auditoria informatica-sesion-1

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

1

Auditoría InformáticaAuditoría InformáticaSesión 1:Sesión 1:

Introducción a la auditoríaIntroducción a la auditoría

MBA Ing° Christian A. Dios CastilloMBA Ing° Christian A. Dios CastilloTrujillo - PerúTrujillo - Perú

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

2

Conceptos, importancia y clasificación de auditoría.

Etapas de auditoría.

Normas generales.

Estrategias y herramientas generales.

Casos prácticos.

Conclusiones.

AgendaAgenda

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

3

Conceptos, importancia Conceptos, importancia y clasificación de auditoríay clasificación de auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

4

1. Planeamiento.2. Organización.3. Dirección.4. Coordinación e Integración.5. Control.

Elementos Básicos de la Administración.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

5

• La Auditoría Administrativa se ocupa de la calidad de la administración.

• Está diseñada para evaluar la efectividad de la administración en el cumplimiento de sus tareas asignadas:

– El cumplimiento de los objetivos organizativos por parte de la Gerencia.

– El cumplimiento de sus funciones de planeación, organización, dirección y control.

Conceptos de Auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

6

Importancia de la Auditoría

La razón principal para llevar a cabo una auditoría es la necesidad de detectar y superar las deficiencias.

Por lo tanto, el auditor tiene la obligación de detectar debilidades e indicar alternativas de solución.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

7

Clasificación de la Auditoría

Por su naturaleza:• Auditoría Administrativa u Operativa.• Auditoría de Gestión.• Auditoría a la Información Presupuestaria.• Auditoría de Estados Financieros.• Auditoría Tributaria.• Auditoría de Sistemas Informáticos.• Auditoría Ecológica o Ambiental.• Auditoría Integral.• Exámenes Especiales.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

8

Clasificación de la Auditoría

Por la Dependencia:• Auditoría Interna.• Auditoría Externa.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

9

Clasificación de la Auditoría

Esquema del Sistema de Auditoría referido a su ámbito, clases y tipo de auditores.

Auditoría Administrativa Auditor Interno Interna Auditoría de Gestión.

Auditoría Inf. Presup. Auditoría de EEFF.

Auditoría Auditoría Tributaria.Auditoría Sistemas Informáticos.

Externa Auditoría Ecológica o Ambiental. Auditor ExternoAuditoría Integral.Exámenes Especiales.

Ámbito Clase Tipo de Auditor

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

10

Definición del Auditor.

Profesional colegiado, que tiene formación, especialización y experiencia en las técnicas de auditoría (informática).

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

11

Perfil Genérico del Auditor.

1.El auditor no es, ni debe esperarse que sea un perito en todas las materias.

2.El equipo de auditoría informática está compuesto por un staff de especialistas en cada una de las ramas: redes de comunicación, bases de datos, sistemas de información, aplicaciones diversas, planes de contingencias, organización, etc.

3.La independencia mental del auditor será mayor entre mayor sea el nivel al que reporta.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

12

Perfil Genérico del Auditor.

4. El auditor debe tener formación profesional, con Postgrado y especializado en el sistema de control.

5. El auditor debe contar con amplia experiencia profesional, a nivel de ejecutivo.

6. El auditor debe acreditar solvencia moral y ética en su trayectoria personal y profesional.

7. El auditor debe guardar discreción profesional en su ejercicio.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

13

Etapas de la auditoríaEtapas de la auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

14

Las etapas de un proyecto de auditoría son las siguientes:

1.Planificación.2.Ejecución.3.Elaboración de informes.

La calidad de cada etapa es crucial para el logro de los objetivos del proyecto de auditoría.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

15

1.- Planificación El proyecto de auditoría debe planificarse adecuadamente para asegurar su calidad.

Debe basarse en las actividades que desarrolla la entidad a auditar y las disposiciones legales que la afectan.

Los Programas de Auditoría deben incluir los objetivos, alcances de la muestra, procedimientos detallados, oportunidad de su aplicación y el personal responsable de su ejecución.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

16

1.- Planificación (continuación) Debe organizarse el Archivo Permanente (conjunto de documentos con información de interés y de uso continuo).

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

17

Exposición del Plan de Auditoría al Equipo de Auditores

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

18

2.- Ejecución Debe focalizarse principalmente a las áreas críticas de la entidad.

Debe evaluarse el cumplimiento adecuado de las normas técnicas informáticas.

Debe realizarse de manera continua la supervisión de actividades para el mejoramiento de la calidad del proyecto y el logro de sus objetivos.

Deben obtenerse evidencias suficientes, competentes y relevantes que sustenten los hallazgos.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

19

2.- Ejecución (continuación) Debe organizarse un registro completo y detallado de la labor realizada y sus conclusiones, a través de Papeles de Trabajo.

Las observaciones de relevancia deben ser comunicadas de manera formal a las autoridades de la entidad.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

20

Desarrollo de los procesos de auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

21

Desarrollo de los procesos de auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

22

3.- Elaboración de Informes Existen informes de cada especialista dentro de los aspectos auditados: Organización, sistemas de información, redes de comunicación de datos, planes de contingencias, etc.

Deben ser oportunos para que el proceso de mejora sea inmediato.

Deben estar en un lenguaje sencillo y preciso, tratando los temas de manera concreta y con la documentación sustentatoria.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

23

3.- Elaboración de Informes (Continuación) El informe final debe indicar las conclusiones a las que se ha llegado y las recomendaciones correspondientes.

Cuando se evidencie la realización de actos delictivos, debe elaborarse con celeridad un informe especial, anexando la documentación técnica y legal sustentatoria.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

24

Elaboración de informes de auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

25

Normas GeneralesNormas GeneralesDe AuditoríaDe Auditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

26

Normas de Auditoría Generalmente Aceptadas – NAGAs y Normas Internacionales de Auditoría - NIAs.Estas normas tienen que ver con la calidad y el juicio profesional del auditor independiente en la realización de una auditoría y en la emisión del informe.Se dividen en:a) Normas Generales de Auditoría.b) Normas de Trabajo.c) Normas de Preparación de Informes.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

27

a)Normas Generales de Auditoría.1. La auditoría será efectuada por profesionales que

tienen entrenamiento técnico adecuado y pericia como auditores.

2. El auditor mantendrá independencia de criterio.

3. Debido cuidado profesional en la ejecución del examen y en la preparación del informe.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

28

b)Normas de Trabajo.1. La auditoría será planeada adecuadamente.

2. Se estudiará y evaluará el control interno, para determinar el alcance de las comprobaciones que deben efectuarse mediante los procedimientos de auditoría.

3. Se obtendrá evidencia adecuada en grado suficiente, mediante constataciones, indagaciones y confirmaciones, para proveer una base razonable que permita la expresión de una opinión sobre la gestión empresarial.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

29

c)Normas de Preparación de Informes.1. Todo informe de auditoría contendrá lo siguiente:

‾ Información introductoria.‾ Observaciones.‾ Conclusiones.‾ Recomendaciones.‾ Anexos.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

30

Estrategias y Estrategias y Herramientas GeneralesHerramientas Generales

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

31

TÉCNICAS DE AUDITORÍA:• Formas de acción del auditor para obtener

evidencias necesarias suficiente y competente que le permita formarse un criterio profesional sobre lo examinado.

• Son herramientas que emplea el auditor según su criterio y las circunstancias.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

32

TÉCNICAS DE AUDITORÍA: Las técnicas se clasifican de acuerdo con la acción adoptada por el auditor en el desarrollo de la acción a efectuar:

– Técnicas de verificación orales: Indagación, entrevistas.

– Técnicas de verificación oculares: Observación, comparación.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

33

TÉCNICAS DE AUDITORÍA:– Técnicas de verificación escrita: Análisis,

conciliación, confirmación.

– Técnicas de verificación documental: Comprobación, rastreo.

– Técnicas de verificación física: Conteo.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

34

EVIDENCIAS:• Es el conjunto de hechos comprobados suficientes,

competentes y pertinentes que sustentan las conclusiones del auditor.

• Es la información específica obtenida durante la labor de auditoría a través de observación, inspección, entrevistas y examen de los procesos informáticos.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

35

• Las evidencias pueden ser:– Evidencia física: Mediante inspección u

observación directa.

– Evidencia testimonial: Obtenida de otros a través de cartas o declaraciones recibidas en respuestas a indagaciones.

– Evidencia documental: Documentos internos de la empresa y documentos externos.

EVIDENCIAS:

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

36

– Evidencia analítica: Se obtiene al verificar la información recibida.

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

37

• Las evidencias deben tener las siguientes características:

Suficiencia: –La evidencia será suficiente cuando por los

resultados de la aplicación de una o varias pruebas, el auditor podrá adquirir certeza razonable que los hechos revelados se encuentran satisfactoriamente comprobados.

–Para determinar si la evidencia es suficiente, se requiere aplicar el criterio profesional.

–Cuando sea conveniente, se podrá emplear métodos estadísticos con ese propósito.

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

38

Competencia: – Para que sea competente, la evidencia debe ser válida

y confiable. – A fin de evaluar la competencia de la evidencia, el

auditor deberá considerar cuidadosamente si existen razones para dudar de su validez o de su integridad.

– De ser así, deberá obtener evidencia adicional o revelar esa situación en su informe.

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

39

Competencia:Los siguientes supuestos constituyen criterios útiles para juzgar si la evidencia es competente, si bien no deberán considerarse suficientes para determinar la competencia:

–La evidencia que se obtiene de fuentes independientes es más confiable que la obtenida del propio organismo auditado.

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

40

–La evidencia que se obtiene cuando se ha establecido un sistema de control interno apropiado es más confiable que aquella que se obtiene cuando el sistema de control interno es deficiente, no es satisfactorio o no se ha establecido.

–La evidencia que se obtiene físicamente mediante un examen, observación, cálculo o inspección es más confiable que la que se obtiene en forma indirecta.

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

41

–Los documentos originales son más confiables que sus copias.

–La evidencia testimonial que se obtiene en circunstancias que permite a los informantes expresarse libremente merece mas crédito que aquella que se obtiene en circunstancias comprometedoras (por ejemplo, cuando los informantes pueden sentirse intimidados).

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

42

Relevancia:–Se refiere a la relación que existe entre la evidencia y su uso.

–La información que se utilice para demostrar o refutar un hecho será relevante si guarda una relación lógica y patente con ese hecho.

–Si no lo hace, será irrelevante y, por consiguiente, no deberá incluirse como evidencia.

–Cuando lo estimen conveniente, el auditor deberá obtener de los funcionarios de la entidad auditada declaraciones por escrito respecto a la relevancia y competencia de la evidencia que haya obtenido..

EVIDENCIAS (continuación):

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

43

Evidencias de hallazgos: Documentarias.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

44

Evidencias de hallazgos: Captura de Pantallas.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

45

HALLAZGOS DE AUDITORÍA:• Problematización: El Juego de Gari.

¿Qué hemos visto?

Si todos hemos visto el mismo video, ¿porque hemos observado cosas

diferentes?

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

46

HALLAZGOS DE AUDITORÍA:

Es que la realidad es compleja y relativa.

Por lo tanto, debemos hacer esfuerzos en ser lo más objetivos.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

47

HALLAZGOS DE AUDITORÍA:• Es una reunión lógica de datos y una presentación

objetiva de los hechos que el auditor ha observado o encontrado durante su examen.

• Un hallazgo debe tener ciertos requisitos:– Importancia relativa que merezca su comunicación.– Debe basarse en hechos y evidencias precisas que

figuran en los papeles de trabajo.– Convincente a una persona que no ha participado en

la auditoría (“!!!Yo vi un OVNI¡¡¡”) ¿Por qué no me creen?.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

48

HALLAZGOS DE AUDITORÍA (continuación):• En un hallazgo deben considerarse los siguientes

factores:– Las condiciones y circunstancias existentes al

momento en que ocurrió el hecho.– Índole y complejidad técnica del hecho observado.– Someter el hallazgo potencial a un análisis crítico.– Suficientemente completo para una conclusión y/o

recomendación.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

49

HALLAZGOS DE AUDITORÍA (continuación):• Las pasos a seguir en el desarrollo de un hallazgo

pueden ser:– Identificación de las líneas de autoridad.

– Verificación de las causas de la deficiencia.

– Determinar si la deficiencia es un caso aislado o tiene el problema o la condición difundida.

– Determinación de los efectos.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

50

HALLAZGOS DE AUDITORÍA (continuación):– Obtención de comentarios de personas afectadas

por el hecho encontrado.

– Determinación de las conclusiones en base al hallazgo.

– Determinación de posibles acciones correctivas a modo de recomendaciones.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

51

HALLAZGOS DE AUDITORÍA (continuación):• Los atributos de un hallazgo son:

– Condición:Situación actual encontrada, “LO QUE ES”.

– Criterio:La norma aplicada o unidad de medida, “LO QUE DEBE SER”

– Efecto:La diferencia entre “LO QUE ES” y “LO QUE DEBE SER”.

– Causa:Las razones de desviación “POR QUÉ SUCEDIÓ”.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

52

HALLAZGOS DE AUDITORÍA (Ejemplo):• Los atributos de un hallazgo son:

– Condición:De la revisión a los procesos de generación de las copias de respaldo a la información del Sistema de Información, se ha evidenciado que estas no son guardadas en lugares remotos al local de la entidad.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

53

HALLAZGOS DE AUDITORÍA (Ejemplo):• Los atributos de un hallazgo son:–Criterio:

Esta situación contraviene a la Norma COBIT DS11.25 Almacenamiento de Respaldos, de la Fundación de Auditoría y Control de Sistemas de Información, la cual indica que los procedimientos de respaldo para los medios relacionados con tecnología de información deberán incluir el almacenamiento apropiado de los archivos de datos, del software y de la documentación relacionada, tanto dentro como fuera de las instalaciones…

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

54

HALLAZGOS DE AUDITORÍA (Ejemplo):• Los atributos de un hallazgo son:

– Efecto:La consecuencia que traería sería la pérdida definitiva de la información, en el caso de la ocurrencia de desastres tales como un incendio.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

55

HALLAZGOS DE AUDITORÍA (Ejemplo):• Los atributos de un hallazgo son:

– Causa:No se ha identificado aún el lugar destinado para estos fines.

Cuando no se sabe con precisión la CAUSA, porque las razones son difusas o aún no se tiene la respuesta del auditado, este atributo no es considerado en el hallazgo.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

56

HALLAZGOS DE AUDITORÍA (Ejemplo):Sin embargo, no son fáciles de definir:

En una entidad se evidenció que los extintores eran demasiado pesados (20Kg) para ser utilizados por el personal de un piso, el cual estaba conformado íntegramente por damas. Además, los pozos a tierra no tenían el mantenimiento adecuado para su correcto funcionamiento.

Revisando el MOF del área informática, no se encontró dentro de sus funciones la administración de extintores ni pozos a tierra.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

57

HALLAZGOS DE AUDITORÍA (Ejemplo):Pregunta:¿Es pertinente hacer un hallazgo si el área de informática no es la responsable de estas funciones?

De acuerdo al MOF, las áreas responsables son:-Adm. de extintores: Dpto. de Seguridad.-Adm. de pozos a tierra: Dpto. de mantenimiento eléctrico.

Si estamos auditando procesos informáticos ¿porqué tenemos que hacer hallazgos en áreas que no realizan tareas informática?

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

58

HALLAZGOS DE AUDITORÍA (Ejemplo):Respuestas: Redacte sus conclusiones.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

59

LOS PAPELES DE TRABAJO DEL AUDITOR:

Definición:Conjunto de cédulas y documentos en los que el

auditor registra cronológicamente datos por él formulados, la información obtenida e igualmente el resultado de sus pruebas técnicas, métodos y procedimientos utilizados en el desarrollo de una auditoría.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

60

LOS PAPELES DE TRABAJO DEL AUDITOR:

Importancia:• Historial de la labor efectuada.• Resultado de la labor del auditor.• Respaldo del informe del auditor.• Deja constancia del grado de confianza del control

interno.• Es fuente de información futura.• Facilita la revisión y supervisión del trabajo.• Respaldan los hallazgos de auditoría.• Es base para la elaboración del informe.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

61

LOS PAPELES DE TRABAJO DEL AUDITOR:

Contenido:• Programa de Auditoría.• Cuestionarios de control interno.• Hojas de trabajo del auditor.• Información respectiva de la empresa.• Confirmaciones externas.• Notas y observaciones del auditor.

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

62

LOS PAPELES DE TRABAJO DEL AUDITOR:

Una forma de Organizarlos:

Documentación de los procesosDe auditoría

Anexos

Referencia

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

63

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

64

Casos de EstudioCasos de Estudio

Elabora hallazgos de Elabora hallazgos de auditoríaauditoría

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

65

ConclusionesConclusiones

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

66

Luego del desarrollo de la sesión se ha llegado a las siguientes conclusiones.

•¿Por qué es importante la auditoría informática?

•¿Cuáles son las etapas de auditoría y sus funciones?

•¿Qué características tiene un auditor?

•¿Qué técnicas de auditoría existen?

•¿Qué tipos de evidencias existen?

•¿Qué tipos características deben tener las evidencias?

•¿Qué es un hallazgo?

•¿Qué atributos tiene un hallazgo?

Auditoría InformáticaAuditoría InformáticaIng. Christian Dios Castillo Ing. Christian Dios Castillo Ing. Hobber Siccha AyvarIng. Hobber Siccha Ayvar

67

¿Preguntas¿Preguntasadicionales?adicionales?