
EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE
OBLIGATORIEDAD QUE DEBERÍA DARSE A LA RECOMENDACIÓN
EN FUNCIÓN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE
LA CONVENIENCIA DE APLICACIÓN DE LA MEJORA PROPUESTA.
NO OBSTANTE, HAY QUE GARANTIZAR QUE: LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA CONOCE
LAS RECOMENDACIONES. LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE
OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO.
SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.
18
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PRECISOS
OBJETIVOS
CLAROS
CONCISOS
CONSTRUCTIVOS
COMPLETOS
OPORTUNOS
ESTANDARIZACION DE INFORMES
REQUISITOS DE CALIDAD
19
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SUPERVISION DEL INFORMESUPERVISION DEL INFORME
EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.
20
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Las razones que justifican la supervisión:
Asegurando que se han cumplido los objetivos de la auditoría.
Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos.
Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditoría.
Determinando si las evidencia están suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones.
Comprobando que se han cumplido las normas de estandarización.
21
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
POSIBLES TÉCNICAS DE SUPERVISIÓN:
Simple lectura del documento.
Contraste del informe con plantillas de informes estandarizados o documentos-guía.
Proceso de referencias o indización del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboración
22
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
TIPOS DE INFORMETIPOS DE INFORME
SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN
SEGÚN EL MOMENTO DE SU ELABORACIÓN
ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN
ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO
23
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
))TRAMITACIÓN DEL INFORMETRAMITACIÓN DEL INFORME
DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA TRAMITACIÓN DE LOS INFORMES
POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE INFORME.
DEBE ESTAR REGULADO Y SER CONOCIDO POR LA ORGANIZACIÓN.
DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO.
OPCIONAL: antes de la elaboración del borrador del informe (reuniones posteriores a la auditoría; reunión de presentación de conclusiones).
OBLIGATORIO: Remisión del borrador para observaciones al órgano auditado o superior jerárquico.
24
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DISTRIBUCIÓN DEL INFORMEDISTRIBUCIÓN DEL INFORME
DESTINATARIOS PRINCIPALES O NATURALES
DIRECCIÓN DE LA
ADMÓN TRIBUTARIA
COMITÉ DE AUDITORÍA
(SI LO HUBIESE)
ÓRGANOS COLEGIADOS
EN MATERIA DE
CONTROL, SEGURIDAD
O RIESGOSÓRGANO AUDITADO SUPERIOR JERÁRQUICO
Y/O RESPONSABLE DE LA
SOLUCIÓN
OTROS INTERESADOS
OTROS ÓRGANOS DE
CONTROL INTERNO O
EXTERNO
OTROS POSIBLES
INTERESADOS INTERNOS
O EXTERNOS
25
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ARCHIVO Y CONSERVACIÓN DEL INFORME
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE
DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD
PARA LA MISMA.
SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO INFORMATIZADO.
LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIÓN Y SEGUIMIENTO DE ACTUACIONES.
26
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SEGUIMIENTO DE LA AUDITORIASEGUIMIENTO DE LA AUDITORIA
MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORÍA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIÓN
LOS OBJETIVOS DEL SEGUIMIENTO SON:
Verificar el grado de cumplimiento de las recomendaciones de auditoría o la aceptación por la Dirección del riesgo de no hacerlo.
Evaluar el impacto de las recomendaciones implantadas en la solución de las deficiencias observadas o las mejoras producidas.
Retroalimentar el proceso de control interno de la organización.
Aumentar la eficacia de las auditorías.
27
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS:
ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O EN LA FASE DE TRAMITACIÓN DEL INFORME.
REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS.
SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.
28
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORÍA UNO RELATIVO A AUDITORÍAS DE SEGUIMIENTO
OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO..
LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.
29
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SNCISNCI
TITULO VTITULO V
SISTEMAS DE INFORMACIÓN Y SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMASAUDITORÍA DE SISTEMAS
SNCISNCI
TITULO VTITULO V
SISTEMAS DE INFORMACIÓN Y SISTEMAS DE INFORMACIÓN Y AUDITORÍA DE SISTEMASAUDITORÍA DE SISTEMAS
CARTAGENA DE INDIASCARTAGENA DE INDIASMayo, 2008Mayo, 2008
30
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
La Administración Tributaria (AT) es una organización compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologías de la información y de las comunicaciones. La organización debe supervisar el desempeño de los sistemas de información.
Para desarrollar en la AT una actividad de auditoría completa y en profundidad, el OAI necesita disponer de un área de auditoría de sistemas de información, cuyo plantilla esté compuesta por especialistas, auditores de sistemas de información, que ejecuten actuaciones alineadas con el resto de actividades de auditoría del OAI.
APARTADO 17APARTADO 17 AUDITORÍA DE SISTEMAS DE INFORMACIÓN
APARTADO 17.1APARTADO 17.1 INTRODUCCIÓN Y SINOPSIS
31
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN (1)
La auditoría de sistemas de información, auditoría informática o auditoría de sistemas es un tipo de auditoría consistente en el examen de los sistemas de información y de los centros de proceso de datos, instalaciones y unidades informáticas de las organizaciones, con objeto de facilitar la consecución de los objetivos que persiguen, tanto los del área informática como, primordialmente los del conjunto de la organización .
EPÍGRAFE 17.2.1EPÍGRAFE 17.2.1 DEFINICIÓN
32
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN (2)
EPÍGRAFE 17.2.1EPÍGRAFE 17.2.1 DEFINICIÓN
La auditoría de sistemas de información persigue propiciar con sus actuaciones:
- El establecimiento y mantenimiento de sistemas de gestión de la seguridad.
- La reducción de los riesgos inherentes a la utilización de los sistemas de información.
- El incremento de la confianza de los usuarios internos y externos en los sistemas de información.
33
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN (3)
EPÍGRAFE 17.2.1EPÍGRAFE 17.2.1 DEFINICIÓN
Son objeto de la auditoría de sistemas de información:
Las auditorías consistentes en la revisión y evaluación de los sistemas automáticos de procesamiento de la información.
Las que se ocupan de los procedimientos no automáticos relacionados con ellos y de los interfases correspondientes. Por ejemplo, en el ámbito tributario:
La dirección de las instalaciones y unidades informáticas.
La adquisición de bienes y servicios informáticos.
La gestión de los contenidos residentes en la Intranet corporativa y en el portal Internet de la organización.
Las actividades de mejora de la calidad en la entrada de datos.
34
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.2.2EPÍGRAFE 17.2.2
Varios factores han impulsado la demanda de una mayor supervisión y control de los sistemas de información:
1) Las amenazas a la seguridad informática, en un marco de sistemas de información cada vez más abiertos por la utilización de Internet y la interconexión de redes.
2) La protección de los derechos de los ciudadanos, en el ámbito de la sociedad de la información y del gobierno electrónico.
3) La fiabilidad de la información ofrecida por las empresas, que requieren una comprobación de aquellos procesos que elaboran y comunican los resultados conseguidos.
35
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.2.3EPÍGRAFE 17.2.3
FUNCIONES DE LA AUDITORÍA DE SI (1)
1) Velar por la eficacia y eficiencia del sistema informático, de forma que éste alcance con el menor coste posible los objetivos.
2) Verificar el cumplimiento de las normas y estándares vigentes en la organización (leyes de firma electrónica, de protección de datos de carácter personal, de propiedad intelectual del software, etc.).
3) Supervisar el control interno ejercido sobre los sistemas de información conducente a la protección de los activos de información de información de la organización: recursos humanos, locales e instalaciones, infraestructuras tecnológicas, sistemas y aplicaciones, información tributaria.
FUNCIONES
36
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.2.3EPÍGRAFE 17.2.3
FUNCIONES DE LA AUDITORÍA DE SI (2)
4) Verificar la calidad de los sistemas de información de la organización y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organización (cumplimiento de normas de calidad o modelo de excelencia en gestión).
5) Comprobar e impulsar la seguridad de los sistemas de información.
FUNCIONES
37
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.2.3EPÍGRAFE 17.2.3
6) Comprobar el cumplimiento de los requerimientos de negocio de la información, es decir las propiedades que la información debe tener para optimizar su utilización por la organización.
7) Analizar la gestión de los riesgos asociados a los sistemas de información, proponiendo la adopción de medidas que mejoren el sistema de análisis y gestión de los riesgos informáticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organización.
FUNCIONES
38
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EJEMPLOS (1)
EPÍGRAFE 17.2.4EPÍGRAFE 17.2.4 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
Objetivos del SI de la Administración Tributaria:
Asegurar la continuidad del servicio prestado por el Centro Informático de la AT y por tanto la atención a los usuarios.
Elaborar aplicativos de depuración y de análisis de la información patrimonial capturada por la organización, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio.
Garantizar la seguridad de los SI de la organización, estableciendo un entorno de control que incorpore medidas técnicas eficaces y una revisión sistemática de las autorizaciones concedidas y de los accesos registrados.
39
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
Programas de auditoría de SI en la Administración Tributaria:
El programa de auditoría de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones:
Una actuación en el entorno de explotación y comunicaciones del Centro Informático.
Una actuación sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organización para los agentes tributarios desplazados.
Una actuación sobre la infraestructura tecnológica de la plataforma Internet, ubicada en el Centro Informático de la AT.
EPÍGRAFE 17.2.4EPÍGRAFE 17.2.4 AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
40
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL AUDITOR DE SISTEMAS DE INFORMACIÓN
La auditoría de sistemas de información es una actividad diferenciada.
El auditor de sistemas de información o auditor informático es un auditor especialista.
La característica principal del auditor de sistemas de información es su capacidad para alcanzar y fundamentar evidencias de auditoría en un contexto real de utilización de las tecnologías de la información.
41
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL AUDITOR DE SISTEMAS DE INFORMACIÓN
Debido a la complejidad de los modernos sistemas de información y a la necesidad de tener amplios conocimientos del área de negocio, el auditor de sistemas de información trabaja en equipo:
Con profesionales de distintos perfiles técnicos que cubran áreas funcionales informáticas diferentes (sistemas, desarrollo, comunicaciones).
Con una planificación muy elaborada de las actuaciones, plasmada en guiones minuciosos.
En algunas actuaciones con la colaboración técnica del propio personal auditado o de terceros no interesados directamente en la actuación.
42
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1)
1) Conocimientos, proporcionados a su grado de responsabilidad, sobre la organización en la que desarrolla su actividad:
La misión, estrategia, políticas y objetivos de la organización.
La estructura y funcionamiento de la organización.
Los principales procesos de negocio, y las normas y disposiciones que les afectan.
43
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2)
2) Manejo con soltura del marco profesional para la práctica de la auditoría interna:
Los modelos y principios de auditoría, como la supervisión del control interno (Informe COSO I) y la gestión de riesgos (Informe COSO II).
Las normas y estándares que regulan en la organización el proceso de auditoría y el proceso de seguimiento de las recomendaciones.
Los códigos de conducta aplicables, como puede ser el Código de Ética del Instituto Internacional de Auditoría Interna.
44
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3)
3) Conocimientos sólidos en materia de tecnologías de la información y de las comunicaciones:
Conocimientos de materias TIC generales (infraestructuras; prácticas operacionales; organización, desarrollo e implementación de los SI, etc.).
Conocimientos de materias relacionadas directamente con la seguridad de los sistemas de información (protección de activos de información, continuidad del negocio).
Conocimientos de materias relacionadas directamente con la auditoría y el control de los sistemas de información (metodologías de análisis y gestión de riesgos, marcos referenciales, herramientas de auditoría, etc.).
45
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE SI
Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formación, experiencia y especialización de sus miembros y jefes. Dos de las posibles opciones son las siguientes:
A.- Incorporar al OAI a empleados públicos, que posean una certificación en vigor como auditores de sistemas de información, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable.
B.- Contratar a profesionales externos de auditoría de sistemas de información, para que pasen a ejercer esta función en la Administración Tributaria como auditores internos en el OAI, siempre que esta contratación sea compatible con el estatus de los auditores internos.
46
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL OAI Y LOS AUDITORES DE SI
Los auditores de sistemas de información deben formar parte de los órganos especializados de control, supervisión o auditoría interna de las organizaciones.
Funciones generales:
El ejercicio de la supervisión del control interno y del análisis y gestión de los riesgos, en relación con los sistemas de información y con los sistemas informáticos de la organización.
EPÍGRAFE 17.3.6EPÍGRAFE 17.3.6 FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
47
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EL OAI Y LOS AUDITORES DE SI
La realización de auditorías totales o parciales de los sistemas de información de la organización.
La colaboración con otros equipos de auditoría en actuaciones generales de auditoría interna.
La participación en la función de consultoría y asesoramiento que presta el órgano especializado de control interno a la organización.
EPÍGRAFE 17.3.6EPÍGRAFE 17.3.6 FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
48
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PROCEDIMIENTOS DE LA AUDITORÍA DE SI
Utilización de metodologías, instrumentos y procedimientos operativos propios.
En la planificación de las auditorías informáticas Empleo de marcos referenciales para la declaración de los objetivos del control.
En el desarrollo de las auditorías informáticas empleo de herramientas de auditoría específicas.
EPÍGRAFE 17.4.1EPÍGRAFE 17.4.1
METODOLOGÍA Y ESTÁNDARES
49
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES
Los organismos internacionales que se ocupan del control y de la auditoría de SI son fuente de fuente de estándares:
ISACA - Asociación de Auditoría y Control de Sistemas de Información
ISO – Organización Internacional para la estandarización.
NIST – Instituto Nacional de Estándares y Tecnología de los Estados Unidos.
PROCEDIMIENTOS DE LAAUDITORÍA DE SIEPÍGRAFE 17.4.1EPÍGRAFE 17.4.1
50
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
DEFINICIÓN
La auditoría de sistemas de información hace un uso frecuente de marcos de referencia para describir los sistemas de información, con el objetivo de independizarse de la tecnología subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL).
Algunos de estos marcos de referencia están especialmente orientados hacia la descripción sistemática del control que debe ser ejercido en los sistemas de información, consiguiendo:
Simplificar la tarea de planificación.
Facilitar la labor de supervisión del guión de auditoría y del resto de instrumentos de planificación.
EPÍGRAFE 17.4.2EPÍGRAFE 17.4.2 REPERTORIO DE CONTROLES
51
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
COBIT (3)
Elementos de COBIT:
El marco referencial adoptado por COBIT tiene un propósito general. Por tanto, los objetivos de control se refieren a todos los recursos de las tecnologías de la información:
Aplicaciones, Información, Infraestructuras y Personas.
y a todos los dominios en que pueden clasificarse las actividades de las organizaciones relacionadas directamente con las tecnologías de la información:
Planificación y Organización, Adquisición e Investigación, Entrega y Soporte, Monitoreo.
EPÍGRAFE 17.4.2EPÍGRAFE 17.4.2 REPERTORIO DE CONTROLES
52
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.4.3EPÍGRAFE 17.4.3AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA
Actividades de monitoreo y supervisión es muy común en los centros informáticos.
Los profesionales informáticos que manejan estos instrumentos son especialistas que deben conocer en profundidad el producto y realizar operaciones con él, en muchos casos en tiempo real.
Los auditores de sistemas de información utilizan también en sus actuaciones de auditoría herramientas de hardware y utilidades de software de distintas características para verificar los sistemas informáticos.
Por ejemplo, comprueban si el cifrado de las comunicaciones y la configuración de seguridad de los equipos coincide con las directrices de seguridad informática de la organización.
53
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.5.1EPÍGRAFE 17.5.1TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN
TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE SISTEMAS DE INFORMACIÓN
1) La auditoría de la organización y gestión de los departamentos informáticos o centros de proceso de datos de una organización.
2) La auditoría de la seguridad física y lógica del sistema de información de una organización.
3) La auditoría parcial de un área tecnológica.
4) La auditoría de cumplimiento por el sistema de información de normas y regulaciones.
5) La auditoría destinada a supervisar el control interno o la gestión de riesgos del sistema de información.
6) La auditoría de la contratación de bienes y servicios informáticos.
54
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
SISTEMA DE CONTROL INTERNO
El control más efectivo es el que está ligado directamente a la actividad de la organización. La Administración Tributaria tiene establecidos controles en los sistemas de información, integrados en el sistema de control interno corporativo. Los controles pueden ser de dos tipos:
Controles destinados a monitorizar el funcionamiento del propio sistema de información, coadyuvando a su mejora.
Controles dedicados al seguimiento y a las tareas de prevención de riesgos y detección de incidencias en las diversas áreas de negocio de la organización.
EPÍGRAFE 17.5.3EPÍGRAFE 17.5.3EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN
55
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1)
Este tipo de actuaciones de auditoría presuponen implícitamente la existencia de un sistema de control interno que monitorea y supervisa las actividades auditadas, en el que participa la organización en su conjunto.
El proceso de supervisión del control interno es el siguiente:
En primer lugar y durante la fase de planificación, el auditor informático obtiene, si no cuenta previamente con él, un conocimiento suficiente de la organización:
Objetivos, estándares y procedimientos, procesos y planificación de las instalaciones y unidades de informática.
EPÍGRAFE 17.5.4EPÍGRAFE 17.5.4ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
56
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2)
Recursos humanos y materiales.
Significado y estructura de los datos.
En segundo lugar, el auditor informático identifica los controles establecidos en el sistema de información que deberían estar asociados a los riesgos relevantes.
En tercer lugar y durante el desarrollo de la auditoría, el auditor informático evalúa el control interno ejercido por la organización para obtener dos resultados principales.
Una adecuación del Plan anual de Actuaciones a los conocimientos adquiridos, insistiendo en los riesgos no eliminados o no mitigados convenientemente.
La propuesta de mejoras para hacer más eficaz el control.
EPÍGRAFE 17.5.4EPÍGRAFE 17.5.4ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
57
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
PRUEBAS DE AUDITORÍA
Durante el desarrollo de la auditoría, el auditor informático efectúa pruebas de los distintos controles habilitados en los procesos de la organización, en particular:
Repite la ejecución de las pruebas y controles programados por el sistema de control interno, en principio por medios alternativos.
Verifica la efectiva implantación y la seguridad, tanto del hardware como del software.
Realizando pruebas adicionales si los resultados obtenidos no son concluyentes.
EPÍGRAFE 17.5.4EPÍGRAFE 17.5.4ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
58
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
TIPOS DE PRUEBAS DE AUDITORÍA
Pruebas de cumplimiento:
Determinan si los controles están establecidos y si están siendo aplicados adecuadamente, es decir de una forma que cumple con las políticas y procedimientos establecidos en la organización.
Pruebas sustantivas:
Persiguen la comprobación de los resultados obtenidos por el control y evalúan por tanto de esta forma directamente la eficacia del control.
Las pruebas de cumplimiento suelen realizarse antes que las pruebas sustantivas. Si de las primeras se obtiene una evidencia suficiente de que el control esta establecido y es adecuado, probablemente se habrán alcanzado los objetivos de la auditoría. Si las pruebas de cumplimiento no son determinantes, se llevarán a cabo pruebas sustantivas adicionales.
EPÍGRAFE 17.5.4EPÍGRAFE 17.5.4 ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
59
CO
NTR
OL Y
AU
DIT
OR
ÍA I
NTER
NA
EPÍGRAFE 17.6.1EPÍGRAFE 17.6.1 OBJETIVO DEL PROYECTO
IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA INFORMÁTICA EN EL OAI
Las funciones de la unidad son las encomendadas a la auditoría de sistemas de información en las organizaciones, reflejadas en el Epígrafe 17.2.3, del Sistema de Control Normado y especialmente las de:
Supervisar el control interno de los sistemas de información.
Desarrollar actuaciones de auditoría en el área informática de la organización.
Colaborar en las actuaciones del resto de unidades del OAI, de acuerdo con su particular especialización.
La unidad aplicará en sus actuaciones la siguiente metodología:
Los métodos y procedimientos generales del OAI.
Los específicos de la auditoría de sistemas de información.