T6 Auditoria de Sistemas 15 2
-
Upload
johann-chambilla -
Category
Documents
-
view
11 -
download
0
description
Transcript of T6 Auditoria de Sistemas 15 2
Instructor 1
Desarrollo de un marco
metodológico para el desarrollo de
una labor de Auditoría de
Sistemas
2
La metodología consiste en dar a conocer las pautas y
procedimientos mínimos necesarios para el desarrollo de una
labor de auditoría, desde la planificación hasta la
implementación de las recomendaciones emitidas en el informe
de auditoría. .
DEFINICION
Fuente:
NAGU y MAGU de la CGR
3
Planeamiento
FASES DE LA METODOLOGIA
Trabajo de campo
Formulación del informe
Seguimiento
Fase – I
Planeamiento de la Auditoría
4
5
Etapa 01.- Conocimiento de la Organización a Auditar
Etapa 02.- Formulación de los objetivos específicos en relación
al objetivo general de la Auditoria
Etapa 03.- Formulación de los Programas de Auditoria y
Cuestionarios de Control Interno para los objetivos específicos
a desarrollar
Etapa 04.- Elaboración del Cronograma de Auditoria
Etapa 05.- Aprobación del plan de auditoria
FASE 01.- PLANEAMIENTO DE AUDITORIA
6
Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar
7
Fase 01 - Etapa 02.- Formulación de los objetivos específicos en
relación al objetivo general de la Auditoria
Objetivo General Objetivos Específicos
Auditoria de Sistemas a la
Dirección de Tecnologías de
Información de la Entidad
Financiera ABC, Período 2008-
2009
Evaluar el licenciamiento de software
Evaluar las adquisiciones y contrataciones del Área
Evaluar los sistemas de información
Evaluar cumplimiento de la normatividad
Evaluar la Seguridad de la Información
Determinar el cumplimiento de planes de TI
Evaluar el Data Center y Data Center Alterno
Evaluación de los proyectos informáticos
Evaluar el cableado de data y eléctrica de la red
Evaluación de la satisfacción de la áreas usuarias
Evaluación de la Tercerización
8
Los programas de auditoria, son procedimientos que comprenden
una relación lógica, secuencial y ordenada que deberán ser
aplicados por el equipo de auditoria a efectos de obtener evidencias
suficientes, competentes y relevantes, necesarias para alcanzar el
logro del objetivo(s) de auditoria.
Estructura:
• Un objetivo especifico
• Alcance (área(s) y periodo de control)
• Criterios a aplicar (normatividad afecta)
• Personal encargado del desarrollo
• Requerimiento de recursos necesarios
• Procedimientos específicos (detallados) y el Cuestionario de
Control Interno
Fase 01 - Etapa 03.- Formulación de los Programas de
Auditoria y Cuestionarios de Control Interno para los objetivos
específicos a desarrollar
9
Definición de Cuestionario
• Un cuestionario es un instrumento de investigación
que se utiliza para el desarrollo de una investigación
en el campo de las ciencias sociales; es una técnica
ampliamente aplicada en la investigación de
carácter cualitativa.
• El cuestionario es "un medio útil y eficaz para
recoger información en un tiempo relativamente
breve" que tiene como objetivo buscar un fin
determinado. En su construcción pueden
considerarse preguntas cerradas, abiertas o mixtas.
Su construcción, aplicación y tabulación poseen un
alto grado científico y objetivo.
10
CUATRO PREGUNTAS CLAVE.
CUESTIONARIO
• 1. ¿De cuánto tiempo disponen quienes
responderán para contestar el
cuestionario?
• 2. ¿Cuánto tiempo tiene el investigador
para editarlo, presentarlo, aplicarlo,
codificarlo, procesarlo y analizarlo?
• 3. ¿Qué tan dispuestos están para
responder quienes van a contestar?
• 4. ¿Cuánto costará su aplicación?
11
Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas
Cerradas?
Preguntas Abiertas?
12
Tipos de Preguntas de Aplicación en
los Cuestionarios
Preguntas x
Rango?
Preguntas,
Varias
Fuente: Guía para la
implementación de un SCI para
Entidades del Estado (CGR)
13
Formular el tiempo que demoraría la labor de control, cuando
se tenga en forma completa los procedimientos a aplicar para
cada objetivo, el cual es recomendable que no exceda de 3 meses
Fase 01 - Etapa 04.- Elaboración del cronograma de auditoria
14
Fase 01 - Etapa 05.- Aprobación de la formulación del plan de
auditoria
Nuestro plan de auditoria para ser aprobado, deberá tener:
• Un objetivo general claramente establecido
• Un alcance de la labor de control
• Objetivos específicos bien determinados
• Programas de auditoria y CCI para los objetivos específicos
• Relación de Recursos Humanos requeridos
• Cronograma de ejecución y control
• Detalle de los recursos logísticos necesarios
Fase –II
Trabajo de Campo
15
16
Etapa 01.- Acreditación, instalación y solicitud de
información
Etapa 02.- Aplicación de programas y técnicas de auditoria
para la obtención de evidencias
Etapa 03.- Formulación de Hallazgos
Etapa 04.- Comunicación de hallazgos de auditoria.
Etapa 05.- Evaluación de descargos y desarrollo de debilidades
de control interno, comentarios y/o observaciones, conclusiones
y recomendaciones
Etapa 06.- Elaboración y revisión de los papeles de trabajo
FASE 02.- DESARROLLO DE TRABAJO DE CAMPO
17
Fase 02 y Etapa 02.- Aplicación de programas y técnicas de
auditoria para la obtención de evidencias
En cada objetivo especifico de control los auditores responsables, deben tener claro
que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden
hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una
labor de auditoría.
Objetivo XYZ
App. de Programa
de Auditoria
(PA)
RRHH
Asignados
Criterios de
Control y
Soporte
Logístico
La aplicación del PA, con
los RRHH adecuados bajo
los criterios de control
adecuados, bajo un tiempo
determinado va permitir
encontrar las …..
Evidencias
y/o
Riesgos
en TI
del
Negocio
para los
Hallazgos
18
Fase 02. Etapa 03.- Formulación de Hallazgos
Los Hallazgos de Auditoría, son el resultado
de la comparación realizado entre un criterio
y la situación encontrada (pasada y/o actual)
durante el desarrollo de la labor de auditoria.
Es toda información que a juicio del auditor
le permite identificar hechos o circunstancias
importantes que inciden en la gestión del
área en cumplimiento de sus objetivos, y que
por su naturaleza merecen ser comunicadas
posiblemente en el informe de auditoría.
Consultar: NAGU de la CGR y Normas de ISACA
19
Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho observado.
Condición.- Descripción de la situación irregular o deficiencia hallada,
cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control
que regulan el accionar de la entidad examinada.
Causa.- Es la razón fundamental por la cual ocurrió la condición, o el
motivo por el que no se cumplió el criterio o norma.
Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,
que ocasiono(a) la condición.
20
Efecto Causa Criterio Evidencia y/o Riesgo
Estructura de un Hallazgo
Sumilla.- Se refiere al titulo que se utiliza el hecho observado.
Condición.- Descripción de la situación irregular o deficiencia hallada,
cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control
que regulan el accionar de la entidad examinada.
Causa.- Es la razón fundamental por la cual ocurrió la condición, o el
motivo por el que no se cumplió el criterio o norma.
Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,
que ocasiono(a) la condición.
H
A
L
L
A
Z
G
O
Fase – III
Formulación del Informe de
Auditoría
21
22
FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”
01 Titulo del informe
02 Índice
03 Introducción
03.01 Origen
03.02 Objetivo
03.03 Alcance
03.04 Antecedentes/Resumen del Negocio
04 Comentarios / Otros Aspectos de Importancia (Opcional)
05 Observaciones
05.01 Formulación del hallazgo convertido en observación
05.02 Comentarios y/o aclaraciones del personal comprendido en las
observaciones
05.03 Evaluación de los comentarios y/o aclaraciones presentados
06 Conclusiones
07 Recomendaciones
08 Anexos
23
Marco General de los Hallazgos, Comentarios,
Observaciones, Conclusiones y Recomendaciones
Hallazgos
El la labor de
auditoría se
encuentran:
Supongamos
que tenemos
20 Hallazgos
Comentarios
Observaciones
Papeles de
Trabajo
10 Hallazgos
en comentarios
05 Hallazgos en
Observaciones
05 Hallazgos en
Observaciones
Conclusiones Recomendaciones
Conclusiones Recomendaciones
24
Diferencia entre una Observación y
un Hallazgo
• Un hallazgo, es una debilidad, delito y/o deficiencia encontrada durante la fase de trabajo de campo.
• Una observación, es un hallazgo no superado durante la etapa de evaluación de descargos que comprende a los responsables del hallazgo, la cual es puesto en el informe de auditoria.
25
La Observación
• Las observaciones son el resultado de la aplicación de los procedimientos de auditoria en la fase de trabajo de campo a través de la evaluación y contrastación de los hallazgos comunicados y no superado con los correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, con la documentación y evidencia sustentada.
• Las observaciones se refieren a hechos o situaciones de carácter significativo y de interés para la organización.
26
Estructura de la Observación
• 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación
• 04 Elementos (condición, criterio, efecto y causa)
• Comentarios y/o aclaraciones del personal comprendido en las observaciones
• Evaluación de los comentarios y/o aclaraciones presentados
• Un número asignado en forma secuencial con el que será puesto en el informe.
27
Estructura de la Observación, Conclusión
y Recomendación
• La conclusión.- Es el juicio de carácter
profesional que reflejara el auditor, basados en
la(s) observacion(es) correspondientes.
• La recomendación.- Es la formulación
preferentemente de orientación constructiva
para propiciar el mejoramiento de la gestión, se
formulan siguiendo el orden jerárquico de los
funcionarios responsables de implementarlos.
Basado en las observaciones y conclusiones
correspondientes.
28
Relación entre observación, conclusión
y recomendación
• Observación N° 01 “…………………………………...”
• ………………………………………………………………......
• ………………………….
• Conclusión N° 01
• ………………………………………………………………......
• ………………………………………………………………......
• …………………………….(Observación N° 01)
• Recomendación N° 01
• …………………………………………………………………..
• ……………………………………………..(Conclusión N° 01)
29
RECOMENDACIÓN
CONCLUSIÓN
OBSERVACIÓN
Efecto Causa Criterio
Que se refleja en un informe de auditoria?
Evidencia y/o Riesgo
Quien respalda el informe de auditoria?
Los papeles de trabajo de la labor de auditoria
Fase – IV
Seguimiento a las
Conclusiones y
Recomendaciones de los
Informes de Auditoría
30
31
La finalidad es determinar si la Organización a través de los
funcionarios responsables implemento las recomendaciones dadas
en los informes de auditoria en su oportunidad. El estado
situacional de la recomendación puede ser: pendiente, en proceso o
implementado.
Etapa 1.- Recopilación de información.
Etapa 2.- Evaluación de la documentación.
Etapa 3.- Formulación de Informes de Seguimiento.
Etapa 4.- Elevación de Informes de Seguimientos
FASE 04.- SEGUIMIENTO DE MEDIDAS
CORRECTIVAS DE LOS INFORMES DE AUDITORIA
32
Conclusiones
• Conocer una metodología general para la labor de
auditoria, que permita al equipo de control realizar su
labor de auditoría.
• Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar.
• La información obtenida de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.
• Los informes de control deben respetar una estructura
• No todas las organizaciones tienen oficinas de auditoria
interna que permitan realizar seguimiento a las
recomendaciones