Teorías de administración de empresas (Anthony, Blumenthal, Nolan). El rol de la auditoria en las organizaciones. Gobierno de TI: “Sistema mediante el cual la Tecnología de Información (TI) es dirigida y controlada, con el propósito de estar alineada al negocio y habilitar el logro de sus objetivos estratégicos”.

ANTECEDENTES

ANTES

DETECTOR DE PROBLEMAS

HOY

IDENTIFICADOR DE OPORTUNIDADES Y EMISOR DE PROPUESTAS DE VALOR

AUDITORÍA DE SISTEMAS:

“La disciplina que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aporte al cumplimiento de los objetivos institucionales; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”.

 

DEFINICIÓN

Aplicada por personas independientes a la operación:

• Independencia de criterio.

• Libertad para expresar su juicio.

1. Requisito Legal (Bolsa de Valores).

2. Para Certificación.

3. Política de la Organización.

4. Problema u oportunidad de Mejora.

ORIGEN DE LA AUDITORÍA

1. LA AUDITORIA EXTERNA:

Es aquella que realiza un auditor o grupo de auditores que son independientes a la empresa auditada y su relación con la misma se limita a un contrato o convenio de servicios profesionales establecido entre la empresa auditada y el auditor. 

CLASIFICACIÓN

QUIEN REALIZA LA AUDITORÍA

Beneficios:

Alto nivel técnico.

Experiencia profesional en distintas industrias.

Ser independientes a las empresas que auditan (credibilidad).

La legislación tributaria o los requisitos de participación en Bolsa.

FIRMAS DEL PANORAMA MUNDIAL:

• Price Waterhouse Coopers

• Ernest and Young

• KPMG - Peat Marwick

• Deloitte and Touch.

CASO: Arthur Andersen – Enron Corporation: Houston junio 2002 por obstruir la justicia, destruir y alterar documentos. Multa y privación de funciones.

CLASIFICACIÓN

2. LA AUDITORIA INTERNA

Realizada por un auditor o grupo de auditores empleados formalmente por la empresa.

Sus funciones son ajenas totalmente a la operación de la misma

Sus actividades se limitan a las directamente relacionadas con la auditoria.

Los auditores internos reportan normalmente al Consejo de Administración o al presidente de éste.

Las funciones del director general son objeto de evaluación por parte del auditor.

CLASIFICACIÓN

QUIEN REALIZA LA AUDITORÍA

• Auditoria Integral o de Gestión: Evaluar en su totalidad los objetivos que existen en una organización (administrativa, financiera, ambiental, producto final, sistemas y energética).

• Auditoria Administrativa: Evaluación de aspectos relacionados con la eficiencia y productividad de las operaciones de una empresa.

• Auditoria Financiera: Emitir una opinión sobre los estados financieros de una organización, evaluación de aspectos de integridad y veracidad de la información. 

• Auditoría de Sistemas: Evaluar el componente tecnológico de la organización.

POR OBJETIVOS QUE SE PERSIGUEN

CLASIFICACIÓN

Determinar si cumple con:

Requisitos de ley.

Los objetivos de la organización.

Un procedimiento y determinar su eficacia.

Identificar riesgos.

Mejorar la comunicación.

¿Por qué?

¿Por qué y cuándo realizar auditorías?

¿Cuándo?

Se determina de acuerdo con el riesgo.

De acuerdo con un plan preestablecido.

Hay cambios en los procesos, productos o servicios.

Por la necesidad de acciones correctivas.

De acuerdo a resultados de auditorías previas.

• Conocimiento acerca de cómo funciona la organización.

• Mejora relaciones cliente-proveedor.

• Confirmación que el sistema funciona eficazmente.

• Recomendaciones de mejora en la productividad y eficiencia.

• Minimizar el riesgo e implementar controles.

Resultados de la Auditoría.

PROCESO GENÉRICO

Planear

la

Auditoría

Analizar y

evaluar el

Control Interno

Aplicar

pruebas de

Auditoría

Informar los

resultados de

la Auditoría

Efectuar

Seguimiento

Supervisar el trabajo de Auditoría

Retroalimentación

COBITMASSOFT

AS/NZ 4360CMMI

PMBOKSOX

LOPDISO

NISTMAGERIT

METRICA V.3

COSO

PROCESO RIESGOS Y CONTROLES

10. Informe de Auditoria (Conclusiones y Recomendaciones).

1.Planeación2.LevantamientoDe Información

3.Determinaciónde Riesgos

4.Clasificaciónde Riesgos

5.Evidenciade Controles

6.Análisis deRiesgos Reales

7.Análisis deConsecuencias

8. Recomenda-ciones

9.Informe Preliminar

ESTABLECER VIABILIDAD DEL TRABAJO DE AUDITORIA.

 Acordar con el auditado:

• Alcance (tiempo, costo, recursos)• Objetivos de la auditoría (total, parcial, proceso).• Tipo de auditoría (proceso, producto o servicio, registro-legal, sistemas)• Profundidad de la auditoría (nivel de detalle).• Las condiciones generales del mismo (ambiente de trabajo).• Manejo de autoridad, confidencialidad.

Visita de Preauditoría: Adquirir un conocimiento general.

• Objetivos estratégicos• Características de negocio• Infraestructura tecnológica• Sistemas de información• Áreas de riesgo

PROCESO GENÉRICO

1. PLANEAR LA AUDITORIA.

 

Con los requerimientos, realizar un trabajo de planeación:

• Determinar tipo de procedimientos de revisión

• Personal responsable del desarrollo de las actividades

• Fechas y duración del proceso de auditoría.

PROCESO GENÉRICO

Determinar tipo de procedimientos de revisión.

ORGWARE LIVEWARE

SOFTWARE HARDWARE

OBJETIVOS DEL NEGOCIO

1. SO, LP, BdD, R y C.2. Fuentes, Pruebas.3. Riesgos y Controles.

1. SO, LP, BdD, R y C.2. Capacidad.3. Continuidad.

1. Hallazgos, Riesgos, Controles, Consecuencias.2. Recomendaciones.

MASSOFT:

1. Misión, Visión, Objetivos.2. Políticas, normas (int-ext).3. Proceso Vs Aplicación.

1. Cultura Organizacional.2. Funciones.3. Competencias.

Auditoría

en TI

Telecomuni-

caciones

Procesamiento

electrónico de

datos

Adm

inis

trac

ión

de

Em

pres

as

T.G.S

Mét

od

os

Nu

mér

ico

s

Finanzas y

contabilidad

Sistemas de

Información

Comportam

iento

Humano

Personal responsable del desarrollo de las actividades:

Fechas y duración del proceso de auditoría.

Id EDT Hito Nombre de tarea Duración Comienzo Fin

1 1 Sí FASE 0 - ACTIVIDADES HITO 193 días mié 15/03/06 lun 11/12/06

2 1.1 Sí Inscribir hoja vida en CVLAC 0 días lun 20/03/06 lun 20/03/06

3 1.2 Sí Registro de Grupo en GRUPLAC 0 días lun 11/12/06 lun 11/12/06

4 1.3 Sí Reunión 01 Fase 1 Marzo 15 0 días mié 15/03/06 mié 15/03/06

5 1.4 Sí Reunión 02 Fase 1 Marzo 29 0 días lun 29/05/06 lun 29/05/06

6 1.5 Sí Reunión 03 Fase 1 Abril 19 0 días mié 19/04/06 mié 19/04/06

7 1.6 Sí Reunión 04 Fase 1 Mayo 10 0 días mié 10/05/06 mié 10/05/06

8 1.7 Sí Reunión 05 Fase 1 Mayo 31 0 días mié 31/05/06 mié 31/05/06

9 1.8 Sí Reunión 06 Fase 1 Junio 21 0 días mié 21/06/06 mié 21/06/06

10 2 No FASE I - EPISTEMOLOGICA 85 días jue 23/02/06 mié 21/06/06

11 2.1 No Actividad 1 Solicitud Compra Materiales 15 días jue 23/02/06 mié 15/03/06

12 2.1.1 No Normas (Cobit - ISO) 15 días jue 23/02/06 mié 15/03/06

13 2.1.2 No 1 Pc 15 días jue 23/02/06 mié 15/03/06

14 2.1.3 No 1 Impresora 15 días jue 23/02/06 mié 15/03/06

15 2.1.4 No Papeleria 15 días jue 23/02/06 mié 15/03/06

16 2.1.5 No Transporte 15 días jue 23/02/06 mié 15/03/06

17 2.2 No Actividad 2 Organización Equipos de Trabajo 6 días mié 08/03/06 mié 15/03/06

18 2.2.1 No Estrategias 6 días mié 08/03/06 mié 15/03/06

19 2.2.2 No Metodologías 6 días mié 08/03/06 mié 15/03/06

20 2.2.3 No Monitoreo Cronograma, Costos, Riesgos 6 días mié 08/03/06 mié 15/03/06

21 2.3 No Actividad 3 Análisis y Diseño Instrumentos de Investigación21 días mié 08/03/06 mié 05/04/06

22 2.3.1 No Tablas, Comparaciones, Formatos, Encuestas, Entrevistas21 días mié 08/03/06 mié 05/04/06

23 2.4 No Actividad 4 Análisis Normas y Documentación 35 días jue 16/03/06 mié 03/05/06

24 2.4.1 No Análisis (Cobit, ISO y Documentos) 15 días jue 16/03/06 mié 05/04/06

25 2.4.2 No Comparar Análisis 15 días jue 06/04/06 mié 26/04/06

26 2.4.3 No Informe Resultados 5 días jue 27/04/06 mié 03/05/06

15/03

20/03

15/03

L M X J V S D L M X J V S D L M X06 mar '06 13 mar '06 20 mar '06

2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO.

Obtener información sobre los procedimientos de control.

El control interno informático controla diariamente todas las actividades de sistemas de información para que sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección Informática, así como los requerimientos legales.

Por medio de:

Entrevistas

Observación Directa

Inspección Documental

Documentar para usar como referencia y como fuente de consulta.

PROCESO GENÉRICO

2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO.

Funciones del control interno:

Definir procedimientos de control.

Control de la seguridad física y lógica.

Control del entorno de análisis, diseño, desarrollo, producción y mantenimiento de los sistemas de información.

Control de datos.

Control de soportes magnéticos y físicos.

Control de calidad de los servicios.

Control de costos.

Control de licencias e inventarios.

Control de cambios de HW y versiones de SW.

Vigilancia del cumplimiento de normas y controles.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

Técnicas con el propósito de evaluar el funcionamiento de los componentes tecnológicos.

Evaluación de:

• Capacidad para manejar altos volúmenes de transacciones del computador.• Velocidad y consistencia de transmisión de un canal de comunicación.• Efectividad de una planta de energía alterna.• Efectividad del equipo de detección y extinción de fuego.• Eficiencia y exactitud de lectores ópticos.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

PRUEBAS DE CUMPLIMIENTO (Orientadas a Procesos):

Permiten verificar la efectividad de los procedimientos de control.

Los resultados podrán ratificar o rectificar el juicio preliminar.

PRUEBAS SUSTANTIVAS (Orientadas a Productos):

Pueden implicar la utilización de software (Programas de Auditoría).

Pruebas a la información (ACL, IDEA)

Pruebas a los componentes de la infraestructura tecnológica.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

Las técnicas de auditoría más utilizadas son las siguientes:

A.COMPARACIÓN DE PROGRAMAS: De código fuente, comandos de proceso entre un programa en operación y su backup en custodia.

B. MAPEO Y RASTREO DE PROGRAMAS: software especializado que analiza los programas, indicando el número de veces que cada línea de código es procesada e indicando también las condiciones de las variables de memoria que estuvieron presentes. También indica las líneas de código que no se utilizan durante el proceso. Detectar "bombas de tiempo". C. ANÁLISIS DE CÓDIGO DE PROGRAMAS: Del código fuente como el código ejecutable. Verificar que el programa incluye todos los procesos requeridos por el usuario.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

Las técnicas de auditoría más utilizadas son las siguientes:

D. DATOS DE PRUEBA: Controles detecten los errores. Preparar datos correctos como datos con errores predeterminados. No detecta rutinas de excepciones como un nombre “JOSE MARIA” (F o M). E. DATOS DE PRUEBA INTEGRADOS (integrases test facilities -ITF-): Crear una entidad "falsa" dentro de los sistemas de información, una sucursal, una empresa o un departamento inexistente, pero que sean procesados en forma conjunta con las transacciones reales de la compañía.

F. ANÁLISIS DE BITÁCORAS: De uso equipo, accesos no autorizados, uso de recursos, procesos ejecutados, fallas del equipo, etc.

G. SIMULACIÓN PARALELA. desarrollar programas que emulen a los programas de un sistema en producción e identificar diferencias entre los resultados de ambos.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

Las técnicas de auditoría más utilizadas son las siguientes:

H. CÓDIGO INTEGRADO (embedded code): Incluir en los programas rutinas de auditoría y todas las veces que sea ejecutado se evaluará su control.

I. ANÁLISIS DE DATOS: Almacenados en archivos o bases de datos. Se utilizan queries, comandos SQL o lenguajes de desarrollo. Objetivo determinar la razonabilidad de la información financiera.

J. PROGRAMAS DE UTILERÍAS (utility programs). Emplear los propios recursos del sistema (comandos COPY, DUMP, SORT) con fines de auditoria.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR:

Data díddling (manipulación de datos): Consiste en modificar los datos de un sistema durante su captura. Trojan Horse: Es ocultar un programa o rutinas malignas dentro de otro programa que aparenta ser "sano”. Salammi techníques: Tomar pequeñas porciones de los saldos o movimientos de cuentas y traspasarlos a una cuenta puente “falsa”.

Superzapping (nombre programa utilitario de IBM): Tomar ventaja de los mecanismos de acceso de urgencia que muchos sistemas tienen. Trapdoors (puertas traseras): “Huecos' que dejan los programadores en los sistemas para facilitar la inserción de rutinas adicionales Logic Bombs (bomba lógica): Son programas o instrucciones que permanecen inactivos hasta que se presente una condición predefinida.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR:

Extraer información que queda grabada en los archivos después de la conclusión de los procesos normales. Extraer información de los sistemas enmascarándola para que pase inadvertidamente y burle los posibles controles de detección. En telecomunicaciones interceptar la comunicación de datos mediante el acceso a las líneas de transmisión de datos. Virus informáticos: programas capaces de reproducirse y dañar en forma deliberada los recursos de una empresa.

Virus Robots: Objetivo controlar su PC.

Virus Modulares: Llegan por partes lo que les permite pasar por debajo del sistema operativo y antivirus, luego se arman y activan.

PROCESO GENÉRICO

3. APLICAR PRUEBAS DE AUDITORIA.

QUIENES AMENAZAN.

Actos de la Naturaleza: Terremotos, Incendios, Rayos.

Las Personas: Errores o Fraudes.

La Tecnología: Cuando es defectuosa. (Banco Disco Duro).

Los Procedimientos: Cuando no existen, no son claros y traba el SI.

Las Organizaciones: No esta definida la estructura orgánica, las funciones.

La Técnica de la Escoba: Escudriñar en la basura. (Embajada de Japón en Perú).

Ingeniería Social: En reuniones sociales hablar de asuntos confidenciales (Colombia vs. Venezuela).

PROCESO GENÉRICO

4. INFORMAR LOS RESULTADOS DE LA AUDITORIA. El informe incluye:

Hallazgos, Riesgos, Controles, Recomendaciones.

RNC – Reporte de No Conformidades.

RAC – Reporte Acciones Correctivas.

ROM – Reporte Oportunidades de Mejora.

Indicar su nivel de involucramiento y responsabilidad

Dependiendo de los resultados abstenerse de presentar una opinión cuando considere que no tiene elementos suficientes para sustentarla.

PROCESO GENÉRICO

5. EFECTUAR SEGUIMIENTO.

REVISION

Deficiencias

Oportunidades

de mejoraRecomendaciones

emitidas por

el Auditor

PROCESO GENÉRICO

6. SUPERVISAR EL TRABAJO DE AUDITORIA.

 

• En especial el realizado por personal con menor experiencia.

• El auditor será el principal responsable de su trabajo.

PROCESO GENÉRICO

• Planificar la auditoría y elaborar documentos de trabajo.

• Recolectar y analizar evidencia objetiva.

• Conclusiones pertinentes y suficientes.

• Acuerdo de confidencialidad.

• Reportar los resultados.

• Verificar la implementación de acciones correctivas.

• Capacidad para dirigir un equipo auditor.

• Habilidad para realizar entrevistas, presentaciones y reportes.

• Diplomático, mente abierta, justo y versátil.

Funciones y Competencias del Auditor

La auditoría no transcurre de acuerdo con el plan por:

Hostilidad (problemas laborales).

Evasivas (mantener la apariencia).

Falta de cooperación (mucho trabajo).

Nerviosismo.

Situaciones Difíciles de Auditoría

Es importante que ni usted ni los miembros de su equipo tomen como algo personal el comportamiento pasivo o agresivo del auditado.

El trato con respeto (evitar contienda verbal).

Mantenerse sereno y no dejarse provocar.

Los procedimientos de auditoria pueden ser tan variados como distintas sean las empresas y proyectos que se desarrollen.

Sin embargo, existe un grupo de técnicas básicas que el auditor utiliza adecuándolas a cada caso en particular.

COBIT. Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas

NTC BS 7799-2:2004 Sistema de Gestión de la Seguridad de la Información (SGSI) – Requisitos.

NTC ISO 17799:2000 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información.

NTC ISO 27001:2006 TI. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) – Requisitos.

NTC 5254:2004 Gestión del Riesgo – Referencia AS/NZ 4360:1999

PROCEDIMIENTOS

El fraude implica la existencia de dolo y premeditación en un acto que perjudica a la empresa y beneficia al perpetrador.

 

La auditoría no tiene como propósito la detección de fraude. Sin embargo, se espera que mediante el desarrollo de su trabajo puedan salir a la luz situaciones irregulares que ameriten la atención de la empresa.

SU RELACION CON LOS FRAUDES

Un error representa un acto involuntario en que se incurre y que provoca una situación no deseada.

La negligencia es una característica que acompaña las actividades desempeñadas por los seres humanos y que incrementa la probabilidad de ocurrencia de errores. 

Estudios realizados en estados unidos demuestran que la negligencia afectan en mucha mayor proporción a las empresas que los propios fraudes. 

En la mayoría de las ocasiones, los fraudes se efectúan una sola vez, mientras que el error es un elemento repetitivo, sobre todo y potencialmente en un ambiente de procesamiento electrónico de datos.

SU RELACION CON EL ERROR

STAKE HOLDER (“interesados”):

Persona o grupo de personas que tienen interés en el buen funcionamiento de una empresa.

Accionistas: Desean obtener un retorno sobre la inversión.

Administración: Responsable directo de los resultados.

Empleados: Lugar estable de trabajo, posibilidad de desarrollo.

Proveedores: Mayor operación - mayores beneficios.

COMPROMISO ÉTICO

Clientes: Dependen de la operación de la empresa para lograr sus propios objetivos.

Gobierno: Sus impuestos son una contribución indispensable para el gasto publico.

Inversionistas: Adquieren acciones de la empresa a través de la bolsa de valores.

La Comunidad: Impacto que dicha empresa pueda tener en la vida socio económica de la comunidad.

COMPROMISO ÉTICO

Empleados

Accionistas

Administración

Empresa

Clientes

GobiernoProveedores

InversionistasComunidad

en general

Auditoría

COMPROMISO ÉTICO

El auditor moderno con actitud proactiva y de mayor compromiso hacia sus stakeholders.

Generar mayor valor agregado a sus actividades.

Actualizar e incorporar los conocimientos. 

CONCLUSIONES

Reingeniería de la Auditoría Informática, SOLÍS MONTES Gustavo Adolfo. Editores S.A. de C.V., México D.F. ISBN 970-92177-0-4

Manual de Habilidades para Auditoría, MALLEN David y COLLINS Christine. ICONTEC, Bogotá D.C. Colombia. ISBN 958-9383-37-8.

Auditoría Informática, PIATTINI Mario y DEL PESO Emilio. Alfaomega, Madrid España. ISBN 958-682-455-1

Guía de Auditoría, LARRY Bailey y HOLZMAN Oscar. Editores Harcourt Brace Madrid, España. ISBN 84-8174-383-6

Auditoría Integral, ORTIZ José Joaquín y ORTIZ Armando. Editorial Kimpres Ltda, Bogotá D.C. Colombia.

BIBLIOGRAFÍA

GRACIAS