ADACSI

2013

Capítulo I

- 1

1.6.15. Técnicas de Auditoría

Asistidas por Computadora

Las CAATs son herramientas importantes para recolectar información en los ambientes de TI.

Dada la diversidad de plataformas, motores de bases de datos, formatos de archivos, etc. es necesario contar con herramientas de software para recolectar y analizar evidencia.

Las CAATs también permiten reunir información de manera independiente (acceso lectura). (G3-Técnicas de Auditoría Asistidas por Computadora)

Conformadas por:

•Software generalizado de auditoría (GAS)

•Software utilitario (Ej. generadores de reportes de los sistemas de administración de bases de datos).

•Datos de prueba

•Sistemas expertos de auditoría

ADACSI

2013

1.6.15. Técnicas de Auditoría

Asistidas por Computadora

Analizar relación costo-beneficio antes de adquirirlos/desarrollarlos. Facilidad de uso, requerimientos soft-hard, capacitación, complejidad de codificación y mantenimiento, etc. Documentación en caso de desarrollo. Diagramas de flujo, descripción de registros y archivo, definiciones de campos, manual del usuario. La manipulación de datos de producción debería ser realizada sobre una copia en plataforma independiente. Método de auditoría continua en línea (Capítulo 3 – Gestión del ciclo de vida de sistemas e infraestructura).

Capítulo I

- 2

ADACSI

2013

Preguntas de práctica

Capítulo I

- 3

ADACSI

2013

1.6.16. Evaluación de Fortalezas y

Debilidades

– Valorar las fortalezas y debilidades de control

– Matriz de riesgo/control

– Controles solapados: dos controles fuertes. (Ej. tarjeta

de acceso + guardia policial).

– Controles compensatorios. Un control débil en una

aplicación es compensado por un control de revisión

posterior.

– Juzgar la importancia de los hallazgos. Requiere que se

juzgue el efecto potencial de los hallazgos si no se toma

una acción correctiva.

Capítulo I

- 4

ADACSI

2013

1.6.17. Comunicación de los

resultados de la auditoría

Durante la entrevista final es posible aclarar objetivos y alcances, hallazgos y recomendaciones, así como el proceso de la auditoría. El auditor debería:

– Asegurarse de que los hechos presentados en el informe estén correctos. En caso de desacuerdo…

– Asegurarse de que las recomendaciones sean realistas y rentables. (negociar)

– Acordar fechas de implementación, plan de acción.

Si la gerencia auditada solicita apoyo del auditor para implementar recomendaciones, se debería aclarar la diferencia entre los roles de auditor y consultor. Afecta independencia.

Técnicas de presentación: – Resumen ejecutivo (evitar jerga informática)

– Presentación visual Capítulo I

- 5

ADACSI

2013

1.6.17. Comunicación de los

resultados de la Auditoría

Estructura y contenido del reporte de auditoría (Normas S7 y S8)

–Formato a definir por la organización

–Objetivos, alcance y limitaciones, período, procesos examinados, declaración sobre metodología, criterios organizacionales, profesionales y gubernamentales aplicados. (Ej. CobiT).

–Buena práctica: hallazgos como anexos

–Conclusión sobre los controles examinados y los riesgos potenciales (con respaldo de evidencia)

–Hallazgos detallados y recomendaciones. El detalle dependerá del nivel organizacional que recibirá el informe. Considerar importancia de los hallazgos. Considerar la presentación de los menos importantes en otro formato (memo).

Capítulo I

- 6

ADACSI

2013

1.6.18. Acciones de la Gerencia

para Implementar las

Recomendaciones

La auditoría es un proceso continuo. Requiere seguimiento.

El momento del seguimiento dependerá de la gravedad de los hallazgos y los resultados deberían ser comunicados a los niveles apropiados de la gerencia.

Para realizar la revisión sólo puede ser necesario averiguar el estado actual o bien llevar a cabo ciertos pasos de auditoría para determinar si las acciones correctivas han sido implementadas.

Capítulo I

- 7

ADACSI

2013

1.6.19. Documentación de la

Auditoría

Debe incluir como mínimo registro del planeamiento, programa, descripción del área auditada, pasos realizados, toda la información requerida por leyes y regulaciones, papeles de trabajo como diagramas de proceso, de flujo, minutas, etc.

Deben estar fechados, inicialados, completos, etiquetados y mantenidos en custodia.

Son propiedad de la entidad de auditoría y su acceso debe ser autorizado.

Deben proveer una transición impecable, con rastros adecuados, de los objetivos al informe y a la inversa.

Deben dar sustento a los hallazgos.

Existen paquetes de gestión de auditoría que ofrecen posibilidades de documentación automatizada y funciones de importación/exportación.

Capítulo I

- 8

ADACSI

2013

1.7. Autoevaluación del Control

(CSA - AEC) – Definición

– Objetivos

– Beneficios

– Desventajas

– El rol del auditor

– Posibilitadores (impulsores) de la tecnología

– Enfoque tradicional vs. AEC

Capítulo I

- 9

ADACSI

2013

1.7. Autoevaluación del Control

(CSA) Definición Técnica de la dirección que asegura que el control interno es confiable, que los empleados sean conscientes de los riesgos del negocio y realicen revisiones proactivas periódicas de los controles.

Puede ser implementada por diversos métodos como cuestionarios, talleres de facilitación o la combinación de ambos.

–Ayudar a la función de auditoría interna

–Educar a la gerencia/empleados sobre el diseño y monitoreo de controles, en particular en las áreas de alto riesgo. (Sugerencias escritas, talleres).

–Factor crítico de éxito: realizar una reunión con los representantes de la unidad de negocio, incluyendo personal clave, para determinar la confiabilidad del sistema de control interno e identificar acciones que aumenten la probabilidad de lograrla.

–CobiT contiene un conjunto genérico de metas y métrica para cada proceso que puede ser usado para diseñar y monitorear el programa CSA.

Capítulo I

- 10

1.7.1. Objetivos de CSA

ADACSI

2013

• Detección temprana de riesgos

• Desarrollo de un sentido de propiedad de los controles en los empleados y en los dueños del proceso y reducción de su resistencia a controlar las iniciativas de mejoramiento.

• Mayor conciencia de los empleados sobre los objetivos organizacionales y mayor conocimiento sobre riesgos y controles internos

• Mayor comunicación entre los mandos operativos y la alta dirección

• Empleados motivados

• Reducción del costo del control

1.7.2. Beneficios de CSA

Capítulo I

- 11

ADACSI

2013

• Podría confundirse como un reemplazo de la función de auditoría

• Se le considera como una carga de trabajo adicional

• No implementar las mejoras sugeridas podría dañar la moral de los empleados

• La falta de motivación puede limitar la efectividad en la detección de controles débiles

1.7.3. Desventajas de CSA

Capítulo I

- 12

ADACSI

2013

• Profesionales del control interno y facilitadores de valoración

• Para ello debe entender el proceso de negocio que se está valorando

• Dirigir y guiar a los participantes de un taller en la valoración de su ambiente proporcionando su punto de vista sobre los objetivos de los controles basado en la valoración de riesgos

1.7.4. El Rol del Auditor en CSA

Capítulo I

- 13

ADACSI

2013

Incluye la combinación de hardware y software para dar soporte a la implementación de la técnica:

• Recopilar información

• Tomar decisiones del grupo de trabajo en los talleres (sistemas de toma de decisiones)

• Análisis y reajuste de los cuestionarios

1.7.5. Impulsores de Tecnología

para el Programa de CSA

Capítulo I

- 14

ADACSI

2013

1.7.6. Enfoque Tradicional vs. CSA

Enfoque tradicional CSA

Asigna tareas/supervisa personal Empleados con responsabilidades/ sujetos a rendición de cuentas

Impulsado por políticas/ reglas Mejora continua/curva de aprendizaje

Participación limitada de los empleados

Extensa participación y capacitación de los empleados

Reducido enfoque en partes interesadas

Amplio enfoque en partes interesadas

Auditores y otros especialistas Personal de todos los niveles, de todas las funciones, son los analistas primarios del control

Comunicadores Comunicadores

Capítulo I

- 15

ADACSI

2013

Preguntas de práctica

Capítulo I

- 16

ADACSI

2013

1.8. Cambios Emergentes en

el Proceso de Auditoría de TI

•Papeles de trabajo automatizados

•Auditoría integrada

•Auditoría continua

Capítulo I

- 17

ADACSI

2013 Capítulo I - 18

• En caso de contar con paquetes estándar para la gestión de papeles de trabajo, se deben aplicar reglas respecto a integridad, confidencialidad y disponibilidad de los registros de auditoría:

• Acceso (creación de perfiles)

• Pistas de auditoría

• Funciones automatizadas para otorgar y registrar autorizaciones

• Controles de seguridad e integridad respecto de SO y software de base

• Procedimientos de respaldo y restauración

• Técnica de cifrado para proveer confidencialidad

1.8.1. Papeles de Trabajo

Automatizados

Capítulo I

- 18

ADACSI

2013

Un elemento clave del enfoque integrado es la discusión sobre riesgos que surge, entre todo el equipo de auditoría.

1.8.2. Auditoría Integrada

Auditoría de SI

Auditoría Financiera

Auditoría Operativa

Capítulo I

- 19

ADACSI

2013

El carácter distintivo de la auditoría continua es el corto lapso de tiempo entre los hechos a ser auditados, la recopilación de evidencia y el informe de auditoría.

• Monitoreo continuo: Procedimientos automatizados para cumplir con responsabilidades fiduciarias.

• Auditoría continua: “Una metodología que permite a auditores independientes proveer certeza escrita sobre un asunto usando una serie de informes de auditoría emitidos simultáneamente con, o en un período corto de tiempo después de que han ocurrido los eventos subyacentes al asunto”.

1.8.3. Auditoría Continua

Capítulo I

- 20

ADACSI

2013

Mayor cantidad de trabajo porque se emiten informes con mayor frecuencia

Los sistemas de aplicación tradicionales pueden contener módulos integrados de auditoría. (En campos específicos)

Prerrequisitos para el éxito:

• Alto grado de automatización

• Altamente confiable para producir información tan pronto hayan ocurrido los eventos

• Activadores de alarmas

• Informe rápido y oportuna

• Cambio de mentalidad de los auditores (confianza en los procesos automatizados) y adquisición de competencia técnica

• Evaluación de los factores de costo

1.8.3. Auditoría Continua

Capítulo I

- 21

ADACSI

2013

Preguntas de práctica

Capítulo I

- 22

ADACSI

2013

Preguntas de práctica

Capítulo I

- 23