© ITGI 2004 - not for commercial use. 1

Auditoría de Tecnologías de Información

PremisaPremisa

Dotar a la auditoría de una actitud Dotar a la auditoría de una actitud proactiva que permita proporcionar proactiva que permita proporcionar un valor agregado al servicio que un valor agregado al servicio que presta a sus clientes, el mismo que presta a sus clientes, el mismo que hasta la fecha parece no haberse hasta la fecha parece no haberse logradologrado

© ITGI 2004 - not for commercial use. 2

Auditoría de Tecnologías de Información

Socialización del sílaboSocialización del sílabo

© ITGI 2004 - not for commercial use. 3

Auditoría de Tecnologías de Información

AntecedentesAntecedentes

OrígenesOrígenes

“ “auditory”auditory”

Inicialmente, informar sobre cualquier Inicialmente, informar sobre cualquier irregularidad en las operaciones y irregularidad en las operaciones y mantener un balance adecuado de ellasmantener un balance adecuado de ellas

Ahora su papel ha pasado de ser un Ahora su papel ha pasado de ser un detector de problemas a un identificador detector de problemas a un identificador de oportunidades y emisor de propuestas de oportunidades y emisor de propuestas de valorde valor

© ITGI 2004 - not for commercial use. 4

Auditoría en general, definición

La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúan el cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.

© ITGI 2004 - not for commercial use. 5

Significado de la definición de Auditoría

Es una disciplina

Es aplicada por personas independientes de la operación

Busca evaluar el cumplimiento de los objetivos institucionales

Emite un juicio sobre el cumplimiento de los objetivos

Efectúa recomendaciones

© ITGI 2004 - not for commercial use. 6

¿Cómo definir la Auditoría de TI?

Es decir, cómo convertir la anterior definición en una definición de auditoría de TI

¿Qué cambiarían?

¿Dónde cambiarían?

¿O necesitamos una nueva definición?

© ITGI 2004 - not for commercial use. 7

Auditoría en general, definición

La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúan el cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.

© ITGI 2004 - not for commercial use. 8

Auditoría de TI, definición

La disciplina que mediante técnicas y procedimientos aplicados en una organización por personas independientes de la operación de la misma, evalúa la función de tecnología de información y su contribución al cumplimiento de los objetivos institucionales, emite una opinión al respecto y efectúa recomendaciones para mejorar el nivel de cumplimiento de dichos objetivos.

© ITGI 2004 - not for commercial use. 9

Clasificación de la auditoría

Con base a quien la realiza

Mediante contrato con auditores independientes de la empresa

Auditores empleados formalmente por la empresaA. interna

A. externa

© ITGI 2004 - not for commercial use. 10

Auditores son independientesRelación se limita a un contratoAntigua y exitosa. Razones:

Alto nivel técnico alcanzado por las firmas de auditoría

Exigida como aval reconocidoLegislación de muchos gobiernos las exige

Price WaterhouseCoopers, Arthur Andersen, Ernst and Young, Deloitte and Touch, KPMG-Peat Marwick

Auditoría externa

© ITGI 2004 - not for commercial use. 11

Auditores son empleados de las empresa Ajenos a la operación de la misma Elemento fundamental de los sistemas de

administración Orientación

Eficiencia operativa Cumplimiento de normatividad

Reporta Directorio

Ejemplos Citybank, mundo Contraloría General, SBS, Perú

Auditoría interna

© ITGI 2004 - not for commercial use. 12

Clasificación de la auditoría

Con base en los objetivos

Opinión sobre los estados financieros

Financiera, protección activos, eficiencia y eficacia, normatividad,etc

Integral

Financiera

Administrativa

Evaluación de eficiencia y productividad de las operaciones

© ITGI 2004 - not for commercial use. 13

¿Dónde encaja la auditoría de TI?

Tipo Auditoría de TI

Externa √

Interna √

Financiera √

Administrativa √

Integral √

© ITGI 2004 - not for commercial use. 14

Estructura del Proceso de Auditoría según COBIT

Identificacion y

Documentación

Identificacion y

DocumentaciónEvaluaciónEvaluación Pruebas de

CumplimientoPruebas de

CumplimientoPruebasPruebas

SustantivasSustantivasPruebasPruebas

SustantivasSustantivas

© ITGI 2004 - not for commercial use. 15

PlaneaciónAnálisis y evaluación del CIAplicación de pruebasInformeSeguimiento

Otra versión del proceso de auditoría

ActividadesActividades

SUPERVISIÓN

© ITGI 2004 - not for commercial use. 16

1. ¿Qué da inicio a la P. de la auditoría?

2. ¿Por qué es necesario planificar la auditoría?

3. ¿Qué información necesitamos para la P?

4. ¿Para qué nos serviría la anterior información?5. ¿Por qué es importante una buena P?

6. ¿Cuáles son los productos de la planeación?

Planeación de la auditoría

© ITGI 2004 - not for commercial use. 17

Parte de un requerimiento inicial Obtener entendimiento general

Características del negocio, infraestructura tecnológica, sistemas de información, áreas de riesgos, objetivos estratégicos, otros asuntos

DeterminarProcedimientos, personal responsables, fechas y duración aproximada

Planeación de la auditoría

© ITGI 2004 - not for commercial use. 18

Analizar y evaluar el CI

Las politicas, procedimientos, prácticas y estructuras organizacionales diseñadas para proporcionar certeza razonable de la consecución de los objetivos de negocios y prevención, detección o corrección de eventos indeseables

DefiniDefinicciióón n dede ControlControl

DefiniDefinicciióón n dede ObjetivObjetivoo de de

Control Control de de TTII

Un enunciado del resultado deseado o propósito a lograr mediante la implementación de prácticas de control en una actividad particular de TI

Recordemos primero las definiciones de control ya vistas

© ITGI 2004 - not for commercial use. 19

Plan auditoría deviene en programa de trabajo específico para evaluar los procedimientos de control

¿Cómo? Mediante entrevistas, observación, inspección documental

Información obtenida se documenta Utiliza para fundamentar análisis sobre

efectividad y eficiencia del control

Analizar y evaluar el CI

© ITGI 2004 - not for commercial use. 20

Pruebas de cumplimiento Comprobar los procesos de trabajo de la empresa,

particularmente los de TI Ratificar o rectificar el juicio preliminar Ejemplos:

Pruebas sustantivas Evaluar los productos de los procesos de trabajo Se expresan en información Aplicables a los SI o a la infraestructura tecnológica Ejemplos:

Aplicar pruebas de auditoría

© ITGI 2004 - not for commercial use. 21

Resultados: Adecuación y confiabilidad del control

interno con pruebas de cumplimiento Medida en que se logran los objetivos

a cuyo cumplimiento están orientados los procedimientos de control, con pruebas sustantivas

Aplicar pruebas de auditoría

© ITGI 2004 - not for commercial use. 22

Elaborar un informe sobre su trabajo, los resultados del mismo, conclusiones y recomendaciones

Presentar su opinión, abstenerse de la misma o presentar una opinión negativa

Señalar si hubo limitaciones

Informar sobre los resultados

© ITGI 2004 - not for commercial use. 23

Las recomendaciones se convierten en compromisos para las áreas de auditoría

El auditor deberá efectuar revisiones de seguimiento

Efectuar seguimiento

© ITGI 2004 - not for commercial use. 24

Actividad permanente

El auditor será el principal responsable del trabajo realizado por su equipo

Supervisar el trabajo

© ITGI 2004 - not for commercial use. 25

Stakeholders o interesados

Clientes

Proveedores

Inversionistas

Gobierno

Comunidad

AccionistasAdministración

Empleados

Empresa

Auditoría

© ITGI 2004 - not for commercial use. 26

Procedimiento Definición Pruebas

Técnicas

Manuales

Aplicadas a la tecnología

Asistidas por la tecnología

Procedimientos y técnicas de AI

© ITGI 2004 - not for commercial use. 27

Inspección documental

Entrevistas

EncuestasNiveles de satisfacción

Sesiones facilitadas (focus groups)

Certificación

Confirmación

Circularización

Técnicas de Ingeniería de Información

Técnicas manuales

© ITGI 2004 - not for commercial use. 28

Sirven para evaluar el componente tecnológico del CI y no sus productos o resultados Ejemplos. La evaluación o medición de:

la capacidad de un computador para manejar altos volúmenes de tx

la velocidad y consistencia de un canal de comunicaciones

La eficiencia y exactitud de los lectores ópticos

Técnicas aplicadas a la tecnología

© ITGI 2004 - not for commercial use. 29

¿Qué son? ¿para qué sirven? Computer assited audit techiques Asistir en la evaluación de la efectividad del CI mediante el examen de sus productos o resultadosFormas de implementación:

Utilizando equipo e instalaciones de la propia empresa mediante programas de utilería, reporteadores o software especializado de auditoría

Utilizando software de auditoría que opera en microcomputadoras (ACL, IDEA, etc)

¿CAAT? o TAAC

© ITGI 2004 - not for commercial use. 30

Programas controlados Mapeo y rastreo de programas Análisis de código de programas Ambiente de prueba Ambiente integrado de prueba (ITF, inglés)

Análisis de bitácoras (logs) Simulación paralela Código de auditoría integrado Análisis de datos Programas de utilidad

Técnicas más utilizadas

© ITGI 2004 - not for commercial use. 31

Dos situaciones Planificar el trabajo de todo un año Planificar una auditoría específica

Planeación de la auditoría