t6 auditoria de sistemas 15 2

Instructor 1

Desarrollo de un marco

metodológico para el desarrollo de

una labor de Auditoría de

Sistemas

2

La metodología consiste en dar a conocer las pautas y

procedimientos mínimos necesarios para el desarrollo de una

labor de auditoría, desde la planificación hasta la

implementación de las recomendaciones emitidas en el informe

de auditoría. .

DEFINICION

Fuente:

NAGU y MAGU de la CGR

3

Planeamiento

FASES DE LA METODOLOGIA

Trabajo de campo

Formulación del informe

Seguimiento

Fase – I

Planeamiento de la Auditoría

4

5

Etapa 01.- Conocimiento de la Organización a Auditar

Etapa 02.- Formulación de los objetivos específicos en relación

al objetivo general de la Auditoria

Etapa 03.- Formulación de los Programas de Auditoria y

Cuestionarios de Control Interno para los objetivos específicos

a desarrollar

Etapa 04.- Elaboración del Cronograma de Auditoria

Etapa 05.- Aprobación del plan de auditoria

FASE 01.- PLANEAMIENTO DE AUDITORIA

6

Fase 01- Etapa 01.- Conocimiento de la Organización a Auditar

7

Fase 01 - Etapa 02.- Formulación de los objetivos específicos en

relación al objetivo general de la Auditoria

Objetivo General Objetivos Específicos

Auditoria de Sistemas a la

Dirección de Tecnologías de

Información de la Entidad

Financiera ABC, Período 2008-

2009

Evaluar el licenciamiento de software

Evaluar las adquisiciones y contrataciones del Área

Evaluar los sistemas de información

Evaluar cumplimiento de la normatividad

Evaluar la Seguridad de la Información

Determinar el cumplimiento de planes de TI

Evaluar el Data Center y Data Center Alterno

Evaluación de los proyectos informáticos

Evaluar el cableado de data y eléctrica de la red

Evaluación de la satisfacción de la áreas usuarias

Evaluación de la Tercerización

8

Los programas de auditoria, son procedimientos que comprenden

una relación lógica, secuencial y ordenada que deberán ser

aplicados por el equipo de auditoria a efectos de obtener evidencias

suficientes, competentes y relevantes, necesarias para alcanzar el

logro del objetivo(s) de auditoria.

Estructura:

• Un objetivo especifico

• Alcance (área(s) y periodo de control)

• Criterios a aplicar (normatividad afecta)

• Personal encargado del desarrollo

• Requerimiento de recursos necesarios

• Procedimientos específicos (detallados) y el Cuestionario de

Control Interno

Fase 01 - Etapa 03.- Formulación de los Programas de

Auditoria y Cuestionarios de Control Interno para los objetivos

específicos a desarrollar

9

Definición de Cuestionario

• Un cuestionario es un instrumento de investigación

que se utiliza para el desarrollo de una investigación

en el campo de las ciencias sociales; es una técnica

ampliamente aplicada en la investigación de

carácter cualitativa.

• El cuestionario es "un medio útil y eficaz para

recoger información en un tiempo relativamente

breve" que tiene como objetivo buscar un fin

determinado. En su construcción pueden

considerarse preguntas cerradas, abiertas o mixtas.

Su construcción, aplicación y tabulación poseen un

alto grado científico y objetivo.

10

CUATRO PREGUNTAS CLAVE.

CUESTIONARIO

• 1. ¿De cuánto tiempo disponen quienes

responderán para contestar el

cuestionario?

• 2. ¿Cuánto tiempo tiene el investigador

para editarlo, presentarlo, aplicarlo,

codificarlo, procesarlo y analizarlo?

• 3. ¿Qué tan dispuestos están para

responder quienes van a contestar?

• 4. ¿Cuánto costará su aplicación?

11

Tipos de Preguntas de Aplicación en

los Cuestionarios

Preguntas

Cerradas?

Preguntas Abiertas?

12

Tipos de Preguntas de Aplicación en

los Cuestionarios

Preguntas x

Rango?

Preguntas,

Varias

Fuente: Guía para la

implementación de un SCI para

Entidades del Estado (CGR)

13

Formular el tiempo que demoraría la labor de control, cuando

se tenga en forma completa los procedimientos a aplicar para

cada objetivo, el cual es recomendable que no exceda de 3 meses

Fase 01 - Etapa 04.- Elaboración del cronograma de auditoria

14

Fase 01 - Etapa 05.- Aprobación de la formulación del plan de

auditoria

Nuestro plan de auditoria para ser aprobado, deberá tener:

• Un objetivo general claramente establecido

• Un alcance de la labor de control

• Objetivos específicos bien determinados

• Programas de auditoria y CCI para los objetivos específicos

• Relación de Recursos Humanos requeridos

• Cronograma de ejecución y control

• Detalle de los recursos logísticos necesarios

Fase –II

Trabajo de Campo

15

16

Etapa 01.- Acreditación, instalación y solicitud de

información

Etapa 02.- Aplicación de programas y técnicas de auditoria

para la obtención de evidencias

Etapa 03.- Formulación de Hallazgos

Etapa 04.- Comunicación de hallazgos de auditoria.

Etapa 05.- Evaluación de descargos y desarrollo de debilidades

de control interno, comentarios y/o observaciones, conclusiones

y recomendaciones

Etapa 06.- Elaboración y revisión de los papeles de trabajo

FASE 02.- DESARROLLO DE TRABAJO DE CAMPO

17

Fase 02 y Etapa 02.- Aplicación de programas y técnicas de

auditoria para la obtención de evidencias

En cada objetivo especifico de control los auditores responsables, deben tener claro

que deben encontrar evidencia(s) y/o riesgo(s) que han hecho, vienen o pueden

hacer daño al área de TI y por ende al Negocio y que deben ser reflejados en una

labor de auditoría.

Objetivo XYZ

App. de Programa

de Auditoria

(PA)

RRHH

Asignados

Criterios de

Control y

Soporte

Logístico

La aplicación del PA, con

los RRHH adecuados bajo

los criterios de control

adecuados, bajo un tiempo

determinado va permitir

encontrar las …..

Evidencias

y/o

Riesgos

en TI

del

Negocio

para los

Hallazgos

18

Fase 02. Etapa 03.- Formulación de Hallazgos

Los Hallazgos de Auditoría, son el resultado

de la comparación realizado entre un criterio

y la situación encontrada (pasada y/o actual)

durante el desarrollo de la labor de auditoria.

Es toda información que a juicio del auditor

le permite identificar hechos o circunstancias

importantes que inciden en la gestión del

área en cumplimiento de sus objetivos, y que

por su naturaleza merecen ser comunicadas

posiblemente en el informe de auditoría.

Consultar: NAGU de la CGR y Normas de ISACA

19

Estructura de un Hallazgo

Sumilla.- Se refiere al titulo que se utiliza el hecho observado.

Condición.- Descripción de la situación irregular o deficiencia hallada,

cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control

que regulan el accionar de la entidad examinada.

Causa.- Es la razón fundamental por la cual ocurrió la condición, o el

motivo por el que no se cumplió el criterio o norma.

Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,

que ocasiono(a) la condición.

20

Efecto Causa Criterio Evidencia y/o Riesgo

Estructura de un Hallazgo

Sumilla.- Se refiere al titulo que se utiliza el hecho observado.

Condición.- Descripción de la situación irregular o deficiencia hallada,

cuyo grado de desviación debe ser demostrada. Criterio.-Normas transgredidas de carácter legal, operativo o de control

que regulan el accionar de la entidad examinada.

Causa.- Es la razón fundamental por la cual ocurrió la condición, o el

motivo por el que no se cumplió el criterio o norma.

Efecto.- Es la consecuencia real o potencial, cuantitativa o cualitativa,

que ocasiono(a) la condición.

H

A

L

L

A

Z

G

O

Fase – III

Formulación del Informe de

Auditoría

21

22

FASE 03.- ELABORACION DEL INFORME DE AUDITORIA “ESTRUCTURA DEL INFORME”

01 Titulo del informe

02 Índice

03 Introducción

03.01 Origen

03.02 Objetivo

03.03 Alcance

03.04 Antecedentes/Resumen del Negocio

04 Comentarios / Otros Aspectos de Importancia (Opcional)

05 Observaciones

05.01 Formulación del hallazgo convertido en observación

05.02 Comentarios y/o aclaraciones del personal comprendido en las

observaciones

05.03 Evaluación de los comentarios y/o aclaraciones presentados

06 Conclusiones

07 Recomendaciones

08 Anexos

23

Marco General de los Hallazgos, Comentarios,

Observaciones, Conclusiones y Recomendaciones

Hallazgos

El la labor de

auditoría se

encuentran:

Supongamos

que tenemos

20 Hallazgos

Comentarios

Observaciones

Papeles de

Trabajo

10 Hallazgos

en comentarios

05 Hallazgos en

Observaciones

05 Hallazgos en

Observaciones

Conclusiones Recomendaciones

Conclusiones Recomendaciones

24

Diferencia entre una Observación y

un Hallazgo

• Un hallazgo, es una debilidad, delito y/o deficiencia encontrada durante la fase de trabajo de campo.

• Una observación, es un hallazgo no superado durante la etapa de evaluación de descargos que comprende a los responsables del hallazgo, la cual es puesto en el informe de auditoria.

25

La Observación

• Las observaciones son el resultado de la aplicación de los procedimientos de auditoria en la fase de trabajo de campo a través de la evaluación y contrastación de los hallazgos comunicados y no superado con los correspondientes comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, con la documentación y evidencia sustentada.

• Las observaciones se refieren a hechos o situaciones de carácter significativo y de interés para la organización.

26

Estructura de la Observación

• 01 Sumilla.- Es el título o encabezamiento que identifica el asunto materia de la observación

• 04 Elementos (condición, criterio, efecto y causa)

• Comentarios y/o aclaraciones del personal comprendido en las observaciones

• Evaluación de los comentarios y/o aclaraciones presentados

• Un número asignado en forma secuencial con el que será puesto en el informe.

27

Estructura de la Observación, Conclusión

y Recomendación

• La conclusión.- Es el juicio de carácter

profesional que reflejara el auditor, basados en

la(s) observacion(es) correspondientes.

• La recomendación.- Es la formulación

preferentemente de orientación constructiva

para propiciar el mejoramiento de la gestión, se

formulan siguiendo el orden jerárquico de los

funcionarios responsables de implementarlos.

Basado en las observaciones y conclusiones

correspondientes.

28

Relación entre observación, conclusión

y recomendación

• Observación N° 01 “…………………………………...”

• ………………………………………………………………......

• ………………………….

• Conclusión N° 01

• ………………………………………………………………......

• ………………………………………………………………......

• …………………………….(Observación N° 01)

• Recomendación N° 01

• …………………………………………………………………..

• ……………………………………………..(Conclusión N° 01)

29

RECOMENDACIÓN

CONCLUSIÓN

OBSERVACIÓN

Efecto Causa Criterio

Que se refleja en un informe de auditoria?

Evidencia y/o Riesgo

Quien respalda el informe de auditoria?

Los papeles de trabajo de la labor de auditoria

Fase – IV

Seguimiento a las

Conclusiones y

Recomendaciones de los

Informes de Auditoría

30

31

La finalidad es determinar si la Organización a través de los

funcionarios responsables implemento las recomendaciones dadas

en los informes de auditoria en su oportunidad. El estado

situacional de la recomendación puede ser: pendiente, en proceso o

implementado.

Etapa 1.- Recopilación de información.

Etapa 2.- Evaluación de la documentación.

Etapa 3.- Formulación de Informes de Seguimiento.

Etapa 4.- Elevación de Informes de Seguimientos

FASE 04.- SEGUIMIENTO DE MEDIDAS

CORRECTIVAS DE LOS INFORMES DE AUDITORIA

32

Conclusiones

• Conocer una metodología general para la labor de

auditoria, que permita al equipo de control realizar su

labor de auditoría.

• Las preguntas de un cuestionario deben ser formuladas en función al objetivo que se defina alcanzar.

• La información obtenida de los CCI deben permiten aportar indicios casi razonable para el cumplimiento del objeto de auditoria.

• Los informes de control deben respetar una estructura

• No todas las organizaciones tienen oficinas de auditoria

interna que permitan realizar seguimiento a las

recomendaciones