2. Clasificación de los controles
internos: controles generales
Son aquellos que afectan en un centro
electrónico de procesamiento de datos a toda la
información por igual y a la continuidad de este
servicio. La debilidad o ausencia de ellos puede
tener un impacto significativo en la integridad
y exactitud de los datos. Estos son:
Controles operativos y de organización
Controles sobre el desarrollo de programas y su
documentación
Controles sobre los programas y los equipos
Controles de Acceso
3. Clasificación de los controles
internos: controles de las
aplicaciones
Son aquellos relacionados con la captura,
entrada y registro de datos en un sistema
informático, así como los relacionados con
su procesamiento, el cálculo y salida de la
información y su distribución. Ellos son:
Controles sobre la captura de datos
Controles de proceso
Controles de salida y distribución
4. Que establece COBIT
COBIT establece una nueva clasificación
donde se afirma que existen 3 niveles en las
tecnologías de información a la hora de
considerar la gestión de recursos:
Actividades y/o tareas > son necesarias para
obtener un resultado cuantificable
Procesos > serie de actividades/tareas unidas
por interrupciones naturales
Dominios > agrupamiento de los procesos
5. Que establece COBIT:
Dominios
Los procesos se agrupan dando lugar a los
dominios, que se confirman como dominios
de responsabilidad en las estructuras
organizativas de las empresas y están
alineadas con el ciclo de gestión aplicable a
los procesos de TI
6. Dominios y procesos de las TI
Planificación y organización
Adquisición e implementación
Suministro y mantenimiento
Supervisión
7. Dominios y procesos de las TI:
planificación y organización
Definir el plan estratégico de la TI
Definir la arquitectura de la información
Definir la dirección tecnológica
Definir la organización y las relaciones
Gestión de inversiones
Comunicar a la dirección las tendencias
Gestión de recursos humanos
Asegurarse de los cumplimientos de los requisitos externos
Evaluación del riesgo
Gestión de proyectos
Gestión de la calidad
8. Dominios y procesos de las TI:
adquisición e implementación
Identificar las soluciones automatizadas
Adquirir y mantener el SW
Adquirir y mantener la arquitectura
tecnológica
Desarrollar y mantener procedimientos
Instalar y acreditar los sistemas
Gestión de los cambios
9. Definir el nivel de servicio
Gestionar los servicios de las terceras partes
Gestionar la capacidad y el funcionamiento
Asegurarse del servicio continuo
Asegurarse de la seguridad de los sistemas
Identificar y localizar costes
Formación teórica y práctica de los usuarios
Asistir y asesorar a los clientes
Manejo de la configuración
Gestión de problemas e incidentes
Gestión de los datos
Gestión de las instalaciones
Gestión de la explotación
Dominios y procesos de las TI:
suministro y mantenimiento
10. Supervisar los procesos
Garantizar la independencia
Evaluar el control interno
Auditoría independiente
Dominios y procesos de las TI:
supervisión
11. Evaluación de los controles internos
Es función del auditor:
evaluar el nivel de control interno,
juzgar si los procedimientos establecidos son
los adecuados para salvaguardar el sistema de
información
La naturaleza y la extensión de los controles
que requieren los sistemas de los procesos de
datos variarán de acuerdo con la clase de
sistema en uso
12. Evaluación de los controles
Para evaluar los controles es necesario
buscar evidencia sobre:
Terminación completa de todos los procesos
Separación física y lógica de:
programas,
fuentes y objetos,
bibliotecas de desarrollo, prueba y producción
Existencia de normas y procedimientos para
pasar los programas de una biblioteca a otra
13. Evaluación de controles (Cont….)
Estadísticas de funcionamiento, que incluya:
Capacidad y utilización del equipo central y de los
periféricos
Utilización de la memoria
Utilización de las telecomunicaciones
Las normas del nivel de servicio de los
proveedores
Los estándares de funcionamiento interno
14. Evaluación de controles (Cont…)
Mantenimiento y revisión de los diarios de
explotación (Operation Logs)
Realización de mantenimiento periódico a todos
los equipos
Evidencia de la rotación de los turnos de los
operadores y de las vacaciones tomadas
Una forma de encontrar evidencia es mediante
entrevistas con cuestionarios o listas de
comprobación (checklist)
15. Establecimiento de Objetivos
En función de la importancia de los riesgos
que se hayan detectado, el auditor
establecerá los objetivos de la auditoría,
cuya determinación concreta permitirá
definir con claridad el alcance de la misma
16. Fases de planificación de la
auditoría
Planificaciónestratégica:
requiere verificar
el cumplimiento de
controles internos
y la identificación
preliminar de
riesgos
Salida: Objetivo de
la auditoría y
alcance
Planificación
administrativa:
requiere haber
finalizado la
planificación
estratégica
Salida: asignación
de recursos:
personal, tiempo,
etc.
Planificacióntécnica
En esta se ha de
elaborar el
programa de
trabajo
Salida: indicación
de método de
auditoría a utilizar
(verificación de
controles o
pruebas
sustantivas)
17. Fases de planificación de la
auditoría: Estratégica
Es una revisión global que permite conocer
la empresa, el SI y su control interno con la
intención de hacer la 1era evaluación de
riesgos
Según los resultados de esa evaluación
establecerán los objetivos de la auditoría y
se podrá determinar su alcance y las
pruebas que hayan de aplicarse, así como el
momento para realizarlas
18. Fases de planificación de la
auditoría: Administrativa
• Evidencia > relación con la documentación de
la etapa anterior
• Personal > de que personal se va a
disponer, que conocimientos y experiencia es
necesaria
• Calendario > establecer fecha de comienzo y
finalización de la auditoría y determinar
donde se realizará la auditoría
• Coordinación y Cooperación > deben
establecerse con el auditado sin dejar de
cumplir el principio de la independencia y que
se define el interlocutor con el cliente
En esta
etapa
deben
quedar
claros los
siguientes
aspectos:
19. Fases de planificación de la
auditoría: Técnica
El programa de auditoría debe ser flexible y
abierto de tal forma que se puedan ir
incorporando cambios a medida que se vaya
conociendo mejor el sistema
El programa y los papeles de trabajo son
propiedad del auditor debiendo
custodiarlos por el tiempo que marque la
ley
20. Sobre el proceso de auditoría
Dedicarle a la planificación el tiempo
necesario permite evitar pérdidas
innecesarias de tiempo y de recursos.
1/3 del tiempo en planificarla, 1/3 del
tiempo en realizar el trabajo de campo y 1/3
en hacer las revisiones y preparar el
informe
21. Realización del trabajo
(Procedimientos)
Consiste en llevar a cabo las pruebas de
cumplimiento y sustantivas que se han planificado
para poder alcanzar los objetivos de la auditoría
• Asegurarse de que las funciones que
sirven de apoyo a la TI se realizan con
regularidad, de forma ordenada y
satisfacen los requisitos empresariales
Objetivo
general
• Ver siguientes láminas
Objetivos
específicos
22. Realización del trabajo
(Procedimientos): Obj. Específicos
Comprender las tareas, las actividades
del proceso que se esta auditando,
ampliando las entrevistas realizadas en la
planificación estratégica de ser necesario
Determinar si son o no apropiados los
controles que están instalados, ampliando
las pruebas realizadas planificación
estratégica de ser necesario
23. Hacer pruebas de cumplimiento para
determinar si los controles que están
instalados funcionan según lo establecido,
de manera consistente y continua. El
objetivo de estas pruebas consiste en analizar
el nivel de cumplimiento que tiene
establecido el “auditado” –se supone que sean
eficientes y efectivas-
Realización del trabajo
(Procedimientos): Obj. Específicos
24. Hacer pruebas sustantivas para aquellos
objetivos de control con los que no se haya
podido quedar satisfecho de su buen
funcionamiento con las pruebas de
cumplimiento. Estas pruebas consisten en
realizar pruebas necesarias sobre los datos
para que proporcionen la suficiente
seguridad a la dirección sobre si se ha
alcanzado su objetivo empresarial
Realización del trabajo
(Procedimientos): Obj. Específicos
25. Sobre las pruebas sustantivas
Habrá que realizar el máximo número
de pruebas sustantivas si:
• No existen instrumentos de medida de los
controles
• Los instrumentos de medida que existen se
consideran que no son los adecuados
• Las pruebas de cumplimiento indican que los
instrumentos de medida de los controles no se
han aplicado de manera consistente y continua
26. Sobre las pruebas
El auditor debería haber realizado las
suficientes pruebas sobre los resultados de
las distintas tareas y actividades de la
explotación del SI como para poder concluir
si los objetivos de control se han alcanzado
o no.
Con esa información debe elaborar un
informe y si procede hacer las
recomendaciones oportunas
27. Informes
Una vez realizadas las fases referidas el
auditor está en condiciones de producir un
informe en el que exprese su opinión sobre
el sistema auditado
Las opiniones pueden clasificarse por:
tipo de trabajo > las opiniones se pueden
expresar de manera positiva o negativa
resultados del trabajo, hay 4 opiniones básicas:
28. Informes: resultado del trabajo
Favorable
Cuando se concluye que el sistema es
satisfactorio
Desfavorable
Cuando se concluye que es sistema es
absolutamente insatisfactorio
Con
salvedades
El sistema es satisfactorio, aunque tiene
ciertas debilidades o incumplimientos
Denegación
de opinión
Cuando no se tienen los suficientes
elementos de juicio para poder opinar
29. Recomendaciones
Cuando el auditor, durante la
realización de la auditoría,
detecte debilidades, debe
comunicarlas con la mayor
prontitud posible.
30. Recomendaciones
Un esquema para presentar debilidades es
el siguiente:
Describir la debilidad
Indicar el criterio o instrumento de medida que
se ha utilizado
Indicar los efectos que puede tener en el SI
Describir la recomendación con la que esa
debilidad se podría eliminar
Respuesta de los directivos
31. Recomendaciones para Informe
(ISACA)
El informe es el instrumento que se utiliza
para comunicar los objetivos de la auditoría,
el alcance que va a tener, las debilidades que
se detecten y las conclusiones a las que se
lleguen.
El auditor debe considerar en su
elaboración las necesidades y
características de los destinatarios
32. Recomendaciones para Informe
(ISACA)
El informe debe contener:
Objetivos de la auditoría, y si alguno de ellos no se
puede alcanzar debe expresarse en el informe
El informe debe referir cuales NASIGA se han
seguido para realizar el trabajo de auditoría,
indicando también cuando no fueron cumplidas y
su posible impacto al no seguirla
El alcance, naturaleza y extensión del trabajo
realizado, el período de auditoría, el sistema,
aplicaciones y procesos auditados
33. Recomendaciones para Informe
(ISACA)
Debilidades detectadas, y las recomendaciones
para mejorar o eliminar esas debilidades
Opinión sobre lo auditado: puede ser general o
específico
Entidad que se audita y la fecha de emisión del
informe y
Restricciones que fuesen inconvenientes al
momento de distribuir el informe
34. La documentación de la auditoría y
su organización
Todo el trabajo de auditoría debe quedar
reflejado en papeles de trabajo por los
siguientes motivos:
Recogen evidencia obtenida a lo largo del trabajo
Ayudan al auditor en el desarrollo de su trabajo
Ofrecen un soporte de trabajo realizado, para poder
utilizarlo en auditoría sucesivas
Permite que el trabajo pueda ser revisado por
terceros
35. Archivos
Los papeles de trabajo que el auditor va
elaborando se pueden organizar en dos
archivos principales:
Permanente o continuo
Corriente o de la auditoría en curso
36. Archivo permanente
Contiene todos aquellos papeles que tienen un
interés continuo, una validez plurianual, tales como:
Características de los equipos y las aplicaciones
Manuales de los equipos y de las aplicaciones
Descripción del control interno
Organigramas de la empresa
Organigramas del servicio de información y división de
funciones
Cuadro de planificación plurianual de auditoría
Escrituras y contratos
Consideraciones sobre el negocio y sector
37. Archivo corriente
Se suele dividir en:
General > no tienen cabida específica en alguna
de las áreas/procesos en que hemos dividido el
trabajo de auditoría
Área/procesos > se refiere a contar con un
archivo para cada una de las áreas o procesos
en que se haya dividido el trabajo e incluir en
cada archivo todos los documentos que se haya
necesitado para realizar esa tarea/proceso
concreto.
38. Archivo corriente: General
Informe del auditor
Carta de recomendaciones
Acontecimientos posteriores
Cuadro de planificación de auditoría corriente
Correspondencia con la dirección de la
empresa
Tiempo q c/persona del equipo ha empleado
en c/u de las áreas/procesos
39. Archivo corriente: Áreas/Procesos
Programa de auditoría de c/u de las
áreas/procesos
Conclusiones del área/proceso en cuestión
Conclusiones del procedimiento en cuestión
40. Conclusiones
La labor del auditor de SI es esencial para
garantizar la adecuación de los SI, para ello
el auditor debe realizar ateniéndose a las
normas NASIGA (normas de auditoría de SI
generalmente aceptadas) como requisito
necesario que garantice la calidad del
trabajo realizado y que la evidencia de este
trabajo quede documentada.
41. Conclusiones
A medida que la sociedad se vaya informati-
zando y/o vayan surgiendo problemas será
necesario actualizar la normas de auditoría o
elaborar otras nuevas para que la sociedad
tenga una seguridad razonable de que los SI:
funcionan adecuadamente,
sus datos se mantienen con la debida
confidencialidad,
cumplen con la legislación vigente y
los informes de los distintos auditores se puede
comparar