Company

LOGO

AUDITORA III
(Auditora de Sistemas Automatizados)

Estructura del curso

I. Definicin de la auditora informtica
II. Impacto de la tecnologa en la profesin de
contadura pblica
III. Alcance y desarrollo de la auditora informtica

Contenido I

Concepto de Auditoria Informtica.

Campo de Accin de la auditoria informtica.
Auditores de SI y Financieros trabajando juntos
Auditoria asistida por computadora (CAAT)
Como las tcnicas de auditoria asistidas por computadora
pueden mejorar la eficiencia de la auditoria.
Presentacin de las herramientas de auditoria (ACL,
SECCHECK y otros)
Que hace el software de auditoria
Que paquetes de software de auditoria estn hoy disponibles
La Auditora Informtica como parte de la Auditora Externa
La Auditora Informtica como parte de la Auditora Interna

Auditora
Definicin de Auditora
Proceso sistemtico por el cual
una persona competente e independiente,
obtiene y evala objetivamente evidencia relativa a
aseveraciones sobre una entidad o evento econmico,
con el propsito de formarse una opinin y reportar el
grado en que la aseveracin est acorde con un conjunto
de estndares identificados

Auditora Informtica
Definicin de Auditora de TI*
Proceso de recoleccin y evaluacin de evidencia para
determinar si los SI** y los recursos relacionados:
- Salvaguardan adecuadamente los activos,
- Mantienen la integridad de los datos y del sistema,
- Proveen informacin relevante y confiable,
- Alcanzan efectivamente los objetivos organizacionales,
- Utilizan los recursos eficientemente, y
- Cuentan con controles internos que provean una seguridad razonable de que los
objetivos operacionales y de control sern satisfechos y de que los eventos no
deseados sern prevenidos o detectados y corregidos de manera oportuna

* TI = Tecnologas de Informacin
** SI = Sistemas de Informacin

COMO ES VISTO UN AUDITOR?

EL OJO SECO
EL POLICIA
EL SABELOTODO
BUSCA CULPABLES

ES NECESARIO CAMBIAR STOS CONCEPTOS

Impacto de TI en los Negocios

TODOS los procesos de negocios son afectados por los
cambios tecnolgicos
Grandes volmenes de informacin son procesados de manera
automtica, integrada, rpida y sin evidencia fsica
Los niveles de inversin en IT cada vez mayores debido a
nuevas y novedosas formas de hacer negocio
La economa interconectada crea ambientes complejos y las
decisiones deben ser tomadas rpidamente
Pequeos errores pueden causar grandes desastres
econmicos y operacionales

NUEVOS E IMPORTANTES RIESGOS APARECEN

Riesgo: La exposicin potencial a situaciones que pueden afectar el

logro de los objetivos de una organizacin, generar prdidas o
mermar potenciales utilidades.

CUALES RIESGOS ?
Exposicin al FRAUDE se incrementa:
Informacin NO PROTEGIDA apropiadamente
Procesamiento NO CONFIABLE
DEFICIENTE CONTROL sobre los datos
Probabilidad de ERRORES Y SORPRESAS se incrementa:
Sistemas con controles deficientes
Procesos no adecuados
Sistemas no integrados adecuadamente

 CUALES RIESGOS ?
Personal de auditora NO est preparado para auditar la
nueva tecnologa
Existan riesgos tecnolgicos NO evaluados
CONTROLES automatizados insuficientes
Revisiones incompletas o no enfocadas
DEPENDENCIA total del negocio hacia la Tecnologa
Exposicin a ATAQUES e INTERRUPCIONES
Como operar mi negocio sin tecnologa?
La infraestructura tecnolgica es confiable?

Puedo dormir tranquilo?

Realmente puedo vivir tranquilo?

Finalidad de la AI

Asegurar, respecto a la TI en la organizacin lo siguiente:

Existencia de pistas de auditora
Existencia de controles adecuados con respecto a la entrada de datos
y al mantenimiento de la integridad de los mismos
El manejo adecuado de las excepciones y de los rechazos originados
por los controles
El aseguramiento de que las polticas corporativas y gubernamentales
sean cumplidas
La verificacin de que los sistemas se comporten conforme fueron
definidos
El control sobre las modificaciones a los sistemas
La existencia de controles y procedimientos de seguridad
El aseguramiento de la adecuado interconexin entre los diversos
sistemas

Auditora de TI
Campo de accin de la AI

Seguridad de la Informacin
PKI Firmas Digitales
Seguridad Aplicativa
Firewalls
Calidad de Datos
Deteccin de Intrusin
Seguridad de Bases de Datos
Sistemas de Informacin
Confidencialidad y privacidad
Servicios de Administracin
de Seguridad
Gestin de Servicios de TI
Confiabilidad de Procesos
Desarrollo de Software

Seguridad en S.Os
Seguridad en Red
Single Sign-on
Otorgamiento de
Accesos
Polticas y
Procedimientos
Controles Generales
Monitoreo de Datos
Attack & Penetration
VPNs
Seguridad inalmbrica
(Wireless)
Bio-mtricos y
autenticacin robusta

PREGUNTA
Es posible que el Auditor financiero y el Auditor
de Sistemas puedan realizar su trabajo (coexistir
en la organizacin) de forma independiente???

CUAL ES LA MEZCLA PERFECTA EN ESTA RELACIN???

Misin de una auditora de TI

La Misin se cumple si:

Se logra desarrollar e implementar una estrategia de auditora
basada en riesgos
Se plantean auditora especficas para validar que las TI se
encuentren protegidas y controladas
Se llevan a cabo auditoras basadas en estndares, directrices y
mejores prcticas
Se comunican los hallazgos, riesgos potenciales y resultados a las
cabezas de la organizacin
Se asesora sobre la implementacin de la administracin de riesgos
y las prcticas de control de la organizacin al tiempo que se
mantiene la independencia
Se provee un nivel adecuado de soporte a los auditores financieros
con un mismo enfoque pero aplicando conocimientos y tcnicas que
generalmente stos no conocen

Perfil de un auditor informtico

Corresponde a un Ingeniero o Tcnico en Informtica en
cualquiera de sus especialidades, pero ms concretamente la
especialidad de Gestin. O tambin a un profesional al que se le
presupone cierta formacin tcnica en informtica y experiencia
en el sector, independencia y objetividad, madurez, capacidad
de sntesis, anlisis y seguridad en s mismo.
Debe disponer de conocimientos tanto en la normativa aplicable,
como en informtica, como en la tcnica de la auditora, siendo por
tanto aceptables equipos multidisciplinarios formados por titulados
en Ingeniera Informtica o Tcnicos en Informtica y Licenciados
especializados en el mundo de la auditora.

Certificaciones

La necesidad de contar con lineamientos y herramientas
estndar para el ejercicio de la auditora informtica ha
promovido la creacin y desarrollo de mejores prcticas como
COBIT , ITIL, ISO.

Actualmente la certificacin de ISACA para ser CISA Certified
Information Systems Auditor es una de las ms reconocidas y
avaladas por los estndares internacionales.

El proceso de seleccin consta de un examen inicial bastante
extenso y la necesidad de mantenerse actualizado acumulando
horas (puntos) para no perder la certificacin.

Tipos de Auditora Informtica

Auditora de la gestin: Referido a la contratacin de bienes y servicios,

documentacin de los programas, etc.
Auditora de los datos: Clasificacin de los datos, estudio de las aplicaciones y
anlisis del tratamiento de dichos datos.
Auditora de las bases de datos: Controles de acceso, de actualizacin, de
integridad y calidad de los datos.
Auditora de la seguridad: Referidos a datos e informacin verificando
disponibilidad, integridad, confidencialidad, autenticacin.
Auditora de la seguridad fsica: Referido a la ubicacin de la organizacin,
evitando ubicaciones de riesgo, y en algunos casos no revelando la situacin fsica
de esta. Tambin est referida a las protecciones del entorno.
Auditora de la seguridad lgica: Comprende los mtodos de autenticacin de los
sistemas de informacin.
Auditora de las comunicaciones. Se refiere a la auditoria de los procesos de
autenticacin en los sistemas de comunicacin.
Auditora de la seguridad en produccin: Frente a errores, accidentes y fraudes.

MI AUDITOR ENTIENDE MI
NEGOCIO?

Entender el Negocio - TIPS

Recorrer las instalaciones
Leer documentacin, publicaciones, reportes
financieros independientes
Revisar planes estratgicos
Entrevistar gerentes claves para entender los
problemas del negocio
Estudiar regulaciones aplicables
Revisar reportes anteriores

Entender
EntenderelelNegocio
Negocio--TIPS
TIPS
Identificar los requisitos del gobierno
Documentar las leyes y regulaciones pertinentes
Determinar si estos requisitos han sido
considerados en planes, polticas, etc.
Revisar documentos de cumplimiento

Entender el Negocio
Conocimiento del negocio

La clave para desarrollar una buena estrategia de auditora, es

formarse un adecuado punto de vista sobre los riesgos del
negocio. En este sentido es crtico no aceptar slo el punto de vista
de la administracin del cliente, sino realizar una adecuada
investigacin que permita tener una opinin ms objetiva sobre ste.

Auditores de SI y Financieros trabajando

juntos

Qu impide
trabajar bien ?
Competencias

Ventajas de trabajar
juntos

Como podemos
mejorar?

Puntos de Unin

Competencias

23

Los auditores de SI y
Financieros tienen
diferentes fortalezas y
competencias !! Hay que
tener en cuenta el
conocimiento y
experiencia para los
equipos de trabajo.

Los Auditores de SI deben:

Demostrar un avanzado entendimiento de procesos de negocios,

administracin de riesgos, controles automatizados y estndares
relacionados.

Identificar y evaluar ciclos complejos, riesgos tecnolgicos y

controles.

 Puntos de conexin en la aplicacin

del enfoque, metodologa y
documentacin
Diferencia en competencias y
fortalezas
El proceso de coordinacin,
planeacin, y realizacin del
compromiso de auditora
Inadecuada comunicacin

24

Qu impide trabajar
bien ?

 Calidad de la auditora realizada.

Mejoramiento en prximas auditoras.

Ventajas de trabajar
juntos

Mejoras en la comunicacin y
colaboracin
Capacidad de cumplir las expectativas
de los stakeholders relacionadas con
efectividad y eficiencia.
Mejor entendimiento de los procesos,
sistemas y controles.

25

 Tener un plan de reuniones que incluya personal representativo

de: Auditora Financiera, Auditores de SI y otras lneas de servicio
Los interesados deben atender las discusiones principales y
reuniones con la administracin y los encargados de gobierno.

Tener un resumen de las reuniones

entre los auditores de SI y Auditora
despus del trabajo de campo que
describa los resultados y el rol del
especialista en la auditora

26

Como podemos
mejorar?

Deber: Investigacin # 1

Qu son las normas NIA e ISA (Norma Internacional de Auditoria o

International Standards on Auditing) ?
Qu son las normas SAS ?
Qu son las normas SAP?

Para el trabajo indicar:

En mximo 4 lneas describir el concepto de la norma. Letra: Arial Tamao: 12

Indicar el nmero de normas que se tienen por cada una.

Fecha de entrega: Lunes 16 de abril hasta las 17:00 horas se

receptaran el trabajo en el correo:

Tcnicas manuales de revisin

Inspeccin de documentos, procedimientos, activos, para verificar su

existencia, mas que para determinar la forma en que se estn
utilizando.
Observacin de procesos o acciones
Investigacin o indagacin.
Confirmacin ratificar datos.
Clculo precisin matemtica
Revisin analtica investigacin de fluctuaciones o partidas poco
usuales.

CAATs (Computer Assisted Audit Techniques )

Tcnicas de auditora asistidas por computador

Con el objetivo de Obtener evidencia: suficiente,

relevante y til; sobre la validez de la
aseveracin probada, se han desarrollado
tcnicas de auditora que se basan en la
aplicacin de mtodos y programas que utilizan
computadoras para lograr recopilar dicha
evidencia.

CAATs (Computer Assisted Audit Techniques )

Tcnicas de auditora asistidas por computador

SAP 1009 (Statement of Auditing Practice) denominada

Computer Assisted Audit Techniques (CAATs) o Tcnicas
de Auditoria Asistidas por Computador (TAACs), plantea la
importancia del uso de TAACs en auditoras en un entorno
de sistemas de informacin por computadora (ver siguiente
lmina)

CAATs (Computer Assisted Audit Techniques )

Tcnicas de auditora asistidas por computador

1. Pruebas de detalles de transacciones y balances (Reclculos

de intereses, extraccin de ventas por encima de cierto valor, etc.)
2. Procedimientos analticos, por ejemplo identificacin de
inconsistencias o fluctuaciones significativas.
3. Pruebas de controles generales, tales como configuraciones
en sistemas operativos, procedimientos de acceso al sistema,
comparacin de cdigos y versiones,
4. Programas de muestreo para extractar datos.
5. Pruebas de control en aplicaciones.
6. Reclculos.

CAATs:
CAATs: Tcnicas
Tcnicasde
deauditora
auditoraasistidas
asistidaspor
porcomputador
computador
Las herramientas CAAT son muy importantes para los
auditores de SI en la recoleccin independiente de
informacin (obtencin de evidencia).

Incluyen:
Software de auditora (ACL, IDEA, etc.)
Software utilitario (Excel, Access, etc.)
Datos de prueba
Software de aplicacin para auditoras continuas en
lnea
Sistemas expertos de auditora

CAATs:

Tcnicas de auditora asistidas por computador

Es necesario que el auditor de TI posea un

entendimiento profundo sobre las CAATs para
saber dnde y cundo aplicarlas.
Generalmente corresponden a la ejecucin de
pruebas especficas componentes de la
auditora general.

CAATs:

Tcnicas de auditora asistidas por computador

Ventajas de las CAATs:

Reducen el nivel de riesgo de la auditora

Permiten una mayor independencia respecto del auditado
Cobertura de auditora ms amplia y eficiente
Disponibilidad de informacin con mayor rapidez
Identificacin mejorada de excepciones
Mayor flexibilidad en tiempos de ejecucin de programas
Mayor oportunidad para cuantificar las debilidades de control
interno
Muestreo mejorado

CAATs:

Tcnicas de auditora asistidas por computador

Pasos para realizar una CAAT: Ver ejemplo

Primero.- Definir el objetivo de la prueba de auditora
Segundo.- Analizar los elementos de la aplicacin que se
intenta auditar
Disear la lgica general del programa de revisin
Codificar la prueba y ejecutarla sobre una muestra reducida
Ejecucin de la prueba y documentacin de resultados

CAATs:

Tcnicas de auditora asistidas por computador

Es necesario realizar un anlisis breve antes de decidirnos

por utilizar una CAAT, los criterios pueden ser:

Facilidad de uso
Requerimientos de entrenamiento
Complejidad de la codificacin
Flexibilidad de uso
Requerimientos de instalacin
Eficiencia de procesamiento
Esfuerzo requerido para desarrollar los anlisis

CAATs: Software de Auditora

Segn SAP1009 (Statement of Auditing Practice) , en su
pargrafo 26:
"El software de auditora consiste en programas de
computadora usados por el auditor, como parte de sus
procedimientos de auditora, para procesar datos de
importancia de auditoria del sistema de contabilidad de la
entidad.
Puede consistir en programas de paquete, programas
escritos para un propsito, programas de utilera o
programas de administracin del sistema.
Independientemente de la fuente de los programas, el
auditor deber verificar su validez para fines de auditora
antes de su uso".

CAATs: Datos de prueba

Se alimenta la aplicacin con datos preparados por el auditor
y de los cuales conoce los resultados luego de procesarlos.
El objetivo es conocer que hace el programa y la accin de
los controles implementados su ausencia.
Uso: - Evaluacin de controles especficos.
- Verificacin de validaciones
- Prueba de perfiles de acceso
- Prueba a transacciones seleccionadas

CAATs: Sistemas expertos de auditora

Es un programa de computacin que utiliza datos
almacenados reglas que, aplicadas imitan el
accionar de un experto humano, Un experto humano
tiene, fundamentalmente, la capacidad de
determinar la probabilidad de un resultado concreto
en circunstancias rodeadas de un alto grado de
incertidumbre. Esa capacidad esta dada por
condiciones de experiencia y criterio.

CAATs: Simulacin Paralela

Programas independientes creados por la auditora para
procesar datos reales y simular proceso real.

Preguntas?

La Auditora Informtica como parte de la Auditora Externa

Se define como Auditora Externa a la revisin

independiente especfica realizada por personal
especializado, externo de la empresa, a fin de contar con
una mayor objetividad debido al mayor distanciamiento
entre Auditor y Auditado
Legalmente las empresas (Ley de Compaas art. 318)
por ciertas restricciones deben presentar sus EFs
anuales auditados:
Balance General
Estado de Resultados
Estado de evolucin del Patrimonio
Estado Flujo Efectivo

La Auditora Informtica como parte de la Auditora Externa

El soporte requerido para realizar dicha revisin

independiente, especialmente en ambientes de
procesamiento de informacin significativamente
dependientes de sistemas, implica el involucramiento de
profesionales expertos en revisin de controles sobre los
sistemas y en pruebas contables sobre grandes
volmenes de informacin.

La Auditora Informtica como parte de la Auditora Interna

Se define como Auditora Interna al ente de la

organizacin que se encarga de velar por el
cumplimiento del Control Interno, generalmente son
personas que pertenecen a la organizacin o terceros
contratados exclusivamente para dicha funcin principal
y dems funciones secundarias que se le designen
considerando siempre la independencia.
La auditora interna tiene la ventaja de que puede actuar
peridicamente realizando Revisiones globales, como
parte de su Plan Anual y de su actividad normal

La Auditora Informtica como parte de la Auditora Interna

Dicho Plan de auditora debe considerar las actividades

de revisin sobre los sistemas de la compaa y
considerar que el responsable de realizar dicho trabajo
debe contar con la actitud y aptitud para ejecutarlo y
lograr los resultados esperados.