Title: Presentaci
1EUROsociAL
2SNCI TITULO IV DESARROLLO DE LA AUDITORIA
RESULTADOS E INFORME TITULO V SISTEMAS DE
INFORMACION Y AUDITORIA DE SISTEMAS
Cartagena de Indias Mayo, 2008
3 - Presentación y sinopsis. Capítulos 13, 14, 15, 16
y 17. - Comunicación de los resultados. El informe.
- Seguimiento de la Auditoría.
- El sistema de Información de la Administración
Tributaria. - Seguridad de la Información.
- Auditoría de Sistemas de Información.
4EL INFORME DE AUDITORIA
- HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD
QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS
DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. - EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN
EVIDENCIAS, RECOGIENDO OBSERVACIONES,
CONCLUSIO-NES Y RECOMENDACIONES. - EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE
AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE
EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.
5CONTENIDO DEL INFORME
EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL
OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO
MÍNIMO DEBE INCLUIR EL OBJETO, EL ALCANCE Y LOS
RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES
Y RECOMENDACIONES)
UN INFORME ESTÁNDAR, PODRÍA CONTENER
- Título y número de referencia.
- Introducción.
- Objeto de la auditoría
- Alcance
- Metodología utilizada.
- Informe-resumen o informe ejecutivo.
- Información preliminar, antecedentes.
- Firma y fecha.
- Observaciones.
- Conclusiones.
- Recomendaciones.
- Alegaciones, descargos y opinión del órgano
auditado. - Anexos.
6INTRODUCCION
- DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO.
- CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA
- ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO
- COMPOSICIÓN DEL EQUIPO DE AUDITORÍA
- FECHAS DE INICIO Y FINALIZACIÓN DE LAS
ACTUACIONES. - CARÁCTER O TIPO DEL INFORME.
- DESTINATARIO/S DEL INFORME.
7OBJETO
- COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO
REALIZADO DE FORMA CLARA Y NEUTRAL - SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN
DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS
DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO.
ALCANCE
- EL ALCANCE DELIMITA LA NATURALEZA Y ÁMBITO DE LA
AUDITORÍA. - ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A
AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS
CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A
AUDITAR. - LAS LIMITACIONES AL ALCANCE.
8METODOLOGIA
- FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE
EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.)
UTILIZADAS. - BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA
INFORMACIÓN (APLICACIONES ESPECÍFICAS) - METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE
REPRESENTATIVIDAD.
9EXPOSICIONES PERTINENTES DE LOS HECHOS
- NO SON JUICIOS DE VALOR.
- EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS
SUFICIENTES, RELEVANTES Y COMPETENTES. - DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA
PERSPECTIVA Y CONTEXTO ADECUADOS. - EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.
10SURGEN DE LA COMPARACIÓN ENTRE
CRITERIO (LO QUE DEBE SER)
REALIDAD (LO QUE ES)
Razón de la diferencia.
CAUSA
Riesgo a que se somete la organización debido a
las diferencias entre lo que debe ser y lo que
es.
EFECTOS
11FORMA DE REFLEJAR LAS EVIDENCIAS
- DEBEN RECOGERSE EN EL INFORME EN FORMA DE
CUADROS-RESÚMENES DONDE SE OFREZCAN LOS DATOS
AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN
UN ANEXO. - EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O
DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS
DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME. - EN EL CASO DE ENTREVISTAS CON RESPONSABLES
DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR
INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y
RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE
DOCUMENTAL FACILITADO, SI EXISTE. - LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS
SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS
INFORMES EN UN ANEXO.
12CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR
SOBRE LAS OBSERVACIONES Y SUS EFECTOS
- DEBEN APARECER CLARAMENTE COMO TALES.
- DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA
EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O
CONDUCTAS IRREGULARES DEL PERSONAL. - SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES
extracto de las principales observaciones y de la
opinión del auditor.
13RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS
SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O
PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS
ENCONTRADAS
- SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES
REFLEJADAS EN EL INFORME. - OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.
- FECHA Y FIRMA
- ANEXOS.
14INFORME EJECUTIVO
- SE PUEDE INCORPORAR COMO PARTE DEL INFORME O
PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.
15RECOMENDACIONES
- DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES
Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME.
OBSERVACIONES (hechos)
CONCLUSIONES (opiniones del auditor)
Soluciones a los problemas detectados
RECOMENDACIONES (hechos)
Mejora del servicio público prestado
- DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS
ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE
SE APOYAN Y REFERIRSE A ÉSTAS.
16RECOMENDACIONES
- SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR
JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO
COMPETENCIAL. - SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO
RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA
PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.
17RECOMENDACIONES
- EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE
OBLIGADO CUMPLIMIENTO PARA EL AUDITADO. - EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE
OBLIGATORIEDAD QUE DEBERÍA DARSE A LA
RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL
PROBLEMA DETECTADO O DE LA CONVENIENCIA DE
APLICACIÓN DE LA MEJORA PROPUESTA. - NO OBSTANTE, HAY QUE GARANTIZAR QUE
- LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA
CONOCE LAS RECOMENDACIONES. - LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE
OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE
NO HACERLO. - SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS
DE LAS RECOMENDACIONES.
18REQUISITOS DE CALIDAD
- PRECISOS
- OBJETIVOS
- CLAROS
- CONCISOS
- CONSTRUCTIVOS
- COMPLETOS
- OPORTUNOS
- ESTANDARIZACION DE INFORMES
19SUPERVISION DEL INFORME
- EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE
LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS
EXPERIMENTADOS.
20- Las razones que justifican la supervisión
- Asegurando que se han cumplido los objetivos de
la auditoría. - Garantizando que los informes son precisos,
objetivos, claros, concisos, constructivos y
oportunos. - Verificando la coherencia de conclusiones y
recomendaciones con las observaciones y objetivos
de la auditoría. - Determinando si las evidencia están
suficientemente reflejadas en el informe y son
suficientes y competentes para avalar las
observaciones, conclusiones y recomendaciones. - Comprobando que se han cumplido las normas de
estandarización.
21- POSIBLES TÉCNICAS DE SUPERVISIÓN
- Simple lectura del documento.
- Contraste del informe con plantillas de informes
estandarizados o documentos-guía. - Proceso de referencias o indización del informe,
evidencias y papeles de trabajo por un equipo
independiente al de elaboración
22TIPOS DE INFORME
- SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN
- SEGÚN EL MOMENTO DE SU ELABORACIÓN
- ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN
- ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO
23)
TRAMITACIÓN DEL INFORME
DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA
TRAMITACIÓN DE LOS INFORMES
- POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE
INFORME. - DEBE ESTAR REGULADO Y SER CONOCIDO POR LA
ORGANIZACIÓN. - DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO.
- OPCIONAL antes de la elaboración del borrador
del informe (reuniones posteriores a la
auditoría reunión de presentación de
conclusiones). - OBLIGATORIO Remisión del borrador para
observaciones al órgano auditado o superior
jerárquico.
24DISTRIBUCIÓN DEL INFORME
DESTINATARIOS PRINCIPALES O NATURALES
COMITÉ DE AUDITORÍA (SI LO HUBIESE)
ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL,
SEGURIDAD O RIESGOS
DIRECCIÓN DE LA ADMÓN TRIBUTARIA
ÓRGANO AUDITADO
SUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN
OTROS INTERESADOS
OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO
OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS
25ARCHIVO Y CONSERVACIÓN DEL INFORME
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS
DURANTE EL PLAZO Y EN LAS CONDICIONES DE
SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE
ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO,
MIENTRAS SEAN DE UTILIDAD PARA LA MISMA.
- SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO
INFORMATIZADO. - LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL
DE INFORMES FACILITA LA PLANIFICACIÓN Y
SEGUIMIENTO DE ACTUACIONES.
26SEGUIMIENTO DE LA AUDITORIA
- MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE
APORTAN LAS ACTUACIONES DE AUDITORÍA,
FUNDAMENTALMENTE LAS RECOMENDACIONES,
MULTIPLICANDO SU IMPACTO Y FACILITANDO SU
DIFUSIÓN - LOS OBJETIVOS DEL SEGUIMIENTO SON
- Verificar el grado de cumplimiento de las
recomendaciones de auditoría o la aceptación por
la Dirección del riesgo de no hacerlo. - Evaluar el impacto de las recomendaciones
implantadas en la solución de las deficiencias
observadas o las mejoras producidas. - Retroalimentar el proceso de control interno de
la organización. - Aumentar la eficacia de las auditorías.
27- EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE
GARANTICEN EL CUMPLIMIENTO DE LAS
RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS - ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO
AUDITADO DE LAS RECOMENDACIONES, PUESTA DE
MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O
EN LA FASE DE TRAMITACIÓN DEL INFORME. - REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA
AUTORIDAD COMPETENTE PARA IMPONERLAS. - SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.
28- EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE
AUDITORÍA UNO RELATIVO A AUDITORÍAS DE
SEGUIMIENTO - OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS
INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL
SEGUIMIENTO. - LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS
RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.
29SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA
DE SISTEMAS
CARTAGENA DE INDIAS Mayo, 2008
30AUDITORÍA DE SISTEMAS DE INFORMACIÓN
APARTADO 17
APARTADO 17.1
INTRODUCCIÓN Y SINOPSIS
- La Administración Tributaria (AT) es una
organización compleja, cuya actividad se
desenvuelve mediante procedimientos
automatizados, acordando una gran relevancia a
las tecnologías de la información y de las
comunicaciones. La organización debe supervisar
el desempeño de los sistemas de información. - Para desarrollar en la AT una actividad de
auditoría completa y en profundidad, el OAI
necesita disponer de un área de auditoría de
sistemas de información, cuyo plantilla esté
compuesta por especialistas, auditores de
sistemas de información, que ejecuten actuaciones
alineadas con el resto de actividades de
auditoría del OAI.
31EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (1)
- La auditoría de sistemas de información,
auditoría informática o auditoría de sistemas es
un tipo de auditoría consistente en el examen de
los sistemas de información y de los centros de
proceso de datos, instalaciones y unidades
informáticas de las organizaciones, con objeto de
facilitar la consecución de los objetivos que
persiguen, tanto los del área informática como,
primordialmente los del conjunto de la
organización .
32EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (2)
La auditoría de sistemas de información persigue
propiciar con sus actuaciones - El
establecimiento y mantenimiento de sistemas de
gestión de la seguridad. - La reducción de los
riesgos inherentes a la utilización de los
sistemas de información. - El incremento de la
confianza de los usuarios internos y externos en
los sistemas de información.
33DEFINICIÓN
EPÍGRAFE 17.2.1
DEFINICIÓN (3)
- Son objeto de la auditoría de sistemas de
información - Las auditorías consistentes en la revisión y
evaluación de los sistemas automáticos de
procesamiento de la información. - Las que se ocupan de los procedimientos no
automáticos relacionados con ellos y de los
interfases correspondientes. Por ejemplo, en el
ámbito tributario - La dirección de las instalaciones y unidades
informáticas. - La adquisición de bienes y servicios
informáticos. - La gestión de los contenidos residentes en la
Intranet corporativa y en el portal Internet de
la organización. - Las actividades de mejora de la calidad en la
entrada de datos.
34EPÍGRAFE 17.2.2
- Varios factores han impulsado la demanda de una
mayor supervisión y control de los sistemas de
información - Las amenazas a la seguridad informática, en un
marco de sistemas de información cada vez más
abiertos por la utilización de Internet y la
interconexión de redes. - La protección de los derechos de los ciudadanos,
en el ámbito de la sociedad de la información y
del gobierno electrónico. - La fiabilidad de la información ofrecida por las
empresas, que requieren una comprobación de
aquellos procesos que elaboran y comunican los
resultados conseguidos.
35EPÍGRAFE 17.2.3
FUNCIONES
FUNCIONES DE LA AUDITORÍA DE SI (1)
- Velar por la eficacia y eficiencia del sistema
informático, de forma que éste alcance con el
menor coste posible los objetivos. - Verificar el cumplimiento de las normas y
estándares vigentes en la organización (leyes de
firma electrónica, de protección de datos de
carácter personal, de propiedad intelectual del
software, etc.). - Supervisar el control interno ejercido sobre los
sistemas de información conducente a la
protección de los activos de información de
información de la organización recursos humanos,
locales e instalaciones, infraestructuras
tecnológicas, sistemas y aplicaciones,
información tributaria.
36FUNCIONES
EPÍGRAFE 17.2.3
FUNCIONES DE LA AUDITORÍA DE SI (2)
- Verificar la calidad de los sistemas de
información de la organización y proponer mejoras
de los mismos, coherentes con el proyecto de
calidad adoptado por la organización
(cumplimiento de normas de calidad o modelo de
excelencia en gestión). - Comprobar e impulsar la seguridad de los sistemas
de información.
37EPÍGRAFE 17.2.3
FUNCIONES
- Comprobar el cumplimiento de los requerimientos
de negocio de la información, es decir las
propiedades que la información debe tener para
optimizar su utilización por la organización. - Analizar la gestión de los riesgos asociados a
los sistemas de información, proponiendo la
adopción de medidas que mejoren el sistema de
análisis y gestión de los riesgos informáticos, o
que conduzcan a que los riesgos sean mitigados,
eliminados, compartidos o aceptados por la
organización.
38EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
EJEMPLOS (1)
- Objetivos del SI de la Administración Tributaria
- Asegurar la continuidad del servicio prestado por
el Centro Informático de la AT y por tanto la
atención a los usuarios. - Elaborar aplicativos de depuración y de análisis
de la información patrimonial capturada por la
organización, que faciliten el cobro voluntario y
compulsivo y, en general, la labor de los
recaudadores, minimizando el riesgo recaudatorio. - Garantizar la seguridad de los SI de la
organización, estableciendo un entorno de control
que incorpore medidas técnicas eficaces y una
revisión sistemática de las autorizaciones
concedidas y de los accesos registrados.
39EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
- Programas de auditoría de SI en la Administración
Tributaria - El programa de auditoría de SI que se ocupa de la
continuidad del servicio puede estar compuesto en
la AT de las siguientes actuaciones - Una actuación en el entorno de explotación y
comunicaciones del Centro Informático. - Una actuación sobre las condiciones de seguridad
y accesibilidad de la modalidad de teletrabajo
implantada por la organización para los agentes
tributarios desplazados. - Una actuación sobre la infraestructura
tecnológica de la plataforma Internet, ubicada en
el Centro Informático de la AT.
40EL AUDITOR DE SISTEMAS DE INFORMACIÓN
- La auditoría de sistemas de información es una
actividad diferenciada. - El auditor de sistemas de información o auditor
informático es un auditor especialista. - La característica principal del auditor de
sistemas de información es su capacidad para
alcanzar y fundamentar evidencias de auditoría en
un contexto real de utilización de las
tecnologías de la información.
41EL AUDITOR DE SISTEMAS DE INFORMACIÓN
- Debido a la complejidad de los modernos sistemas
de información y a la necesidad de tener amplios
conocimientos del área de negocio, el auditor de
sistemas de información trabaja en equipo - Con profesionales de distintos perfiles técnicos
que cubran áreas funcionales informáticas
diferentes (sistemas, desarrollo,
comunicaciones). - Con una planificación muy elaborada de las
actuaciones, plasmada en guiones minuciosos. - En algunas actuaciones con la colaboración
técnica del propio personal auditado o de
terceros no interesados directamente en la
actuación.
42CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1)
- Conocimientos, proporcionados a su grado de
responsabilidad, sobre la organización en la que
desarrolla su actividad - La misión, estrategia, políticas y objetivos de
la organización. - La estructura y funcionamiento de la
organización. - Los principales procesos de negocio, y las normas
y disposiciones que les afectan.
43CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2)
- Manejo con soltura del marco profesional para la
práctica de la auditoría interna - Los modelos y principios de auditoría, como la
supervisión del control interno (Informe COSO I)
y la gestión de riesgos (Informe COSO II). - Las normas y estándares que regulan en la
organización el proceso de auditoría y el proceso
de seguimiento de las recomendaciones. - Los códigos de conducta aplicables, como puede
ser el Código de Ética del Instituto
Internacional de Auditoría Interna.
44CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3)
- Conocimientos sólidos en materia de tecnologías
de la información y de las comunicaciones - Conocimientos de materias TIC generales
(infraestructuras prácticas operacionales
organización, desarrollo e implementación de los
SI, etc.). - Conocimientos de materias relacionadas
directamente con la seguridad de los sistemas de
información (protección de activos de
información, continuidad del negocio). - Conocimientos de materias relacionadas
directamente con la auditoría y el control de los
sistemas de información (metodologías de análisis
y gestión de riesgos, marcos referenciales,
herramientas de auditoría, etc.).
45ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE
SI
- Lo relevante de cualquier estrategia es conseguir
una unidad o equipo equilibrado en cuanto a
formación, experiencia y especialización de sus
miembros y jefes. Dos de las posibles opciones
son las siguientes - A.- Incorporar al OAI a empleados públicos, que
posean una certificación en vigor como auditores
de sistemas de información, o, en su defecto, que
dispongan de las condiciones para obtenerla en un
plazo razonable. - B.- Contratar a profesionales externos de
auditoría de sistemas de información, para que
pasen a ejercer esta función en la Administración
Tributaria como auditores internos en el OAI,
siempre que esta contratación sea compatible con
el estatus de los auditores internos.
46FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI
- Los auditores de sistemas de información deben
formar parte de los órganos especializados de
control, supervisión o auditoría interna de las
organizaciones. - Funciones generales
- El ejercicio de la supervisión del control
interno y del análisis y gestión de los riesgos,
en relación con los sistemas de información y con
los sistemas informáticos de la organización.
47FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI
- La realización de auditorías totales o parciales
de los sistemas de información de la
organización. - La colaboración con otros equipos de auditoría en
actuaciones generales de auditoría interna. - La participación en la función de consultoría y
asesoramiento que presta el órgano especializado
de control interno a la organización.
48PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
METODOLOGÍA Y ESTÁNDARES
- Utilización de metodologías, instrumentos y
procedimientos operativos propios. - En la planificación de las auditorías
informáticas Empleo de marcos referenciales para
la declaración de los objetivos del control. - En el desarrollo de las auditorías informáticas
empleo de herramientas de auditoría específicas.
49PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES
- Los organismos internacionales que se ocupan del
control y de la auditoría de SI son fuente de
fuente de estándares - ISACA - Asociación de Auditoría y Control de
Sistemas de Información - ISO Organización Internacional para la
estandarización. - NIST Instituto Nacional de Estándares y
Tecnología de los Estados Unidos.
50EPÍGRAFE 17.4.2
REPERTORIO DE CONTROLES
DEFINICIÓN
- La auditoría de sistemas de información hace un
uso frecuente de marcos de referencia para
describir los sistemas de información, con el
objetivo de independizarse de la tecnología
subyacente, de forma que el modelo propuesto sea
utilizable para diferentes organizaciones (COBIT,
ITIL). - Algunos de estos marcos de referencia están
especialmente orientados hacia la descripción
sistemática del control que debe ser ejercido en
los sistemas de información, consiguiendo - Simplificar la tarea de planificación.
- Facilitar la labor de supervisión del guión de
auditoría y del resto de instrumentos de
planificación.
51REPERTORIO DE CONTROLES
EPÍGRAFE 17.4.2
COBIT (3)
- Elementos de COBIT
- El marco referencial adoptado por COBIT tiene un
propósito general. Por tanto, los objetivos de
control se refieren a todos los recursos de las
tecnologías de la información - Aplicaciones, Información, Infraestructuras y
Personas. - y a todos los dominios en que pueden clasificarse
las actividades de las organizaciones
relacionadas directamente con las tecnologías de
la información - Planificación y Organización, Adquisición e
Investigación, Entrega y Soporte, Monitoreo.
52AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA
EPÍGRAFE 17.4.3
- Actividades de monitoreo y supervisión es muy
común en los centros informáticos. - Los profesionales informáticos que manejan estos
instrumentos son especialistas que deben conocer
en profundidad el producto y realizar operaciones
con él, en muchos casos en tiempo real. - Los auditores de sistemas de información utilizan
también en sus actuaciones de auditoría
herramientas de hardware y utilidades de software
de distintas características para verificar los
sistemas informáticos. - Por ejemplo, comprueban si el cifrado de las
comunicaciones y la configuración de seguridad de
los equipos coincide con las directrices de
seguridad informática de la organización.
53TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.1
TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE
SISTEMAS DE INFORMACIÓN
- La auditoría de la organización y gestión de los
departamentos informáticos o centros de proceso
de datos de una organización. - La auditoría de la seguridad física y lógica del
sistema de información de una organización. - La auditoría parcial de un área tecnológica.
- La auditoría de cumplimiento por el sistema de
información de normas y regulaciones. - La auditoría destinada a supervisar el control
interno o la gestión de riesgos del sistema de
información. - La auditoría de la contratación de bienes y
servicios informáticos.
54EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.3
SISTEMA DE CONTROL INTERNO
- El control más efectivo es el que está ligado
directamente a la actividad de la organización.
La Administración Tributaria tiene establecidos
controles en los sistemas de información,
integrados en el sistema de control interno
corporativo. Los controles pueden ser de dos
tipos - Controles destinados a monitorizar el
funcionamiento del propio sistema de información,
coadyuvando a su mejora. - Controles dedicados al seguimiento y a las tareas
de prevención de riesgos y detección de
incidencias en las diversas áreas de negocio de
la organización.
55ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1)
- Este tipo de actuaciones de auditoría presuponen
implícitamente la existencia de un sistema de
control interno que monitorea y supervisa las
actividades auditadas, en el que participa la
organización en su conjunto. - El proceso de supervisión del control interno es
el siguiente - En primer lugar y durante la fase de
planificación, el auditor informático obtiene, si
no cuenta previamente con él, un conocimiento
suficiente de la organización - Objetivos, estándares y procedimientos, procesos
y planificación de las instalaciones y unidades
de informática.
56ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2)
- Recursos humanos y materiales.
- Significado y estructura de los datos.
- En segundo lugar, el auditor informático
identifica los controles establecidos en el
sistema de información que deberían estar
asociados a los riesgos relevantes. - En tercer lugar y durante el desarrollo de la
auditoría, el auditor informático evalúa el
control interno ejercido por la organización para
obtener dos resultados principales. - Una adecuación del Plan anual de Actuaciones a
los conocimientos adquiridos, insistiendo en los
riesgos no eliminados o no mitigados
convenientemente. - La propuesta de mejoras para hacer más eficaz el
control.
57ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PRUEBAS DE AUDITORÍA
- Durante el desarrollo de la auditoría, el auditor
informático efectúa pruebas de los distintos
controles habilitados en los procesos de la
organización, en particular - Repite la ejecución de las pruebas y controles
programados por el sistema de control interno, en
principio por medios alternativos. - Verifica la efectiva implantación y la seguridad,
tanto del hardware como del software. - Realizando pruebas adicionales si los resultados
obtenidos no son concluyentes.
58ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
TIPOS DE PRUEBAS DE AUDITORÍA
- Pruebas de cumplimiento
- Determinan si los controles están establecidos y
si están siendo aplicados adecuadamente, es decir
de una forma que cumple con las políticas y
procedimientos establecidos en la organización. - Pruebas sustantivas
- Persiguen la comprobación de los resultados
obtenidos por el control y evalúan por tanto de
esta forma directamente la eficacia del control. - Las pruebas de cumplimiento suelen realizarse
antes que las pruebas sustantivas. Si de las
primeras se obtiene una evidencia suficiente de
que el control esta establecido y es adecuado,
probablemente se habrán alcanzado los objetivos
de la auditoría. Si las pruebas de cumplimiento
no son determinantes, se llevarán a cabo pruebas
sustantivas adicionales.
59OBJETIVO DEL PROYECTO
EPÍGRAFE 17.6.1
IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA
INFORMÁTICA EN EL OAI
- Las funciones de la unidad son las encomendadas a
la auditoría de sistemas de información en las
organizaciones, reflejadas en el Epígrafe 17.2.3,
del Sistema de Control Normado y especialmente
las de - Supervisar el control interno de los sistemas de
información. - Desarrollar actuaciones de auditoría en el área
informática de la organización. - Colaborar en las actuaciones del resto de
unidades del OAI, de acuerdo con su particular
especialización. - La unidad aplicará en sus actuaciones la
siguiente metodología - Los métodos y procedimientos generales del OAI.
- Los específicos de la auditoría de sistemas de
información.