La tarea de un auditor es:

Determinar si los sistemas de aplicacin:

Funcionan como es debido
Integridad
Precisin
Completitud de datos
------------------------------------------Requerimientos del Negocio
<Criterios de Informacin>
1.- Efectividad
2.- Eficiencia
3.- Confidencialidad
4.- Integridad
5.- Disponibilidad
6.- Cumplimiento
7.- Confiabilidad
Recursos de TI
1.- Aplicaciones
2.- Informacin
3.- Infraestructura
4.- Personas
Procesos de TI
1.- Dominios
2.- Procesos
3.- Actividades
Dominios de TI
PO Planear y Organizar
AI Adquirir e Implementar
ES Entregar y Dar Soporte
ME Monitorear y Evaluar

Audit Plan Process

1.2.3.4.5.6.7.8.-

Gather Information
Identify Stated Components
Asess Risk
Perform Risk Analysis
Conduct Internal Control Review
Set Audit Scope and Objetives
Develop Auditing Strategy
Assign Resources

La misin real de un departamento de

Auditora Interna es:

Ayudar a mejorar el estado de CONTROLES de la compana.

Los Auditores realmente no son independientes pero tienen que ser
objetivos.

Es importante buscar formas para complementar la misin del

departamento de Auditora al mrgen de las auditoras formales. Las
cuatro herramientas para lograrlo son:

1).- Involucramiento Apriori

2).- Auditora Informal
3).- Compartir Conocimientos
4).- AutoValoracin
La construccin y mantenimiento de las buenas relaciones con la
organizacin son ELEMENTOS CRTICOS para el xito de la Auditora.

LaauditoradeTICinvolucra:
Aplicacin de Tcnicas de auditora orientadas
alriesgo.
Uso de Tcnicas y herramientas asistidas por
computadora(CAAT
).
Aplicaciones estndares ISO 9000/3 ISO17799
paramejorareimplementarsistemasdecalidad.
Entendimientodelosrolesdelnegocio.
Evaluacin de los problemas de seguridad y
privacidad de la informacin que pueden poner
enriesgolaorganizacin.
Exmen y Verificacin del cumplimiento de la
organizacin con aspectos legales que pueden
ponerenriesgoalaorganizacin.
Evaluacin del desarrollo de sistemas (SDLC) o
nuevastcnicasdedesarrollo.
Reportar a la administracin y llevar a cabo el
seguimiento de revisiones para asegurar su
cumplimiento.
Para la Auditora es necesario entender: RIESGO, OBJETIVOS de CONTROL,
STANDARDS, CONTROL INTERNO, PLANEACIN y ADMINISTRACIN.

La administracin de las TIC es de importancia crtica debido a su costo

y la dependencia de la informacin para operar los negocios o ms bien
para lograr los objetivos de la organizacin.
El paradigma tradicional Control= Control de la administracin
Controla TODO y el Control puede ser impuesto
Hoy el paradigma re-engineering (Mejora Contnua)
Enfocado al Control de Procesos
Dueo de procesos
Entender el negocio de la compaa
Identificar las actividades Crticas
KPAs [ Key Performance Areas]-- Aquellos productos o servicios ms
importantes para alcanzar los objetivos del negocio.
Establecer Objetivos de trabajo
KPIs [Key Performance Indicators]
Se define cada objetivo y su indicador
Disear, Ejecutar, Cumplir los CONTROLES en las TIC para
APOYAR en los OBJETIVOS de la ORGANIZACIN
Para lograr ADMINISTRACIN del RIESGO (Costo-Beneficio)
Ignorar, Mitigar(minimizar), Transferir, Eliminar)

Objetivos del Control Interno

Los controles deben ser prcticos, tiles,
factibles, fiables, eficientes, compatibles

La fortaleza del control est relacionada con ....

Todos los objetivos de control interno a nivel
detalle abarcan:
Confiabilidad e Integridad de Informacin.
Debe Cumplir con las Polticas, Planes,
Procedimientos, Leyes y Regulaciones.
Salvaguarda de los activos (los tangibles y no
tangibles
custodia,
segregacin
de
actividades, tcnicas de autentificacin)
Efectividad y eficiencia de las Operaciones
Otros tipos de Controles:
Controles Directivos: Los que se implementan para
provocar cambios de conducta.
Controles Compensatorios: Usados para suplir otro
control

OBJETIVO de CONTROL (accurancy, availavility, reliability, security,

confidenciality, confiability)
Los riesgos y las amenazas que pueden dirigir al NO CUMPLIMIENTO de los
logros deben ser EVALUADOS

Decisiones sobre las estrategias de control:

Analizar riesgo priorizado y se decide cual debe ser manejado (ya sea el
control prevenido, detectado, corregido)
por lo tanto un intercambio puede ser requerido,
porque las Medidas de Control son comnmente contradictorias.
Para que los controles sean efectivos, stos deben monitorearse y se
espera que su existencia no verifique el hecho.
Es para CONTROLAR no para VERIFICAR
Los Controles resultan de una intervencin
reflexionada y planeada para un fin especfico.
Gobierno corporativo: Puede definirse como las
relaciones de varios participantes para determinar
la direccin y desarrollo de la compaa
(accionistas,
administradores,
junta
de
directores, empleados).

Rol del auditor en los controles

Evaluacin de la estrategia de control
Adecuacin y efectividad del control
Evaluacin de la calidad de desempeo
Reportear la ejecucin
Seguimiento

Los auditores deben tener en mente que los administradores tienen

diferentes actitudes hacia el riesgo. Algunos administradores
incluso organizaciones ven la aceptacin del riesgo como algo
fundamental para obtener ganancias, mientras que para otros existen una
aversin al riesgo y consideran reducirlo como un componente
fundamental del negocio. Esto se refiere como la TOLERANCIA al RIESGO.
Aunque el auditor entienda este concepto es probable que el
administrador y el auditor hablen sobre el particular y ste puede ser
definido como imprctico e inaceptable.
Basado en la posicin individual frente al riesgo, las organizaciones
tienen diferentes intervenciones en la mitigacin del riesgo, como el
pago de coberturas de seguro, instrumentos financieros, cumplimiento y
funciones de auditora interna. El administrador debe entender que la
auditora interna no reemplaza la responsabilidad del administrador en
el control de su riesgo a niveles aceptables.
Los riesgos son comnmente categorizados en base a la respuesta que la
organizacin ofrece:
Riesgo Controlable: El riesgo que existe en un proceso de la
organizacin y est totalmente en manos de la organizacin para su
mitigacin.
Riesgo Incontrolable: Riesgo que puede surgir externamente a la
organizacin y no puede ser controlado o influenciado
directamente, no obstante se debe tener una posicin al respecto.
Riesgo Influenciable: Riesgo que aparece externamente a la
organizacin pero puede ser afectado por la organizacin.

Evidencia de Auditora
Los auditores de SI frecuentemente expresan una
opinin sobre lo apropiado y efectivo de los
controles internos para mitigar el riesgo. Para
ello los auditores deben obtener EVIDENCIA. La
evidencia puede ser definida como la informacin
intencionada con el el propsito de proveer o
soportar la verdad. Individualmente, los items de
la evidencia pueden ser defectuosos por perjuicios
personales o por errores potenciales de medida y
cada pieza puede ser menos competente que lo
deseable, as que el auditor buscar en el todo
el cuerpo de la evidencia, la cual debe proveer
hechos para la opinin de auditora.
Confiabilidad de la evidencia de Auditora
La evidencia de auditora puede ser clasificada
como:
Suficiente. Hecho, adecuado y convincente de
tal
manera
que
una
persona
prudente
encontrara las mismas conclusiones que un
auditor.
Competencia. Confiable y lo mejor alcanzable
a travs del uso de las tcnicas de auditora
apropiadas.
Relevante.
Soporta
hallazgos
y
recomendaciones de auditora y es consistente
con los objetivos para la auditora
til. Ayuda a la consecucin de las metas de
la organizacin.

Se piensa que la evidencia frecuentemente se

obtiene directamente de los archivos de datos de
la computadora. Aunque esto es una tcnica comn,
la evidencia puede ser obtenida por observaciones,
entrevistas con personas y el exmen de los
registros. de esta forma la evidencia tpicamente
es clasificada como:
Evidencia
Fsica.
Obtenida
por
la
observacin de personas, propiedades, por
eventos y sta puede estar en forma de
fotografas, mapas, etc. Cuando la evidencia
es obtenida por observacin, sta debe ser
soportada por ejemplos documentales si no es
posible corroborando la observacin.
Evidencia Testimonial. Puede tomar forma
de cartas, declaraciones en respuesta a las
investigaciones, entrevistas, y no son
concluyentes por ellas mismas, dado que es
slo una opinin. Deben ser soportadas por
documentos en lo medida de lo posible.
Evidencia Documental. sta es la forma ms
comn de evidencia. sta incluye cartas,
contratos, convenios, directivas, memorandos y
otros documentos de negocios. Cada evidencia
documental tambin puede ser derivada de
registros computacionales haciendo uso de las
apropiadas
tcnicas
y
herramientas
de
auditora. La fuente del documento afectar su
confiabilidad y la confianza depositada en la
misma. La calidad del procedimiento de control
interno tambin ser tomado en cuenta.
Evidencia Analtica.Comnmente derivada de
clculos, comparaciones con estndares,

operaciones anteriores, y operaciones

similares. Las herramientas computacionales
normalmente proveen una gran ayuda al auditor
proporcionado evidencias muy efectivas. Las
regulaciones y el raciocinio comn tambin
generan la evidencia.
Cabe la pena sealar, que en la obtencin de la
evidencia un concepto llamado materializacin
puede ser diferente entre los tipos de auditora.
Para una auditora financiera, la materializacin
se refiere por ejemplo a la suma de dinero,
mientras que en auditora en TIC se refiere ms
que todo a la debilidad o falla de estructura del
control interno de la organizacin.
Destacar la importancia
recoleccin de la evidencia

de

CAATs

en

la