Professional Documents
Culture Documents
Auditoría proviene….
Etimológicamente el término auditoría se asocia a
auditórium que en la antigüedad hacia referencia a
una audiencia que inspeccionaba algo que se le
presentara.
Privado.
Inconvenientes:
Alteración por subordinación o
intereses. Fiabilidad, alcance y
veracidad pueden estar limitados.
Auditoria Externa
Realizada por personas ajenas a la empresa.
Ventajas:
Trabajo y dictamen libre
Validaciones legales.
Inconvenientes:
Menor conocimiento.
Más costosa.
Procedimientos
Conjunto de técnicas de investigación aplicables a
un grupo de hechos o circunstancias que sirven
para fundamentar la opinión del auditor dentro de
una auditoría.
Normas
Son requisitos mínimos de calidad relativos al trabajo
del auditor, información que debe rendir como
resultado de la auditoría y su personalidad.
TRABAJO DE CAMPO
Se refiere a la ejecución y otras actividades cuando se lleva
acabo la auditoria.
• Planeación y supervisión adecuadas.
• Evaluación y compresión del control interno.
• Evidencia suficiente y competente.
Clasificación de las Normas
INFORMACIÓN
Se refiere a los informes que realiza el auditor.
• Resultado final del trabajo del auditor, es su
dictamen o informe.
• Pone en conocimiento de las personas interesadas
los resultados de su trabajo
• La opinión que se ha formado a través de su
examen.
Fases de una auditoría
Fases – Planeación y Programación
Objetivos:
RIESGO INHERENTE:
Riesgo propio de cada activo o proceso.
RIESGO RESIDUAL:
Riesgo que queda luego del tratamiento del mismo
.
Auditoría basada en Riesgos
DEFINICIONES
VULNERABILIDAD:
Debilidad de un activo o control que puede ser explotado por
una amenaza.
AMENAZA:
Situación que tiene el potencial de causar un incidente no
deseado el cual puede producir un daño a un sistema u
organización.
ACTIVO DE INFORMACIÓN:
Generan, procesan y/o almacenan la información
necesaria para la operación y el cumplimiento de los
objetivos de la organización. Todo aquello con valor.
Personal
Directivo
Personal de
Auditoría
Personal de
Sistemas
1. IDENTIFICACIÓN E IMPORTANCIA
DE LOS PROCESOS
Proceso
Documentos de Finanzas
Coordinador de Finanzas
Portátiles
Personal Técnico
Computadores
2. IDENTIFICACIÓN DE AMENAZAS
POTENCIALES
1. Robo
2. Virus
3. Incendio
4. Falta de Corriente.
5. Compartir contraseñas
6. No cifrar datos críticos
AMENAZAS / VULNERABILIDADES
Código Amenaza Código Amenaza
A1 Replicación de Malware A14 Saturación de memoria, procesador o disco
duro.
A2 Fugas de Información A15 Errores de configuración (Administradores)
P P P P
1 Datos de RRHH 3 3 3 3
2 Datos de Finanzas 3 4 4 4
3 Computadores 2 2 1 2
4 Portátiles 3 3 4 3
Coordinador
5 4 4 3 4
Finanzas
6 Personal Técnico 3 3 2 3
4.Probabilidad de Ocurrencia
El siguiente paso consiste en determinar la probabilidad
que el riesgo ocurra.
Probabilidad de Ocurrencia
Alta (una vez al mes) 4
Media (una vez cada 3 2
meses)
Baja (una vez cada 6 2
meses)
Muy baja (una vez al 1
año)
Probabilidad de Ocurrencia Ej.:
Categoría de
Particip. 1 Particip.2 Particip. 3 Promedio
Riesgo
P P P P
1 Robo 3 3 3 3
2 Virus 3 4 4 4
3 Incendio 2 3 2 2
4 Falta de Corriente 3 2 3 3
Compartir
5 4 3 4 4
Contraseñas
No cifrar datos
6 2 3 3 3
críticos
5.Valoración del Riesgo
La valoración consiste en asignar a los riesgos
calificaciones en función al impacto y a la probabilidad
de ocurrencia, y se lo puede ubicar en tres rangos:
Matriz de Riesgo
6.Gestión del riesgo
Por último la organización debe escoger una vía de
control para cada riesgo, intentando reducirlos.
Mitigarlos(reducirlos)
Transferirlos
Evitarlos
Aceptarlos
6.Gestión del riesgo
S10 Auditoría Interna
S11 Antivirus Actualizado
S12 Análisis de Requerimientos
S1 Cifrado S13 Desarrollo bajo
metodologías de
S2 Copias de Respaldo calidad CMMI
S3 Controles de Acceso S14 Actualización de Versiones
S4 Registro de Actuaciones S15 Aplicación de Pruebas de
Funcionamiento
S5 Detección de Intrusos S16 Mantenimiento de Equipos
(Monitorización) S17 Definición exacta de
S6 Hardening de Dispositivos y Funciones
Aplicaciones S18 Definición de Políticas de
Gestión y administración de Seguridad
S7 Topologías Redundantes
claves S19
S20 Documentación de los
S8 Definición de Roles de Procesos Administrativos y
Seguridad de Configuraciones
S9 Administración de S21 IDS/IPS
Continuidad del Negocio S22 PKI
S23 ISDN
S24 Canal de Contingencia
S25 VPN
6.Gestión del riesgo
Id.
Descripción de Probabilidad Impacto Valor del Nivel de Control Tipo
Riesgo Riesgo Riesgo
Infección de
R1 virus sobre las Antivirus Mitigar.
portátiles de la 4 3 12 Alto riesgo instalado y
empresa. actualizado.
Estándares en la Metodología de
Riesgos
Podemos nombrar las siguientes
Magerit.
Octave.
Pilar.
Fair.
1. IDENTIFICACIÓN( EJEMPLO 2)
Proceso Prioridad
1
Firewall de Seguridad Perimetral
Equipos de Redes y
Telecomunicaciones 2
Equipos portátiles Gerenciales
3
Servidores de Infraestructura 6
Elaboración y mantenimiento
7
del plan de contingencias
Planeación estratégica de
8
Sistemas
Monitoreo, efectividad y
9
eficiencia de los servicios de TI
2. IDENTIFICACIÓN DE AMENAZAS
POTENCIALES
EJEMPLO 2
1 Corte de energía eléctrica
2 Costos Excesivos
3 Hurto/Robo
4 Desventaja Competitiva
5 Toma de decisiones
6 Daño o destruccion de activos
Media
Baja
Alerta: excesivo
énfasis en la Gestión Alerta: excesivo
(eficiencia y énfasis en el Control
efectividad) descuidando la Gestión
descuidando incrementa el riesgo
Controles incrementa el de ineficiencia e
riesgo de errores e inefectividad
irregularidades
GESTIÓN CONTROL
(eficiencia y efectividad) (Riesgo y Control)
--------------------------------------------------------
Eficiencia = Buen Uso de Recursos
Efectividad = Nivel en que se alcanza los resultados
2
1. Aspectos clave del control interno
Gestión Control
• Cuando la balanza está desbalanceada hacia el • Cuando la balanza está desbalanceada hacia el
lado de la gestión se afecta el control, cuando lado del control se afecta la gestión, cuando
esto pasa es usualmente en el sector privado esto pasa es usualmente en el sector público
(por ejemplo: lo único importante es vender, (por ejemplo: muchas aprobaciones, muchas
mejores y más rápidas ventas, alcanzar los firmas, revisiones excesivas, burocracia, etc.). Y lo
resultados, el precio de la acción, etc.) que es peor es que algunas veces son falsos
controles, creando una falsa seguridad, “cuando
todos revisan todo, en realidad nadie revisa nada”
• Ausencia de
controles
• Controles
innecesarios
1. Aspectos clave del control interno
Gestión
Control
Eficiencia &
Riesgo & Control
Efectividad
Source: IIA
• Balanza desbalanceada hacia el lado de la gestión • Balanza desbalanceada hacia el lado del control
• Más probable en el sector privado • Más probable en el sector público
Estoy pensando
en cambiar el Yo no tengo objeción, pero
mensaje de antes tendrías que hacer lo
bienvenida de la siguiente, conseguir la
pantalla de aprobación del eq. de Gestion
Que
“bienvenido” a de Usuarios en Palo Alto, del
creativo
“Hola” eq. de Definición de Producto
eres …
en Alemania, del eq. de
Desarrollo del Cliente en
Bangalore, y del eq. de
Desarrollo de Servidores en
Israel
Asistente del Delegado del
Vicepresidente del Comité
en Contra de la Burocracia
• Cargos Pensándolo
innecesarios Deberías también conversar
bien creo
con los técnicos en diseño
que el Ese es el
para documentar este cambio,
mensaje espíritu
conversar con QA sobre las
actual está …
pruebas de cambio, y
bien …
conversar con el equipo de
Nosotros estamos
Tome este infraestructura para sacar un
trabajando duro para nuevo CD conteniendo el
reducir la burocracia formulario,
cambio.
… complételo, y
¿Si? … ¿Como? usted recibirá
la respuesta …
• Procedimientos • Controles
innecesarios innecesarios
• La Administración: • La Administración :
Corrige errores y/o
reitera y replica
3.1. Evolución de la auditoría interna Planifica la gestión y el
control de la organización
aciertos
Actuar Planificar
• Algunas (Act) (Plan)
organizaciones
(en el sector
privado y en el
sector público)
verifican
“errores” para
“corregirlos”,
perdiéndose la
mitad del
potencial de la
“verificación”
Verificar Hacer
(Check) (Do)
• La Administración : Evaluación Mejoramiento
de la gestión y el control; Continuo • La Administración :
permanente, por parte de quien Ejecuta la gestión y el
hace el proceso, con menor
independencia y objetividad (Self control de la
Assessment). organización
• Auditoría: Evaluación de la
gestión y el control; periódica, por
parte de quien conoce el proceso,
con mayor independencia y
11 Implementación y Evaluación CI Mayo –
1. Aspectos clave del control interno
EVALUACIONES COMPLEMENTARIAS Mejoramiento Continuo
• LA ADMINISTRACIÓN
25 % 25 %
• Permanente
• Por quien hace y conoce el proceso
• Menos independiente y objetiva
“Un buen
control no
“Hay que
garantiza el
balancear la
éxito … pero
gestión y el
un mal control
control”
si garantiza el
fracaso”
“El control
“Si no está
interno es
documentado
responsabilida
no existe”
d de todos”
CONTROL INTERNO INFORMÁTICO
• Controles en servicios
informáticos.
• Controles centralizados de
ordenadores personales
• Controles conexiones con host y
redes de área local.
CONTROLES DE CALIDAD
• Normas de documentación de programas
• Normas con respecto a pruebas de sistemas
• Pruebas pilotos o en paralelo
• Evaluación del cumplimiento del software.
CONTROL INTERNO MODELOS
INTERNACIONALES
INFORME COSO
• Se creó en 1992.
Coso I • Evalúa y Mejora el sistema de control interno
en las entidades
• Se creó en 2004.
Coso II • Es un marco integrado sobre análisis de
riesgo.
• Se creó en 2013.
Coso III • Es una actualización y mejora de COSO I
INFORME COSO III- Definición
Es un marco de referencia o modelo común de
control interno contra el cual las empresas y
organizaciones pueden evaluar sus sistemas de
control interno.
INFORME COSO III
Objetivos
Facilitar un
Establecer una
modelo en base al
definición común
de control interno cual las empresas
que responda a las y otras entidades,
necesidades de las cualquiera sea su
distintas partes. tamaño y
naturaleza, puedan
evaluar sus
sistemas de
control interno
Ambiente de Control 1. Demostrar compromiso con la integridad y los valores éticos
2. Ejercer la responsabilidad de supervisión
3. Establecer la estructura, la autoridad y la responsabilidad
4. Demostrar compromiso con las competencias
5. Aplicar la rendición de cuentas
6. Especificar objetivos adecuados
Evaluación de Riesgo 7. Identificar y analizar los riesgos
8. Evaluar el riesgo de fraude
9. Identificar y analizar cambios significativos
41
DEPARTAMENTO DE
AUDITORIA
DEPARTAMENTO DE AUDITORÍA
INTERNA
El departamento de auditoría interna está
conformada por un grupo de personas cuyo
propósito es hacer cumplir los objetivos de la
auditoría interna de examinar y evaluar la
eficacia, eficiencia y economía de los procesos de
las distintas áreas de operaciones de la
Organización.
ESTRUCTURA DE LA EMPRESA
DIRECTOR
GENERAL
AUDITORÍA
INTERNA
JEFE DE AUDITORÍA
AUDITOR
INFORMÁTICO
AUDITOR AUXILIAR
JEFE DE AUDITORÍA
Desarrollar
Planear a corto,
Dirigir a sus políticas y
mediano y largo
subordinados en el procedimientos
plazo las
desempeño de sus para llevar a cabo
actividades de
funciones la actividad de
auditoría interna
auditoría interna
RESPONSABILIDADES DEL
JEFE DE AUDITORÍA
Revisar los
Asistir al Jefe de papeles de trabajo
Evaluar la
auditoría en la y preparar el
eficiencia de
planeación de borrador del
control interno
auditorías informe de
auditoría
RESPONSABILIDADES DEL
AUDITOR INFORMÁTICO
Desarrollar los Programas de Auditoría que se le asigne.
Evaluar los controles internos de acuerdo al programa.
Verificar la veracidad y suficiencia de las pruebas que sustenten
los hallazgos y observaciones de los informes de auditoría y su
respectiva comunicación.
Análisis de la administración de Sistemas de Información, desde
un punto de vista de riesgo de seguridad, administración y
efectividad de la administración.
Reportar y sustentar ante el Jefe de la Oficina de Auditoría
Interna los hallazgos detectados
Elaborar los Informes de Auditoria emergentes de las acciones
de control para su presentación al Jefe de la Oficina de
Auditoría Interna.
AUDITOR AUXILIAR
Participar en la
preparación del
Asistir al Preparar informe de
encargado de la documentación auditoría, el cual
auditoría recopilada incluye hallazgos y
recomendaciones
efectuadas
OTRAS FUNCIONES DEL
AUDITOR AUXILIAR
Apoyar con información para la elaboración del
planeamiento de las acciones de control.
Obtener la evidencia suficiente y competente que
sustenten los hallazgos y observaciones de los
informes de auditoría.
Diseñar diagramas de flujo de acuerdo a los procesos
o necesidades de la acción de control.
Organizar y codificar la documentación resultantes de
la ejecución del Programa de Auditoría
Sustentar ante el Auditor Interno
CONOCIMIENTO DEL AUDITOR
INFORMÁTICA
Madurez
Conocimiento Actualizado Experiencia personal y Transparente
profesional
Observación
Entrevista
Cuestionario
Encuesta
Listas de verificación
Inventarios
Trazas o Huellas
OBSERVACIÓN
En el caso específico de la auditoría, esta
herramienta se aplica para verificar mediante la
visión todo lo relacionado con el área informática y
los sistemas de una organización con el propósito
de percibir, examinar, o analizar los eventos que se
presentan en el desarrollo de las actividades del
área o de un sistema que permita evaluar el
cumplimiento de las funciones, operaciones y
procedimientos.
CUESTIONARIOS
Preguntas abiertas
Preguntas cerradas
Preguntas bipolares
PREGUNTAS ABIERTAS
Permiten al interlocutor opciones abiertas para
responder.
PREGUNTAS CERRADAS
Las preguntas cerradas limitan las opciones que tiene el
interlocutor para responder.
PREGUNTAS BIPOLARES
Las preguntas bipolares son un tipo especial de
preguntas cerradas.
ENCUESTAS
Información errónea.
Fraudes, espionaje, delincuencia y
terrorismo informática.
Sistemas mal diseñados.
Accesos no autorizados de usuarios.
Piratería de software.
Robo de secretos comerciales.
Cuestionario de 15 preguntas sobre
seguridad de un datacenter.
Lista de verificación de 15 items para
controles de una red empresarial. (5
rango y 5 binaria) .