Company LOGO
AUDITORÍA III (Auditoría de Sistemas Automatizados)
Contenido I • •
Concepto de Auditoria Informática. Campo de Acción de la auditoria informática.
•
Auditores de SI y Financieros trabajando juntos
• •
Auditoria asistida por computadora (CAAT) Como las técnicas de auditoria asistidas por computadora pueden mejorar la eficiencia de la auditoria.
•
Presentación de las herramientas de auditoria auditoria (ACL, SECCHECK y otros)
• • • •
Que hace el software de auditoria Que paquetes de software de auditoria están hoy disponibles La Auditoría Informática como parte de la Auditoría Externa La Auditoría Informática como parte de la Auditoría Interna
Estructura del curso • I. Definición de la auditoría informática • II. Impacto de la tecnología en la profesión de contaduría pública • III. Alcance y desarrollo de la auditoría informática
Auditoría Definición de Auditoría Proceso sistemático por el cual una persona competente e independiente, obtiene y evalúa objetivamente evidencia relativa a aseveraciones sobre una entidad o evento económico, con el propósito propósito de formarse una opinión opinión y reportar el grado en que la aseveración está acorde con un conjunto de estándares identificados
1
Auditoría Informática Definición de Auditoría de T I* Proceso de recolección y evaluación de evidencia para
determinar si l os SI** y los recursos relacionados: - Salvaguardan adecuadamente los activos, - Mantienen la integridad de los datos y del sistema, - Proveen información relevante y confiable,
- Alcanzan efectivamente los objetivos organizacionales, - Utilizan los recursos eficientemente, y - Cuentan con controles internos que provean una seguridad razonable de que los objetivos operacionales y de control serán satisfechos y de que los eventos no deseados serán prevenidos o detectados y corregidos de manera oportuna
* TI = Tecnologías de Información
¿COMO ES VISTO UN AUDITOR? EL “OJO SECO” EL “POLICIA” EL “SABELOTODO” BUSCA CULPABLES
ES NECESARIO CAMBIAR ÉSTOS CONCEPTOS
** SI = Sistemas de Información
Riesgo: La exposición potencial a situaciones que pueden afectar el logro de los objetivos de una organización, generar pérdidas o mermar potenciales utilidades.
Impacto de TI en los Negocios TODOS los procesos de negocios son afectados por los cambios tecnológicos Grandes volúmenes de información son procesados de manera automática, integrada, rápida y sin evidencia física Los niveles de inversión en IT cada vez mayores debido a nuevas y novedosas formas de hacer negocio La economía interconectada crea ambientes complejos y las decisiones deben ser tomadas rápidamente Pequeños errores pueden causar grandes desastres económicos y operacionales
¿ CUALES RIESGOS ? Exposición al
FRAUDE se incrementa:
– Información NO PROTEGIDA apropiadamente – Procesamiento NO CONFIABLE – DEFICIENTE CONTROL sobre los datos Probabilidad de ERRORES Y SORPRESAS se incrementa: – Sistemas con controles deficientes – Procesos no adecuados – Sistemas no integrados adecuadamente
NUEVOS E IMPORTANTES RIESGOS APARECEN
2
¿ CUALES RIESGOS ?
¿Realmente puedo vivir tranquilo?
– Personal de auditoría NO esté preparado para auditar la nueva tecnología – Existan riesgos tecnológicos NO evaluados – CONTROLES automatizados insuficientes – Revisiones incompletas o no enfocadas – DEPENDENCIA total del negocio hacia la Tecnología – Exposición a ATAQUES e INTERRUPCIONES – ¿Como operará mi negocio sin t ecnología? – ¿La infraestructura tecnológica es confiable?
¿Puedo dormir tranquilo?
Finalidad de la AI •
Asegurar, respecto a la TI en la organización lo siguiente: – Existencia de pistas de auditoría – Existencia de controles adecuados con respecto a la entrada de datos y al mantenimiento de la integridad de los mismos – El manejo adecuado de las excepciones y de los rechazos originados por los controles – El aseguramiento de que las políticas corporativas y gubernamentales sean cumplidas – La verificación de que los sistemas se comporten conforme fueron definidos – El control sobre las modificaciones a los sistemas – La existencia de controles y procedimientos de seguridad – El aseguramiento de la adecuado interconexión entre los diversos sistemas
Auditoría de TI • Campo de acción de la AI
Seguridad de la Información Firmas Digitales Seguridad Aplicativa Firewalls Calidad de Datos Detección de Intrusión Seguridad de Bases de Datos Sistemas de Información Confidencialidad y privacidad Servicios de Administración de Seguridad Gestión de Servicios de TI Confiabilidad de Procesos Desarrollo de Software
Seguridad en Red Otorgamiento de Accesos Políticas y Procedimientos Controles Generales Monitoreo de Datos Seguridad inalámbrica (Wireless) Bio-métricos y autenticación robusta
3
PREGUNTA • Es posible que el Auditor financiero y el Auditor de Sistemas puedan realizar su trabajo (coexistir en la organización) de forma independiente???
Misión de una auditoría de TI •
– Se logra desarrollar e implementar una estrategia de auditoría basada en riesgos – Se plantean auditoría específicas para validar que las TI se encuentren protegidas y controladas – Se llevan a cabo auditorías basadas en estándares, directrices y mejores prácticas – Se comunican los hallazgos, riesgos potenciales y resultados a las cabezas de la organización – Se asesora sobre la implementación de la administración de riesgos y las prácticas de control de la organización al tiempo que se mantiene la independencia – Se provee un nivel adecuado de soporte a los auditores financieros con un mismo enfoque pero aplicando conocimientos y técnicas que generalmente éstos no conocen
CUAL ES LA MEZCLA PERFECTA EN ESTA RELACIÓN???
Perfil de un auditor informático – Corresponde a un Ingeniero o Técnico en Informática en cualquiera de sus especialidades, pero más concretamente la especialidad de Gestión. O también a un profesional al que se le presupone cierta formación técnica en informática y experiencia en el sector , indepen dencia y objetividad, madurez, capacidad de síntesis, an álisis y seguridad en sí mismo. – Debe disponer de conocimientos tanto en la normativa aplicable , como en informática , como en la técnica de la auditoría, siendo por tanto aceptables equipos multidisciplinarios formados por titulados en Ingeniería Informática o Técnicos en Informática y Licenciados especializados en el mundo de la auditoría.
La Misión se cumple si:
Certificaciones
La necesidad de contar con lineamientos y herramientas estándar para el ejercicio de la auditoría informática ha promovido la creación y desarrollo de mejores prácticas como COBIT , ITIL, ISO. Actualmente la certificación de ISACA para ser CISA Certified Information Systems Auditor es una de las más reconocidas y avaladas por los estándares internacionales. El proceso de selección consta de un examen inicial bastante extenso y la necesidad de mantenerse actualizado acumulando horas (puntos) para no perder la certificación.
4
Tipos de Auditoría Informática • • • • •
• • •
Auditoría de la gestión: Referido a la contratación de bienes y servicios, documentación de los programas, etc. Auditoría de los datos : Clasificación de los datos, estudio de las aplicaciones y análisis del tratamiento de dichos datos. Auditoría de las bases de datos : Controles de acceso, de actualización, de integridad y calidad de los datos.
¿MI AUDITOR ENTIENDE MI NEGOCIO?
Auditoría de la seguridad : Referidos a datos e información verificando disponibilidad, integridad, confidencialidad, autenticación. Auditoría de la seguridad física : Referido a la ubicación de la organización, evitando ubicaciones de riesgo, y en algunos casos no revelando la situación física de esta. También está referida a las protecciones del entorno. Auditoría de la seguridad lógica : Comprende los métodos de autenticación de los sistemas de información. Auditoría de las comunicaciones . Se refiere a la auditoria de los procesos de autenticación en los sistemas de comunicación. Auditoría de la seguridad en producción : Frente a errores, accidentes y fraudes.
Entender el Negocio - TIPS • Recorrer las instalaciones • Leer documentación, publicaciones, reportes financieros independientes • Revisar planes estratégicos • Entrevistar gerentes claves para entender los problemas del negocio • Estudiar regulaciones aplicables • Revisar reportes anteriores
Entender EntenderelelNegocio Negocio--TIPS TIPS • Identificar los requisitos del gobierno • Documentar las leyes y regulaciones pertinentes • Determinar si estos requisitos han sido considerados en planes, políticas, etc. • Revisar documentos de cumplimiento
5
Auditores de SI y Financieros trabajando juntos
Entender el Negocio Conocimiento del negocio
Qué impide trabajar bien ?
La clave para desarrollar una buena estrategia de auditoría , es formarse un adecuado punto de vista sobre los riesgos del negocio. En este sentido es crítico no aceptar sólo el punto de vista de la administración del cliente, sino realizar una adecuada investigación que permita tener una opinión más objetiva sobre éste.
Competencias
Ventajas de trabajar juntos
Como podemos mejorar?
Puntos de Unión •
Competencias
•
23
Los auditores de SI y Financieros tienen diferentes fortalezas y competencias !! Hay que tener en cuenta el conocimiento y experiencia para los equipos de trabajo.
•
Puntos de conexión en la aplicación del enfoque, metodología y documentación
•
Diferencia en competencias y fortalezas
•
El proceso de coordinación, planeación, y realización del compromiso de auditoría
•
Inadecuada comunicación
Lo s A ud it ore s d e S I d eb en : •
Demostrar un avanzado entendimiento de procesos de negocios, admin istración de riesgos, controle s automatizados y estándares relacionados.
•
I de nt if ic ar y e va lua r c ic lo s c om pl ejo s, ri es go s t ec no ló gic os y controles.
Qué impide trabajar bien ?
24
6
Ventajas de trabajar juntos
• Calidad de la auditoría realizada.
•
Tener un plan de reuniones que incluya personal representativo de: Auditoría Financiera,Auditoresde SI y otras líneas de servic io
• Mejoramiento en próximas auditorías.
•
L os in teres ados deben a te nd er la s dis cus iones p rin cip ales y reuniones con la administración y los encargados de gobierno.
•
T en er u n re sum en d e la s re un io nes entre los auditores de SI y Auditoría d es pu és d el tr ab aj o d e c am po q ue d es cr ib a lo s r es ulta do s y e l r ol d el especialista en la auditoría
• Mejorasen la comunicación y colaboración • Capacidad de cumplir las expectativas de los stakeholders (personal involucrado) relacionadas con efectividad y eficiencia. •Mejor entendimientode los procesos, sistemas y controles.
25
Como podemos mejorar?
26
Deber: Investigación # 1
• •
¿ Qué son las normas NIA e ISA (Norma Internacional de Auditoria o International Standards on Auditing) ? (incluir lista de normas) ¿ Qué son las normas SAS ? ¿ Qué son las normas SAP? (incluir lista de normas)
•
Para el trabajo indicar:
•
– En máximo 4 líneas describir el concepto de la norma. Letra: Arial Tamaño: 12 – Indicar el número de normas que se tienen por cada una.
•
Fecha de entrega: Mayo 30 hasta las 17:00 horas se receptaran el trabajo en el correo:
Técnicas manuales de revisión •
Inspección de documentos, procedimientos, activos, para verificar su existencia, mas que para determinar la forma en que se están utilizando.
• • • • •
Observación de procesos o acciones Investigación o indagación. Confirmación ratificar datos. Cálculo precisión matemática Revisión analítica investigación de fluctuaciones o partidas poco usuales.
7
CAATs (Computer Assisted Audit Techniques ) Técnicas de auditoría asistidas por computador
CAATs (Computer Assisted Audit Techniques ) Técnicas de auditoría asistidas por computador •
SAP 1009 (Statement of Auditing Practice) denom inada Computer Assisted Audit Techniques (CAATs) o Técnicas de Auditoria Asistidas por Computador (TAACs), plantea la importancia del uso de TAACs en auditorías en un entorno de sistemas de información por computadora (ver siguiente
• Con el objetivo de Obtener evidencia: suficiente, relevante y útil; sobre la validez de l a aseveración probada, se han desarrollado técnicas de auditoría que se basan en la aplicación de métodos y programas que utili zan computadoras para lograr recopilar dicha evidencia.
CAATs (Computer Assisted Audit Techniques ) Técnicas de auditoría asistidas por computador • •
1. Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.) 2. Procedimientos analíticos, por ejemplo identificación de inconsistencias o fluctuaciones significativas.
•
3. Pruebas de controles generales , tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones, 4. Programas de muestreo para extractar datos.
•
5. Pruebas
•
6. Recálculos .
•
de control en aplicaciones .
lámina)
CAATs: CAATs:
Técnicas Técnicasde deauditoría auditoríaasistidas asistidaspor porcomputador computador
Las herramientas CAAT son muy importantes para los auditores de SI en la recolección independiente de información (obtención de evidencia). –
Incluyen: • Software de auditoría (ACL, IDEA, etc.) • Software utilitario (Excel, Access, etc.) • Datos de prueba • Software de aplicación para auditorías continuas en línea • Sistemas expertos de auditoría
8
CAATs:
• Es necesario que el auditor de TI posea un entendimiento profundo sobre las CAATs para saber dónde y cuándo aplicarlas. • Generalmente corresponden a la ejecución de pruebas específicas componentes de la auditoría general.
CAATs: •
CAATs:
Técnicas de auditoría asistidas por computador
•
Ventajas de las CAATs: – – – – – – –
Reducen el nivel de riesgo de la auditoría Permiten una mayor independencia respecto del auditado Cobertura de auditoría más amplia y eficiente Disponibilidad de información con mayor rapidez Identificación mejorada de excepciones Mayor flexibilidad en tiempos de ejecución de programas Mayor oportunidad para cuantificar las debilidades de control interno – Muestreo mejorado
CAATs:
Técnicas de auditoría asistidas por computador
Pasos para realizar una CAAT: Ver ejemplo – Primero.- Definir el objetivo de la prueba de auditoría – Segundo.- Analizar los elementos de la aplicación que se intenta auditar – Diseñar la lógica general del programa de revisión – Codificar la prueba y ejecutarla sobre una muestra reducida – Ejecución de la prueba y documentación de resultados
Técnicas de auditoría asistidas por computador
•
Técnicas de auditoría asistidas por computador
Es necesario realizar un análisis breve antes de decidirnos por utilizar una CAAT, los criterios pueden ser: – – – – – – –
Facilidad de uso Requerimientos de entrenamiento Complejidad de la codificación Flexibilidad de uso Requerimientos de instalación Eficiencia de procesamiento Esfuerzo requerido para desarrollar los análisis
9
CAATs: Software de Auditoría
CAATs: Datos de prueba •
• •
Según SAP1009 (Statement of Auditing Practice) , en su parágrafo 26: "El software de auditoría consiste en programas de computadora usados por el auditor, como parte de sus procedimientos de auditoría, para procesar datos de importancia de auditoria del sistema de contabilidad de la entidad. Puede consistir en programas de paquete, programas escritos para un propósito, programas de utilería o programas de administración del sistema. Independientemente de la fuente de los programas, el auditor deberá verificar su validez para fines de auditoría antes de su uso ".
•
Se alimenta la aplicación con datos prepa rados por el auditor y de los cuales conoce los resultados luego de procesarlos. El objetivo es conocer que hace el programa y la acción de los controles implementados su ausencia. Uso: - Evaluación de controles específicos. - Verificación de v alidaciones - Prueba de perfiles de acceso - Prueba a transacciones seleccionadas
CAATs: Sistemas expertos de auditoría •
Es un programa de computación que utiliza datos almacenados reglas que, aplicadas imitan el accionar de un experto humano, Un experto hum ano tiene, fundamentalmente, la capacidad de determinar la probabilidad de un resultado conc reto en circunstancias rodeadas de un alto grado de incertidumbre. Esa capacidad esta dada por condiciones de experiencia y criterio.
CAATs: Simulación Paralela •
Programas independientes creados por la auditoría para procesar datos reales y simular pro ceso real.
10
La Auditoría Informática como parte de la Auditoría Externa
¿Preguntas?
•
•
Se define como Auditoría Externa a la revisión independiente específica realizada por personal especializado, externo de la empresa, a fin de c ontar con una mayor objetividad debido al mayor distanciamiento entre Auditor y Auditado Legalmente las empresas (Ley de Comp añías art. 318) por ciertas restricciones deben presentar sus EF´s anuales auditados: Estado de Situación Financiera Estado de Resultados Integrales Estado de cambio en el Patrimonio de los Accionistas Estado Flujo Efectivo
La Auditoría Informática como parte de la Auditoría Externa •
El soporte requerido para realizar dicha revisión independiente, especialmente en ambientes de procesamiento de información significativamente dependientes de sistemas, implica el involucramiento de profesionales expertos en revisión de controles sobre los sistemas y en pruebas contables sobre grandes volúmenes de información .
La Auditoría Informática como parte de la Auditoría Interna •
•
Se define como Auditoría Interna al ente de la organización que se encarga de velar por el cumplimiento del Control Interno, generalmente son personas que pertenecen a la organización o terceros contratados exclusivamente para dicha función principal y demás funciones secundarias que se le designen considerando siempre la independencia. La auditoría interna tiene la ventaja de que pue de actuar periódicamente realizando Revisiones globales, como parte de su Plan Anual y de su actividad normal
11
La Auditoría Informática como parte de la Auditoría Interna •
Dicho Plan de auditoría debe considerar las actividades de revisión sobre los sistemas de la compañía y considerar que el responsable de realizar dicho trabajo debe contar con la actitud y a ptitud para ejecutarlo y lograr los resultados esperados.
12