• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Introducción auditoría

on

  • 9,253 views

 

Statistics

Views

Total Views
9,253
Views on SlideShare
8,629
Embed Views
624

Actions

Likes
0
Downloads
94
Comments
0

1 Embed 624

http://www.univerpnayarit.edu.mx 624

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Introducción auditoría Introducción auditoría Presentation Transcript

      • Teorías de administración de empresas (Anthony, Blumenthal, Nolan).
      • El rol de la auditoria en las organizaciones.
      • Gobierno de TI: “ Sistema mediante el cual la Tecnología de Información (TI) es dirigida y controlada, con el propósito de estar alineada al negocio y habilitar el logro de sus objetivos estratégicos”.
      ANTECEDENTES ANTES DETECTOR DE PROBLEMAS HOY IDENTIFICADOR DE OPORTUNIDADES Y EMISOR DE PROPUESTAS DE VALOR
    • AUDITORÍA DE SISTEMAS: “ La disciplina que mediante técnicas y procedimientos aplicados en una organización por personal independiente a la operación de la misma, evalúa la función de tecnología de información y su aporte al cumplimiento de los objetivos institucionales ; emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de apoyo al cumplimiento de dichos objetivos”.   DEFINICIÓN
      • Aplicada por personas independientes a la operación:
      • Independencia de criterio.
      • Libertad para expresar su juicio.
      • Requisito Legal (Bolsa de Valores).
      • Para Certificación.
      • Política de la Organización.
      • Problema u oportunidad de Mejora.
      ORIGEN DE LA AUDITORÍA
    • 1. LA AUDITORIA EXTERNA : Es aquella que realiza un auditor o grupo de auditores que son independientes a la empresa auditada y su relación con la misma se limita a un contrato o convenio de servicios profesionales establecido entre la empresa auditada y el auditor.  CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA
      • Beneficios:
      • Alto nivel técnico.
      • Experiencia profesional en distintas industrias.
      • Ser independientes a las empresas que auditan (credibilidad).
      • La legislación tributaria o los requisitos de participación en Bolsa.
      • FIRMAS DEL PANORAMA MUNDIAL:
      • Price Waterhouse Coopers
      • Ernest and Young
      • KPMG - Peat Marwick
      • Deloitte and Touch.
      • CASO: Arthur Andersen – Enron Corporation: Houston junio 2002 por obstruir la justicia, destruir y alterar documentos. Multa y privación de funciones.
      CLASIFICACIÓN
    • 2. LA AUDITORIA INTERNA Realizada por un auditor o grupo de auditores empleados formalmente por la empresa. Sus funciones son ajenas totalmente a la operación de la misma Sus actividades se limitan a las directamente relacionadas con la auditoria. Los auditores internos reportan normalmente al Consejo de Administración o al presidente de éste. Las funciones del director general son objeto de evaluación por parte del auditor. CLASIFICACIÓN QUIEN REALIZA LA AUDITORÍA
      • Auditoria Integral o de Gestión : Evaluar en su totalidad los objetivos que existen en una organización (administrativa, financiera, ambiental, producto final, sistemas y energética).
      • Auditoria Administrativa : Evaluación de aspectos relacionados con la eficiencia y productividad de las operaciones de una empresa.
      • Auditoria Financiera : Emitir una opinión sobre los estados financieros de una organización, evaluación de aspectos de integridad y veracidad de la información.
      •  
      • Auditoría de Sistemas: Evaluar el componente tecnológico de la organización.
      POR OBJETIVOS QUE SE PERSIGUEN CLASIFICACIÓN
      • Determinar si cumple con:
        • Requisitos de ley.
        • Los objetivos de la organización.
        • Un procedimiento y determinar su eficacia.
        • Identificar riesgos.
        • Mejorar la comunicación.
      ¿Por qué? ¿Por qué y cuándo realizar auditorías? ¿Cuándo?
      • Se determina de acuerdo con el riesgo.
      • De acuerdo con un plan preestablecido.
      • Hay cambios en los procesos, productos o servicios.
      • Por la necesidad de acciones correctivas.
      • De acuerdo a resultados de auditorías previas.
      • Conocimiento acerca de cómo funciona la organización.
      • Mejora relaciones cliente-proveedor.
      • Confirmación que el sistema funciona eficazmente.
      • Recomendaciones de mejora en la productividad y eficiencia.
      • Minimizar el riesgo e implementar controles.
      Resultados de la Auditoría.
    • PROCESO GENÉRICO Planear la Auditoría Analizar y evaluar el Control Interno Aplicar pruebas de Auditoría Informar los resultados de la Auditoría Efectuar Seguimiento Supervisar el trabajo de Auditoría Retroalimentación COBIT MASSOFT AS/NZ 4360 CMMI PMBOK SOX LOPD ISO NIST MAGERIT METRICA V.3 COSO
    • PROCESO RIESGOS Y CONTROLES 10. Informe de Auditoria (Conclusiones y Recomendaciones). 1. Planeación 2. Levantamiento De Información 3. Determinación de Riesgos 4. Clasificación de Riesgos 5. Evidencia de Controles 6. Análisis de Riesgos Reales 7. Análisis de Consecuencias 8. Recomenda- ciones 9. Informe Preliminar
      • ESTABLECER VIABILIDAD DEL
      • TRABAJO DE AUDITORIA.
      •  
      • Acordar con el auditado:
      • Alcance (tiempo, costo, recursos)
      • Objetivos de la auditoría (total, parcial, proceso).
      • Tipo de auditoría (proceso, producto o servicio, registro-legal, sistemas)
      • Profundidad de la auditoría (nivel de detalle).
      • Las condiciones generales del mismo (ambiente de trabajo).
      • Manejo de autoridad, confidencialidad.
      • Visita de Preauditoría: Adquirir un conocimiento general.
          • Objetivos estratégicos
          • Características de negocio
          • Infraestructura tecnológica
          • Sistemas de información
          • Áreas de riesgo
      PROCESO GENÉRICO
      • 1. PLANEAR LA AUDITORIA.
      •  
      • Con los requerimientos, realizar un trabajo de planeación:
        • Determinar tipo de procedimientos de revisión
        • Personal responsable del desarrollo de las actividades
        • Fechas y duración del proceso de auditoría.
      PROCESO GENÉRICO
    • Determinar tipo de procedimientos de revisión. OBJETIVOS DEL NEGOCIO
      • SO, LP, BdD, R y C.
      • Fuentes, Pruebas.
      • Riesgos y Controles.
      • SO, LP, BdD, R y C.
      • Capacidad.
      • Continuidad.
      • Hallazgos, Riesgos, Controles, Consecuencias.
      • Recomendaciones.
      MASSOFT:
      • Misión, Visión, Objetivos.
      • Políticas, normas (int-ext).
      • Proceso Vs Aplicación.
      • Cultura Organizacional.
      • Funciones.
      • Competencias.
      ORGWARE LIVEWARE SOFTWARE HARDWARE
    • Personal responsable del desarrollo de las actividades: Auditoría en TI Telecomuni- caciones Procesamiento electrónico de datos Administración de Empresas T.G.S Métodos Numéricos Finanzas y contabilidad Sistemas de Información Comportamiento Humano
    • Fechas y duración del proceso de auditoría.
    • 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO. Obtener información sobre los procedimientos de control. El control interno informático controla diariamente todas las actividades de sistemas de información para que sean realizadas cumpliendo los procedimientos, estándares y normas fijados por la Dirección de la Organización y/o la Dirección Informática, así como los requerimientos legales.
      • Por medio de:
      • Entrevistas
      • Observación Directa
      • Inspección Documental
      • Documentar para usar como referencia y como fuente de consulta.
      PROCESO GENÉRICO
      • 2. ANALIZAR Y EVALUAR EL CONTROL INTERNO - COSO.
      • Funciones del control interno:
      • Definir procedimientos de control.
      • Control de la seguridad física y lógica.
      • Control del entorno de análisis, diseño, desarrollo, producción y mantenimiento de los sistemas de información.
      • Control de datos.
      • Control de soportes magnéticos y físicos.
      • Control de calidad de los servicios.
      • Control de costos.
      • Control de licencias e inventarios.
      • Control de cambios de HW y versiones de SW.
      • Vigilancia del cumplimiento de normas y controles.
      PROCESO GENÉRICO
      • 3. APLICAR PRUEBAS DE AUDITORIA.
      • Técnicas con el propósito de evaluar el funcionamiento de los componentes tecnológicos.
        • Evaluación de:
        • Capacidad para manejar altos volúmenes de transacciones del computador.
        • Velocidad y consistencia de transmisión de un canal de comunicación.
        • Efectividad de una planta de energía alterna.
        • Efectividad del equipo de detección y extinción de fuego.
        • Eficiencia y exactitud de lectores ópticos.
      PROCESO GENÉRICO
      • 3. APLICAR PRUEBAS DE AUDITORIA.
      • PRUEBAS DE CUMPLIMIENTO (Orientadas a Procesos) :
        • Permiten verificar la efectividad de los procedimientos de control.
        • Los resultados podrán ratificar o rectificar el juicio preliminar.
      • PRUEBAS SUSTANTIVAS (Orientadas a Productos):
        • Pueden implicar la utilización de software (Programas de Auditoría).
        • Pruebas a la información (ACL, IDEA)
        • Pruebas a los componentes de la infraestructura tecnológica.
      PROCESO GENÉRICO
      • 3. APLICAR PRUEBAS DE AUDITORIA.
      • Las técnicas de auditoría más utilizadas son las siguientes:
      • COMPARACIÓN DE PROGRAMAS: De código fuente, comandos de proceso entre un programa en operación y su backup en custodia.
      • B. MAPEO Y RASTREO DE PROGRAMAS: software especializado que analiza los programas, indicando el número de veces que cada línea de código es procesada e indicando también las condiciones de las variables de memoria que estuvieron presentes. También indica las líneas de código que no se utilizan durante el proceso. Detectar "bombas de tiempo".
      •  
      • C. ANÁLISIS DE CÓDIGO DE PROGRAMAS: Del código fuente como el código ejecutable. Verificar que el programa incluye todos los procesos requeridos por el usuario.
      PROCESO GENÉRICO
    • 3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: D. DATOS DE PRUEBA: Controles detecten los errores. Preparar datos correctos como datos con errores predeterminados. No detecta rutinas de excepciones como un nombre “JOSE MARIA” (F o M).   E. DATOS DE PRUEBA INTEGRADOS (integrases test facilities -ITF-): Crear una entidad "falsa" dentro de los sistemas de información, una sucursal, una empresa o un departamento inexistente, pero que sean procesados en forma conjunta con las transacciones reales de la compañía. F. ANÁLISIS DE BITÁCORAS: De uso equipo, accesos no autorizados, uso de recursos, procesos ejecutados, fallas del equipo, etc. G. SIMULACIÓN PARALELA. desarrollar programas que emulen a los programas de un sistema en producción e identificar diferencias entre los resultados de ambos. PROCESO GENÉRICO
    • 3. APLICAR PRUEBAS DE AUDITORIA. Las técnicas de auditoría más utilizadas son las siguientes: H. CÓDIGO INTEGRADO (embedded code): Incluir en los programas rutinas de auditoría y todas las veces que sea ejecutado se evaluará su control. I. ANÁLISIS DE DATOS: Almacenados en archivos o bases de datos. Se utilizan queries, comandos SQL o lenguajes de desarrollo. Objetivo determinar la razonabilidad de la información financiera. J. PROGRAMAS DE UTILERÍAS (utility programs). E mplear los propios recursos del sistema (comandos COPY, DUMP, SORT) con fines de auditoria. PROCESO GENÉRICO
    • 3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Data díddling (manipulación de datos): Consiste en modificar los datos de un sistema durante su captura.   Trojan Horse: Es ocultar un programa o rutinas malignas dentro de otro programa que aparenta ser "sano”.   Salammi techníques: Tomar pequeñas porciones de los saldos o movimientos de cuentas y traspasarlos a una cuenta puente “falsa”. Superzapping (nombre programa utilitario de IBM): Tomar ventaja de los mecanismos de acceso de urgencia que muchos sistemas tienen.   Trapdoors (puertas traseras): “Huecos' que dejan los programadores en los sistemas para facilitar la inserción de rutinas adicionales   Logic Bombs (bomba lógica): Son programas o instrucciones que permanecen inactivos hasta que se presente una condición predefinida. PROCESO GENÉRICO
    • 3. APLICAR PRUEBAS DE AUDITORIA. TÉCNICAS MÁS CONOCIDAS DE FRAUDES O ACTOS ILÍCITOS POR COMPUTADOR: Extraer información que queda grabada en los archivos después de la conclusión de los procesos normales.   Extraer información de los sistemas enmascarándola para que pase inadvertidamente y burle los posibles controles de detección.   En telecomunicaciones interceptar la comunicación de datos mediante el acceso a las líneas de transmisión de datos.   Virus informáticos : programas capaces de reproducirse y dañar en forma deliberada los recursos de una empresa. Virus Robots: Objetivo controlar su PC. Virus Modulares: Llegan por partes lo que les permite pasar por debajo del sistema operativo y antivirus, luego se arman y activan. PROCESO GENÉRICO
    • 3. APLICAR PRUEBAS DE AUDITORIA. QUIENES AMENAZAN. Actos de la Naturaleza: Terremotos, Incendios, Rayos. Las Personas: Errores o Fraudes. La Tecnología: Cuando es defectuosa. (Banco Disco Duro). Los Procedimientos: Cuando no existen, no son claros y traba el SI. Las Organizaciones: No esta definida la estructura orgánica, las funciones. La Técnica de la Escoba: Escudriñar en la basura. (Embajada de Japón en Perú). Ingeniería Social: En reuniones sociales hablar de asuntos confidenciales (Colombia vs. Venezuela). PROCESO GENÉRICO
      • 4. INFORMAR LOS RESULTADOS DE LA AUDITORIA.
      •  
      • El informe incluye:
      • Hallazgos, Riesgos, Controles, Recomendaciones.
      • RNC – Reporte de No Conformidades.
      • RAC – Reporte Acciones Correctivas.
      • ROM – Reporte Oportunidades de Mejora.
      • Indicar su nivel de involucramiento y responsabilidad
      • Dependiendo de los resultados abstenerse de presentar una opinión cuando considere que no tiene elementos suficientes para sustentarla.
      PROCESO GENÉRICO
    • 5. EFECTUAR SEGUIMIENTO. Deficiencias Oportunidades de mejora Recomendaciones emitidas por el Auditor PROCESO GENÉRICO REVISION
      • 6. SUPERVISAR EL TRABAJO DE AUDITORIA.
      •  
        • En especial el realizado por personal con menor experiencia.
        • El auditor será el principal responsable de su trabajo.
      PROCESO GENÉRICO
      • Planificar la auditoría y elaborar documentos de trabajo.
      • Recolectar y analizar evidencia objetiva.
      • Conclusiones pertinentes y suficientes.
      • Acuerdo de confidencialidad.
      • Reportar los resultados.
      • Verificar la implementación de acciones correctivas.
      • Capacidad para dirigir un equipo auditor.
      • Habilidad para realizar entrevistas, presentaciones y reportes.
      • Diplomático, mente abierta, justo y versátil.
      Funciones y Competencias del Auditor
      • La auditoría no transcurre de acuerdo con el plan por:
          • Hostilidad (problemas laborales).
          • Evasivas (mantener la apariencia).
          • Falta de cooperación (mucho trabajo).
          • Nerviosismo.
      Situaciones Difíciles de Auditoría Es importante que ni usted ni los miembros de su equipo tomen como algo personal el comportamiento pasivo o agresivo del auditado. El trato con respeto (evitar contienda verbal). Mantenerse sereno y no dejarse provocar.
    • Los procedimientos de auditoria pueden ser tan variados como distintas sean las empresas y proyectos que se desarrollen. Sin embargo, existe un grupo de técnicas básicas que el auditor utiliza adecuándolas a cada caso en particular. COBIT. Objetivos de Control para Tecnología de Información y Tecnologías Relacionadas NTC BS 7799-2:2004 Sistema de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC ISO 17799:2000 Código de Buenas Prácticas para la Gestión de la Seguridad de la Información. NTC ISO 27001:2006 TI. Técnicas de Seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI) – Requisitos. NTC 5254:2004 Gestión del Riesgo – Referencia AS/NZ 4360:1999 PROCEDIMIENTOS
    • El fraude implica la existencia de dolo y premeditación en un acto que perjudica a la empresa y beneficia al perpetrador.   La auditoría no tiene como propósito la detección de fraude . Sin embargo, se espera que mediante el desarrollo de su trabajo puedan salir a la luz situaciones irregulares que ameriten la atención de la empresa. SU RELACION CON LOS FRAUDES
    • Un error representa un acto involuntario en que se incurre y que provoca una situación no deseada. La negligencia es una característica que acompaña las actividades desempeñadas por los seres humanos y que incrementa la probabilidad de ocurrencia de errores.   Estudios realizados en estados unidos demuestran que la negligencia afectan en mucha mayor proporción a las empresas que los propios fraudes .   En la mayoría de las ocasiones, los fraudes se efectúan una sola vez , mientras que el error es un elemento repetitivo , sobre todo y potencialmente en un ambiente de procesamiento electrónico de datos. SU RELACION CON EL ERROR
    • STAKE HOLDER (“interesados”): Persona o grupo de personas que tienen interés en el buen funcionamiento de una empresa. Accionistas: Desean obtener un retorno sobre la inversión. Administración: Responsable directo de los resultados. Empleados: Lugar estable de trabajo, posibilidad de desarrollo. Proveedores: Mayor operación - mayores beneficios. COMPROMISO ÉTICO
    • Clientes: Dependen de la operación de la empresa para lograr sus propios objetivos. Gobierno: Sus impuestos son una contribución indispensable para el gasto publico. Inversionistas: Adquieren acciones de la empresa a través de la bolsa de valores. La Comunidad: Impacto que dicha empresa pueda tener en la vida socio económica de la comunidad. COMPROMISO ÉTICO
    • Clientes Gobierno Proveedores Inversionistas Comunidad en general COMPROMISO ÉTICO Empleados Accionistas Administración Empresa Auditoría
    • El auditor moderno con actitud proactiva y de mayor compromiso hacia sus stakeholders. Generar mayor valor agregado a sus actividades. Actualizar e incorporar los conocimientos .  CONCLUSIONES
    • Reingeniería de la Auditoría Informática, SOLÍS MONTES Gustavo Adolfo. Editores S.A. de C.V., México D.F. ISBN 970-92177-0-4 Manual de Habilidades para Auditoría, MALLEN David y COLLINS Christine. ICONTEC, Bogotá D.C. Colombia. ISBN 958-9383-37-8. Auditoría Informática, PIATTINI Mario y DEL PESO Emilio. Alfaomega, Madrid España. ISBN 958-682-455-1 Guía de Auditoría, LARRY Bailey y HOLZMAN Oscar. Editores Harcourt Brace Madrid, España. ISBN 84-8174-383-6 Auditoría Integral, ORTIZ José Joaquín y ORTIZ Armando. Editorial Kimpres Ltda, Bogotá D.C. Colombia. BIBLIOGRAFÍA
    • GRACIAS