Beruflich Dokumente
Kultur Dokumente
Pgina 1
ANEXOS
Diagrama de Flujo de la Auditora de Tecnologas de Informacin
Pgina 2
Pgina 3
I. GENERALIDADES
INFORMACIN
DE
LA
GUA
DE
AUDITORA
DE
TECNOLOGAS
DE
I.1. Antecedentes
La Auditora Superior del Estado es el rgano del Poder Legislativo del Estado de
Chihuahua que por disposicin de la Constitucin Estatal y de conformidad con la ley
que la crea, tiene la funcin de auditar el ingreso y la aplicacin de los recursos pblicos
de los tres poderes de Gobierno del Estado, los Ayuntamientos, los organismos que por
disposicin constitucional estn dotados de autonoma, los organismos pblicos
descentralizados, empresas de participacin y fideicomisos de la administracin pblica
o privada, que reciba, maneje, recaude o administre recursos pblicos, con la finalidad
de coadyuvar al desarrollo permanente de la eficiencia, eficacia, economa y
transparencia de la gestin pblica.
La fiscalizacin de los recursos pblicos debe realizarse desde el punto de vista
financiero, contable, presupuestal, tcnico de obra, legalidad y de gestin; la revisin
de las cuentas pblicas se realizaba de manera bidireccional, es decir solo desde el
punto de vista financiero y de obra, lo que ocasionaba que la gestin gubernamental
dejara de ser evaluada bajo la ptica de otras varias disciplinas para cumplir con mayor
eficiencia la funcin que nos han encomendado, es indispensable incorporar en los
procesos de auditora, disciplinas tales como: Tecnologas de la Informacin, Ambiental,
Legalidad y Desempeo, logrando as que el recurso pblico sea auditado y fiscalizado
bajo la perspectiva multidisciplinaria, dando pauta a la fiscalizacin multidireccional.
Con el modelo multidireccional que la Auditora Superior del Estado de Chihuahua est
implementando para desarrollar su facultad de fiscalizacin de la cuenta pblica,
incorpora el rea de auditora de tecnologas de informacin, en donde una de las
funciones de sta rea, es conocer la situacin en la cual se encuentran las tecnologas
de informacin de los entes pblicos.
Pgina 4
Pgina 5
Pgina 6
Pgina 7
Pgina 8
Pgina 9
Pgina 10
organizacin, vinculando los distintos procesos del negocio con los recursos
informticos que los sustentan.
Pgina 11
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin
Figura 2. Cubo de los procesos y actividades del COSO
Pgina 12
Sarbanes-Oxley, SOX
Actualmente las organizaciones estn expuestas a ataques que propicien la prdida
de informacin y fraudes, para minimizar los riesgos de fraude, las empresas se
requieren revisar, evaluar y fortalecer sus propios controles internos.
Pgina 13
Normas
personales
Planeacin y supervisin
Estudio y evaluacin del control interno
Normas de Obtencin de evidencia suficiente y competente
ejecucin
Aplicacin de las NIF
Revelacin suficiente
Normas de Opinin del auditor
informacion
Normas y Procedimientos de
Auditora y Normas para
Atestiguar
Normas Internacionales de
Auditoria
Pgina 14
Pgina 15
Pgina 16
El conocimiento preliminar
II.
La planeacin
III.
Ejecucin de la auditora
IV.
Solicitud de requerimientos
Estudio y evaluacin del control
interno
Acuerdo fechas
I
CONOCIMIENTO
PRELIMINAR
II PLANEACIN
IV
ELABORACIN
DEL INFORME
III EJECUCIN
DE LA
AUDITORA
Desarrollo de procedimientos
Formulacin de posibles observaciones
y/o recomendaciones
Comunicacin de posibles observaciones
y/o recomendaciones
Pgina 17
Pgina 18
II.
A un sistema en operacin
Auditora de redes
Pgina 19
Pgina 20
d. Sntomas de Inseguridad:
Seguridad lgica.
Seguridad fsica.
Confidencialidad.
Pgina 21
Pgina 22
II.4. Principios
La Auditora Superior, en el ejercicio de sus atribuciones, se regir por los principios de
posterioridad, anualidad, legalidad, imparcialidad, eficiencia, eficacia, economa y
transparencia.
a. Posterioridad: las acciones de la Auditora se llevarn a cabo una vez que los entes
pblicos hayan presentado su cuenta pblica anual, conforme lo establece la norma
vigente aplicable.
b. Anualidad: el perodo de revisin debe estar acotado a un ejercicio fiscal de los
entes, con salvedad de las hiptesis previstas en la propia normatividad.
c. Legalidad: la operacin de los entes pblicos se rige por la normatividad que
establece el marco jurdico que le aplica.
d. Imparcialidad: las auditoras se realizarn a los entes pblicos de una manera objetiva
y veraz.
e. Eficacia: capacidad de lograr los objetivos y metas programadas con los recursos
disponibles en un tiempo predeterminado.
f. Eficiencia: uso racional de los medios con que se cuenta para alcanzar un objetivo
predeterminado; es el requisito para evitar o cancelar dispendios y errores.
g. Economa: la adquisicin de bienes y servicios en mejores condiciones de precio,
calidad, cantidad y oportunidad, as como la ptima aplicacin de los recursos utilizados
en la administracin para la reduccin al mnimo de los costos.
Pgina 23
Pgina 24
Pgina 25
Pgina 26
Conocimiento
preliminar
Elaboracin del
Informe Tcnico de
Resultados
Planeacin
Ejecucin de la
auditora
Pgina 27
III.2. Planeacin
La Planeacin es la primera fase del proceso de auditora, en ella se identifican las reas
crticas e informacin del rea de tecnologas de informacin, a partir del cual se
determina el alcance, procedimientos de revisin y el equipo auditor comisionado, con
el propsito de definir los objetivos de auditora teniendo como resultado la Planeacin
de la Auditora.
Pgina 28
Solicitud de
informacin
Estudio y
Evaluacin de CI
Programacin
Integracin
Planeacin
CATI
GUA DE LA AUDITORA DE TECNOLOGAS DE INFORMACIN
AUDITORA DE TECNOLOGAS DE INFORMACIN
Pgina 29
Pgina 30
Pgina 31
Pgina 32
b. Reuniones interinstitucionales:
Como parte del ente pblico a auditar y de la problemtica a ser considerada en
el diagnstico inicial, los auditores realizarn reuniones, de ser posible, con los
funcionarios del ente, con el fin de conocer su forma de trabajo, establecer el
contacto inicial con los responsables de rea, con la finalidad de obtener una
mayor eficiencia en la revisin.
c. Sistematizacin y bsqueda de la informacin:
Comprende la revisin de informacin que se obtiene a partir de publicaciones,
estudios de investigacin, Internet, sistemas de informacin y otras adicionales a
la informacin obtenida del ente a auditar.
d. Anlisis de hechos:
Para identificar el problema principal o rea crtica objeto del desarrollo de la
auditora, es necesario que los auditores se basen en hechos y no se dejen guiar
solamente por el sentido comn, la experiencia o la habilidad; lo cual podra
ocasionar un resultado contrario al esperado.
e. Levantamiento de la informacin bsica y detallada:
El levantamiento de informacin que se realiza en esta etapa, tiene como
finalidad asegurar que el auditor comprenda la filosofa y las caractersticas de
funcionamiento de los procesos de negocio y sistemas de informacin en
estudio. Esto es imperativo dentro del proceso de la auditora, puesto que toda
la pericia y el conocimiento tcnico del auditor seran inaplicables si antes no
obtiene la comprensin de aspectos claves del universo que ser auditado.
Pgina 33
Estructura organizacional.
Dependencias de la organizacin.
Personas
claves
que
dan
soporte
tcnico
la
operacin
Pgina 34
Pgina 35
Pgina 36
Pgina 37
III.2.4. Programacin
El Programa Anual de Auditora que al efecto se elabore por la ASE, establecer el
universo de entes pblicos a auditar durante el ejercicio fiscal que corresponda,
asimismo establece la calendarizacin dentro de la programacin de las auditoras.
De igual forma se comisiona al equipo de auditores de TI para llevar a cabo las
auditoras del Programa Anual de Auditora. El programa de trabajo se formula en
papeles o medios magnticos en los cuales generalmente se anotarn los siguientes
encabezados:
Variacin: Para anotar los tiempos reales respecto a los estimados y hacer
las explicaciones pertinentes.
III.2.5. Integracin
Considerado como el ltimo de los procesos en la fase de planeacin. Es aqu donde se
consolida la informacin generada y que documentalmente establece la evidencia del
Pgina 38
Inicio de la
auditora
Desarrollo de
procedimientos
Formulacin de
posibles observaciones
Archivo de papeles de
trabajo
Comunicacin de
observaciones
Cierre de
auditora
Informe previo
Pgina 39
En esta fase, el equipo auditor realizar de ser necesario los ajustes al programa de
auditora, con el fin de lograr el objetivo de la misma, registrando los cambios.
Pgina 40
Pgina 41
En esta etapa los auditores deben evaluar el sistema de control interno existente
en los procesos de negocio y sistemas de informacin objeto de la auditora,
como base para determinar la naturaleza y extensin de las pruebas de auditora
que se requieran. Evaluar el sistema de control interno significa: Determinar si
los controles establecidos en los procesos de negocio y los sistemas de
Pgina 42
detectar y corregir las causas de los riesgos y minimizar el impacto que estos
tendran en caso de llegar a materializarse.
La evaluacin del sistema de control interno produce resultados intermedios, de
valor importante para las etapas restantes del proceso de auditora, estos son:
1) El auditor fundamenta su opinin sobre la confiabilidad que ofrecen los
controles utilizados, para reducir la probabilidad de ocurrencia o el impacto de
los riesgos. Los resultados de esta evaluacin sirven al auditor como base para
determinar la naturaleza y extensin de las pruebas de auditora que se
consideren necesarias y apropiadas a las circunstancias.
2) El auditor identifica y soporta debilidades y oportunidades de mejoramiento
(observaciones de auditora) en la estructura de los controles. Estas
observaciones son insumos para el informe de auditora.
3) El auditor identifica los controles que debern verificarse en la etapa de
ejecucin de pruebas de auditora, para determinar que realmente existen, estn
operando y son entendidos por las personas encargadas de ejecutarlos (pruebas
de cumplimiento).
Pgina 43
Pgina 44
Pgina 45
Objetivo
Actividades a desarrollar
Lugares a visitar
Recursos humanos
Apoyo logstico
Duracin
Responsable
Pgina 46
Debe estar basado en una razn suficiente para respaldar las conclusiones.
Debe ser convincente y claro para una persona que no haya participado
en la auditora.
Pgina 47
Pgina 48
Pgina 49
Evaluacin de
observaciones
y comentarios
Informe Tcnico de
Resultados (ITR)
Entrega a Comisin de
Fiscalizacin
Publicacin
del ITR
Pgina 50
Pgina 51
III.4.2.2. Procedimientos
Desarrollo de la Estructura y Contenido del Informe: la elaboracin del informe, est a
cargo del equipo de auditora conjuntamente con la supervisin y debe ser redactado
en base al ndice de reas auditadas, integrando las observaciones encontradas, as
como a las recomendaciones segn las mejores prcticas.
Revisin del Informe: recae en el titular del rea la revisin del informe realizado por el
auditor encargado, para obtener un producto final de calidad.
III.4.2.3. Resultado de la elaboracin del informe
Informe de Auditora: es el producto principal de la auditora de tecnologas de
informacin y contiene las observaciones, conclusiones y recomendaciones orientadas a
la mejora de los procesos y actividades de la entidad auditada.
Ficha Tcnica: Es aquella que concentra los asuntos ms importantes de la auditora,
debe ser breve y contener la posicin de la ASE frente a la problemtica evaluada.
III.4.3. Aprobacin
Concluida la elaboracin del informe del rea de auditora de tecnologas de
informacin, es revisado por la instancia de normatividad para su aprobacin legal y
posteriormente remitirlo al ente auditado para la respuesta a las observaciones que
integra el mismo, con la finalidad de agotar el derecho de audiencia del auditado.
III.4.3.1. Remisin a la entidad:
La remisin del informe de auditora deber estar acorde a los plazos establecidos en el
programa anual de auditora y disposiciones legales aplicables, permitiendo as que la
informacin motivo del informe, sea utilizada oportunamente por el titular de la entidad
Pgina 52
Conocimiento
Preliminar
Inicio de la
Auditora
Desarrollo de
Procedimientos
Evaluacin de
observaciones y
comentarios
Estudio y
Evaluacin del CI
Formulacin de posibles
observaciones
Programacin
Comunicacin de
observaciones
Cierre
Conclusin ITR
Solicitud de
Informacin
Integracin
Planeacin
Informe Previo
Entrega a la Comisin
de Fiscalizacin
Pgina 53
GLOSARIO
Aplicacin: Aunque se suele utilizar indistintamente como sinnimo genrico de
'programa' es necesario subrayar que se trata de un tipo de programa especficamente
dedicado al proceso de una funcin concreta dentro de la empresa.
Aplicacin Web: Aplicaciones que los usuarios pueden utilizar accediendo a un servidor
web a travs de Internet o de una intranet mediante un navegador.
ASE: Auditora Superior del Estado de Chihuahua.
Auditor: Persona que efecta una auditora
Auditora: Examen de las operaciones de una empresa por especialistas ajenos a la
operacin y con objetivos de evaluar el ambiente de control y la situacin de la misma.
Bases de Datos: Coleccin de datos organizados para que a travs de las aplicaciones y
programas la computadora pueda acceder rpidamente a ella.
COBIT: Objetivos de Control para la Informacin y las Tecnologas Relacionadas.
Confidencialidad: Se refiere a que la informacin solo puede ser conocida por
individuos autorizados.
Control Interno: Conjunto de objetivos, polticas, procedimientos y registros con el
propsito de:
I. Procurar mecanismos adecuados de operacin, acordes con las estrategias y
fines de las instituciones, que permitan identificar, dar seguimiento y evaluar los
riesgos que puedan derivarse de las actividades del negocio, con propsito de
Pgina 54
Pgina 55
para
supervisar
el
negocio,
obtener
informacin
proporcionar
Pgina 56
Papeles de trabajo: Registro del trabajo del auditor, el cual contiene la evidencia del
trabajo realizado, sus observaciones y los resultados y conclusiones extradas a la
evidencia obtenida. Se utilizan para controlar el progreso del trabajo realizado y para
respaldar la opinin del auditor. Los papeles de trabajo pueden estar constituidos por
datos conservados en papel, pelcula, medios electrnicos u otros medios.
Planeacin: Consiste en prever cuales procedimientos de auditoria va a emplearse, la
extensin y oportunidad en que van a ser utilizados y el personal que debe intervenir en
el trabajo.
Poltica: Orientaciones o directrices que rigen la actuacin de una persona o entidad en
un asunto o campo determinado.
Procedimiento: Mtodo o sistema estructurado para la ejecucin de actividades.
Proceso: Conjunto de operaciones lgicas y aritmticas ordenadas, cuyo fin es la
obtencin de resultados.
Programa: Secuencia de instrucciones que obliga al ordenador a realizar una tarea
determinada.
Seguridad de la Informacin: Se refiere a la confidencialidad, integridad y
disponibilidad de la informacin y datos, independientemente de la forma, los datos
pueden ser: electrnicos, impresos, audio u otras formas.
Servidor o server: Ordenador que ejecuta uno o ms programas simultneamente con
el fin de distribuir informacin a los ordenadores que se conecten con l para dicho fin.
Pgina 57
Pgina 58
Pgina 59