Presentaci - PowerPoint PPT Presentation

About This Presentation
Title:

Presentaci

Description:

La Administraci n Tributaria tiene establecidos controles en los sistemas de informaci n, integrados en el sistema de control interno corporativo. – PowerPoint PPT presentation

Number of Views:76
Avg rating:3.0/5.0
Slides: 60
Provided by: ABZ
Category:

less

Transcript and Presenter's Notes

Title: Presentaci


1
EUROsociAL
2
SNCI TITULO IV DESARROLLO DE LA AUDITORIA
RESULTADOS E INFORME TITULO V SISTEMAS DE
INFORMACION Y AUDITORIA DE SISTEMAS
Cartagena de Indias Mayo, 2008
3
  • Presentación y sinopsis. Capítulos 13, 14, 15, 16
    y 17.
  • Comunicación de los resultados. El informe.
  • Seguimiento de la Auditoría.
  • El sistema de Información de la Administración
    Tributaria.
  • Seguridad de la Información.
  • Auditoría de Sistemas de Información.

4
EL INFORME DE AUDITORIA
  • HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD
    QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS
    DE INFORMES, Y QUE GARANTIZAN SU CALIDAD.
  • EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN
    EVIDENCIAS, RECOGIENDO OBSERVACIONES,
    CONCLUSIO-NES Y RECOMENDACIONES.
  • EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE
    AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE
    EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.

5
CONTENIDO DEL INFORME
EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL
OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO
MÍNIMO DEBE INCLUIR EL OBJETO, EL ALCANCE Y LOS
RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES
Y RECOMENDACIONES)
UN INFORME ESTÁNDAR, PODRÍA CONTENER
  • Título y número de referencia.
  • Introducción.
  • Objeto de la auditoría
  • Alcance
  • Metodología utilizada.
  • Informe-resumen o informe ejecutivo.
  • Información preliminar, antecedentes.
  • Firma y fecha.
  • Observaciones.
  • Conclusiones.
  • Recomendaciones.
  • Alegaciones, descargos y opinión del órgano
    auditado.
  • Anexos.


6
INTRODUCCION
  • DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO.
  • CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA
  • ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO
  • COMPOSICIÓN DEL EQUIPO DE AUDITORÍA
  • FECHAS DE INICIO Y FINALIZACIÓN DE LAS
    ACTUACIONES.
  • CARÁCTER O TIPO DEL INFORME.
  • DESTINATARIO/S DEL INFORME.


7
OBJETO
  • COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO
    REALIZADO DE FORMA CLARA Y NEUTRAL
  • SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN
    DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS
    DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO.

ALCANCE
  • EL ALCANCE DELIMITA LA NATURALEZA Y ÁMBITO DE LA
    AUDITORÍA.
  • ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A
    AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS
    CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A
    AUDITAR.
  • LAS LIMITACIONES AL ALCANCE.

8
METODOLOGIA
  • FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE
    EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.)
    UTILIZADAS.
  • BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA
    INFORMACIÓN (APLICACIONES ESPECÍFICAS)
  • METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE
    REPRESENTATIVIDAD.

  • ANTECEDENTES

9
EXPOSICIONES PERTINENTES DE LOS HECHOS
  • NO SON JUICIOS DE VALOR.
  • EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS
    SUFICIENTES, RELEVANTES Y COMPETENTES.
  • DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA
    PERSPECTIVA Y CONTEXTO ADECUADOS.
  • EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.

10
SURGEN DE LA COMPARACIÓN ENTRE
CRITERIO (LO QUE DEBE SER)
REALIDAD (LO QUE ES)
Razón de la diferencia.
CAUSA
Riesgo a que se somete la organización debido a
las diferencias entre lo que debe ser y lo que
es.
EFECTOS
11
FORMA DE REFLEJAR LAS EVIDENCIAS
  • DEBEN RECOGERSE EN EL INFORME EN FORMA DE
    CUADROS-RESÚMENES DONDE SE OFREZCAN LOS DATOS
    AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN
    UN ANEXO.
  • EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O
    DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS
    DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME.
  • EN EL CASO DE ENTREVISTAS CON RESPONSABLES
    DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR
    INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y
    RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE
    DOCUMENTAL FACILITADO, SI EXISTE.
  • LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS
    SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS
    INFORMES EN UN ANEXO.


12
CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR
SOBRE LAS OBSERVACIONES Y SUS EFECTOS
  • DEBEN APARECER CLARAMENTE COMO TALES.
  • DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA
    EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O
    CONDUCTAS IRREGULARES DEL PERSONAL.
  • SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES
    extracto de las principales observaciones y de la
    opinión del auditor.


13
RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS
SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O
PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS
ENCONTRADAS
  • SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES
    REFLEJADAS EN EL INFORME.
  • OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.
  • FECHA Y FIRMA
  • ANEXOS.


14
INFORME EJECUTIVO
  • SE PUEDE INCORPORAR COMO PARTE DEL INFORME O
    PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.


15
RECOMENDACIONES
  • DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES
    Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME.

OBSERVACIONES (hechos)
CONCLUSIONES (opiniones del auditor)
Soluciones a los problemas detectados
RECOMENDACIONES (hechos)
Mejora del servicio público prestado
  • DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS
    ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE
    SE APOYAN Y REFERIRSE A ÉSTAS.

16
RECOMENDACIONES
  • SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR
    JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO
    COMPETENCIAL.
  • SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO
    RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA
    PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.

17
RECOMENDACIONES
  • EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE
    OBLIGADO CUMPLIMIENTO PARA EL AUDITADO.
  • EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE
    OBLIGATORIEDAD QUE DEBERÍA DARSE A LA
    RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL
    PROBLEMA DETECTADO O DE LA CONVENIENCIA DE
    APLICACIÓN DE LA MEJORA PROPUESTA.
  • NO OBSTANTE, HAY QUE GARANTIZAR QUE
  • LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA
    CONOCE LAS RECOMENDACIONES.
  • LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE
    OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE
    NO HACERLO.
  • SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS
    DE LAS RECOMENDACIONES.

18
REQUISITOS DE CALIDAD
  • PRECISOS
  • OBJETIVOS
  • CLAROS
  • CONCISOS
  • CONSTRUCTIVOS
  • COMPLETOS
  • OPORTUNOS
  • ESTANDARIZACION DE INFORMES

19
SUPERVISION DEL INFORME
  • EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE
    LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS
    EXPERIMENTADOS.

20
  • Las razones que justifican la supervisión
  • Asegurando que se han cumplido los objetivos de
    la auditoría.
  • Garantizando que los informes son precisos,
    objetivos, claros, concisos, constructivos y
    oportunos.
  • Verificando la coherencia de conclusiones y
    recomendaciones con las observaciones y objetivos
    de la auditoría.
  • Determinando si las evidencia están
    suficientemente reflejadas en el informe y son
    suficientes y competentes para avalar las
    observaciones, conclusiones y recomendaciones.
  • Comprobando que se han cumplido las normas de
    estandarización.

21
  • POSIBLES TÉCNICAS DE SUPERVISIÓN
  • Simple lectura del documento.
  • Contraste del informe con plantillas de informes
    estandarizados o documentos-guía.
  • Proceso de referencias o indización del informe,
    evidencias y papeles de trabajo por un equipo
    independiente al de elaboración

22
TIPOS DE INFORME
  • SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN
  • SEGÚN EL MOMENTO DE SU ELABORACIÓN
  • ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN
  • ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO

23
)
TRAMITACIÓN DEL INFORME
DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA
TRAMITACIÓN DE LOS INFORMES
  • POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE
    INFORME.
  • DEBE ESTAR REGULADO Y SER CONOCIDO POR LA
    ORGANIZACIÓN.
  • DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO.
  • OPCIONAL antes de la elaboración del borrador
    del informe (reuniones posteriores a la
    auditoría reunión de presentación de
    conclusiones).
  • OBLIGATORIO Remisión del borrador para
    observaciones al órgano auditado o superior
    jerárquico.


24
DISTRIBUCIÓN DEL INFORME
DESTINATARIOS PRINCIPALES O NATURALES
COMITÉ DE AUDITORÍA (SI LO HUBIESE)
ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL,
SEGURIDAD O RIESGOS
DIRECCIÓN DE LA ADMÓN TRIBUTARIA
ÓRGANO AUDITADO
SUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN
OTROS INTERESADOS
OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO
OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS
25
ARCHIVO Y CONSERVACIÓN DEL INFORME
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS
DURANTE EL PLAZO Y EN LAS CONDICIONES DE
SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE
ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO,
MIENTRAS SEAN DE UTILIDAD PARA LA MISMA.
  • SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO
    INFORMATIZADO.
  • LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL
    DE INFORMES FACILITA LA PLANIFICACIÓN Y
    SEGUIMIENTO DE ACTUACIONES.

26
SEGUIMIENTO DE LA AUDITORIA
  • MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE
    APORTAN LAS ACTUACIONES DE AUDITORÍA,
    FUNDAMENTALMENTE LAS RECOMENDACIONES,
    MULTIPLICANDO SU IMPACTO Y FACILITANDO SU
    DIFUSIÓN
  • LOS OBJETIVOS DEL SEGUIMIENTO SON
  • Verificar el grado de cumplimiento de las
    recomendaciones de auditoría o la aceptación por
    la Dirección del riesgo de no hacerlo.
  • Evaluar el impacto de las recomendaciones
    implantadas en la solución de las deficiencias
    observadas o las mejoras producidas.
  • Retroalimentar el proceso de control interno de
    la organización.
  • Aumentar la eficacia de las auditorías.

27
  • EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE
    GARANTICEN EL CUMPLIMIENTO DE LAS
    RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS
  • ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO
    AUDITADO DE LAS RECOMENDACIONES, PUESTA DE
    MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O
    EN LA FASE DE TRAMITACIÓN DEL INFORME.
  • REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA
    AUTORIDAD COMPETENTE PARA IMPONERLAS.
  • SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.

28
  • EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE
    AUDITORÍA UNO RELATIVO A AUDITORÍAS DE
    SEGUIMIENTO
  • OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS
    INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL
    SEGUIMIENTO.
  • LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS
    RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.

29
SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA
DE SISTEMAS
CARTAGENA DE INDIAS Mayo, 2008
30
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
APARTADO 17
APARTADO 17.1
INTRODUCCIÓN Y SINOPSIS
  • La Administración Tributaria (AT) es una
    organización compleja, cuya actividad se
    desenvuelve mediante procedimientos
    automatizados, acordando una gran relevancia a
    las tecnologías de la información y de las
    comunicaciones. La organización debe supervisar
    el desempeño de los sistemas de información.
  • Para desarrollar en la AT una actividad de
    auditoría completa y en profundidad, el OAI
    necesita disponer de un área de auditoría de
    sistemas de información, cuyo plantilla esté
    compuesta por especialistas, auditores de
    sistemas de información, que ejecuten actuaciones
    alineadas con el resto de actividades de
    auditoría del OAI.

31
EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (1)
  • La auditoría de sistemas de información,
    auditoría informática o auditoría de sistemas es
    un tipo de auditoría consistente en el examen de
    los sistemas de información y de los centros de
    proceso de datos, instalaciones y unidades
    informáticas de las organizaciones, con objeto de
    facilitar la consecución de los objetivos que
    persiguen, tanto los del área informática como,
    primordialmente los del conjunto de la
    organización .

32
EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (2)
La auditoría de sistemas de información persigue
propiciar con sus actuaciones - El
establecimiento y mantenimiento de sistemas de
gestión de la seguridad. - La reducción de los
riesgos inherentes a la utilización de los
sistemas de información. - El incremento de la
confianza de los usuarios internos y externos en
los sistemas de información.
33
DEFINICIÓN
EPÍGRAFE 17.2.1
DEFINICIÓN (3)
  • Son objeto de la auditoría de sistemas de
    información
  • Las auditorías consistentes en la revisión y
    evaluación de los sistemas automáticos de
    procesamiento de la información.
  • Las que se ocupan de los procedimientos no
    automáticos relacionados con ellos y de los
    interfases correspondientes. Por ejemplo, en el
    ámbito tributario
  • La dirección de las instalaciones y unidades
    informáticas.
  • La adquisición de bienes y servicios
    informáticos.
  • La gestión de los contenidos residentes en la
    Intranet corporativa y en el portal Internet de
    la organización.
  • Las actividades de mejora de la calidad en la
    entrada de datos.

34
EPÍGRAFE 17.2.2
  • Varios factores han impulsado la demanda de una
    mayor supervisión y control de los sistemas de
    información
  • Las amenazas a la seguridad informática, en un
    marco de sistemas de información cada vez más
    abiertos por la utilización de Internet y la
    interconexión de redes.
  • La protección de los derechos de los ciudadanos,
    en el ámbito de la sociedad de la información y
    del gobierno electrónico.
  • La fiabilidad de la información ofrecida por las
    empresas, que requieren una comprobación de
    aquellos procesos que elaboran y comunican los
    resultados conseguidos.

35
EPÍGRAFE 17.2.3
FUNCIONES
FUNCIONES DE LA AUDITORÍA DE SI (1)
  1. Velar por la eficacia y eficiencia del sistema
    informático, de forma que éste alcance con el
    menor coste posible los objetivos.
  2. Verificar el cumplimiento de las normas y
    estándares vigentes en la organización (leyes de
    firma electrónica, de protección de datos de
    carácter personal, de propiedad intelectual del
    software, etc.).
  3. Supervisar el control interno ejercido sobre los
    sistemas de información conducente a la
    protección de los activos de información de
    información de la organización recursos humanos,
    locales e instalaciones, infraestructuras
    tecnológicas, sistemas y aplicaciones,
    información tributaria.

36
FUNCIONES
EPÍGRAFE 17.2.3
FUNCIONES DE LA AUDITORÍA DE SI (2)
  1. Verificar la calidad de los sistemas de
    información de la organización y proponer mejoras
    de los mismos, coherentes con el proyecto de
    calidad adoptado por la organización
    (cumplimiento de normas de calidad o modelo de
    excelencia en gestión).
  2. Comprobar e impulsar la seguridad de los sistemas
    de información.

37
EPÍGRAFE 17.2.3
FUNCIONES
  1. Comprobar el cumplimiento de los requerimientos
    de negocio de la información, es decir las
    propiedades que la información debe tener para
    optimizar su utilización por la organización.
  2. Analizar la gestión de los riesgos asociados a
    los sistemas de información, proponiendo la
    adopción de medidas que mejoren el sistema de
    análisis y gestión de los riesgos informáticos, o
    que conduzcan a que los riesgos sean mitigados,
    eliminados, compartidos o aceptados por la
    organización.

38
EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
EJEMPLOS (1)
  • Objetivos del SI de la Administración Tributaria
  • Asegurar la continuidad del servicio prestado por
    el Centro Informático de la AT y por tanto la
    atención a los usuarios.
  • Elaborar aplicativos de depuración y de análisis
    de la información patrimonial capturada por la
    organización, que faciliten el cobro voluntario y
    compulsivo y, en general, la labor de los
    recaudadores, minimizando el riesgo recaudatorio.
  • Garantizar la seguridad de los SI de la
    organización, estableciendo un entorno de control
    que incorpore medidas técnicas eficaces y una
    revisión sistemática de las autorizaciones
    concedidas y de los accesos registrados.

39
EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
  • Programas de auditoría de SI en la Administración
    Tributaria
  • El programa de auditoría de SI que se ocupa de la
    continuidad del servicio puede estar compuesto en
    la AT de las siguientes actuaciones
  • Una actuación en el entorno de explotación y
    comunicaciones del Centro Informático.
  • Una actuación sobre las condiciones de seguridad
    y accesibilidad de la modalidad de teletrabajo
    implantada por la organización para los agentes
    tributarios desplazados.
  • Una actuación sobre la infraestructura
    tecnológica de la plataforma Internet, ubicada en
    el Centro Informático de la AT.

40
EL AUDITOR DE SISTEMAS DE INFORMACIÓN
  • La auditoría de sistemas de información es una
    actividad diferenciada.
  • El auditor de sistemas de información o auditor
    informático es un auditor especialista.
  • La característica principal del auditor de
    sistemas de información es su capacidad para
    alcanzar y fundamentar evidencias de auditoría en
    un contexto real de utilización de las
    tecnologías de la información.

41
EL AUDITOR DE SISTEMAS DE INFORMACIÓN
  • Debido a la complejidad de los modernos sistemas
    de información y a la necesidad de tener amplios
    conocimientos del área de negocio, el auditor de
    sistemas de información trabaja en equipo
  • Con profesionales de distintos perfiles técnicos
    que cubran áreas funcionales informáticas
    diferentes (sistemas, desarrollo,
    comunicaciones).
  • Con una planificación muy elaborada de las
    actuaciones, plasmada en guiones minuciosos.
  • En algunas actuaciones con la colaboración
    técnica del propio personal auditado o de
    terceros no interesados directamente en la
    actuación.

42
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1)
  • Conocimientos, proporcionados a su grado de
    responsabilidad, sobre la organización en la que
    desarrolla su actividad
  • La misión, estrategia, políticas y objetivos de
    la organización.
  • La estructura y funcionamiento de la
    organización.
  • Los principales procesos de negocio, y las normas
    y disposiciones que les afectan.

43
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2)
  • Manejo con soltura del marco profesional para la
    práctica de la auditoría interna
  • Los modelos y principios de auditoría, como la
    supervisión del control interno (Informe COSO I)
    y la gestión de riesgos (Informe COSO II).
  • Las normas y estándares que regulan en la
    organización el proceso de auditoría y el proceso
    de seguimiento de las recomendaciones.
  • Los códigos de conducta aplicables, como puede
    ser el Código de Ética del Instituto
    Internacional de Auditoría Interna.

44
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3)
  • Conocimientos sólidos en materia de tecnologías
    de la información y de las comunicaciones
  • Conocimientos de materias TIC generales
    (infraestructuras prácticas operacionales
    organización, desarrollo e implementación de los
    SI, etc.).
  • Conocimientos de materias relacionadas
    directamente con la seguridad de los sistemas de
    información (protección de activos de
    información, continuidad del negocio).
  • Conocimientos de materias relacionadas
    directamente con la auditoría y el control de los
    sistemas de información (metodologías de análisis
    y gestión de riesgos, marcos referenciales,
    herramientas de auditoría, etc.).

45
ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE
SI
  • Lo relevante de cualquier estrategia es conseguir
    una unidad o equipo equilibrado en cuanto a
    formación, experiencia y especialización de sus
    miembros y jefes. Dos de las posibles opciones
    son las siguientes
  • A.- Incorporar al OAI a empleados públicos, que
    posean una certificación en vigor como auditores
    de sistemas de información, o, en su defecto, que
    dispongan de las condiciones para obtenerla en un
    plazo razonable.
  • B.- Contratar a profesionales externos de
    auditoría de sistemas de información, para que
    pasen a ejercer esta función en la Administración
    Tributaria como auditores internos en el OAI,
    siempre que esta contratación sea compatible con
    el estatus de los auditores internos.

46
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI
  • Los auditores de sistemas de información deben
    formar parte de los órganos especializados de
    control, supervisión o auditoría interna de las
    organizaciones.
  • Funciones generales
  • El ejercicio de la supervisión del control
    interno y del análisis y gestión de los riesgos,
    en relación con los sistemas de información y con
    los sistemas informáticos de la organización.

47
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI
  • La realización de auditorías totales o parciales
    de los sistemas de información de la
    organización.
  • La colaboración con otros equipos de auditoría en
    actuaciones generales de auditoría interna.
  • La participación en la función de consultoría y
    asesoramiento que presta el órgano especializado
    de control interno a la organización.

48
PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
METODOLOGÍA Y ESTÁNDARES
  • Utilización de metodologías, instrumentos y
    procedimientos operativos propios.
  • En la planificación de las auditorías
    informáticas Empleo de marcos referenciales para
    la declaración de los objetivos del control.
  • En el desarrollo de las auditorías informáticas
    empleo de herramientas de auditoría específicas.

49
PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES
  • Los organismos internacionales que se ocupan del
    control y de la auditoría de SI son fuente de
    fuente de estándares
  • ISACA - Asociación de Auditoría y Control de
    Sistemas de Información
  • ISO Organización Internacional para la
    estandarización.
  • NIST Instituto Nacional de Estándares y
    Tecnología de los Estados Unidos.

50
EPÍGRAFE 17.4.2
REPERTORIO DE CONTROLES
DEFINICIÓN
  • La auditoría de sistemas de información hace un
    uso frecuente de marcos de referencia para
    describir los sistemas de información, con el
    objetivo de independizarse de la tecnología
    subyacente, de forma que el modelo propuesto sea
    utilizable para diferentes organizaciones (COBIT,
    ITIL).
  • Algunos de estos marcos de referencia están
    especialmente orientados hacia la descripción
    sistemática del control que debe ser ejercido en
    los sistemas de información, consiguiendo
  • Simplificar la tarea de planificación.
  • Facilitar la labor de supervisión del guión de
    auditoría y del resto de instrumentos de
    planificación.

51
REPERTORIO DE CONTROLES
EPÍGRAFE 17.4.2
COBIT (3)
  • Elementos de COBIT
  • El marco referencial adoptado por COBIT tiene un
    propósito general. Por tanto, los objetivos de
    control se refieren a todos los recursos de las
    tecnologías de la información
  • Aplicaciones, Información, Infraestructuras y
    Personas.
  • y a todos los dominios en que pueden clasificarse
    las actividades de las organizaciones
    relacionadas directamente con las tecnologías de
    la información
  • Planificación y Organización, Adquisición e
    Investigación, Entrega y Soporte, Monitoreo.

52
AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA
EPÍGRAFE 17.4.3
  • Actividades de monitoreo y supervisión es muy
    común en los centros informáticos.
  • Los profesionales informáticos que manejan estos
    instrumentos son especialistas que deben conocer
    en profundidad el producto y realizar operaciones
    con él, en muchos casos en tiempo real.
  • Los auditores de sistemas de información utilizan
    también en sus actuaciones de auditoría
    herramientas de hardware y utilidades de software
    de distintas características para verificar los
    sistemas informáticos.
  • Por ejemplo, comprueban si el cifrado de las
    comunicaciones y la configuración de seguridad de
    los equipos coincide con las directrices de
    seguridad informática de la organización.

53
TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.1
TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE
SISTEMAS DE INFORMACIÓN
  1. La auditoría de la organización y gestión de los
    departamentos informáticos o centros de proceso
    de datos de una organización.
  2. La auditoría de la seguridad física y lógica del
    sistema de información de una organización.
  3. La auditoría parcial de un área tecnológica.
  4. La auditoría de cumplimiento por el sistema de
    información de normas y regulaciones.
  5. La auditoría destinada a supervisar el control
    interno o la gestión de riesgos del sistema de
    información.
  6. La auditoría de la contratación de bienes y
    servicios informáticos.

54
EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.3
SISTEMA DE CONTROL INTERNO
  • El control más efectivo es el que está ligado
    directamente a la actividad de la organización.
    La Administración Tributaria tiene establecidos
    controles en los sistemas de información,
    integrados en el sistema de control interno
    corporativo. Los controles pueden ser de dos
    tipos
  • Controles destinados a monitorizar el
    funcionamiento del propio sistema de información,
    coadyuvando a su mejora.
  • Controles dedicados al seguimiento y a las tareas
    de prevención de riesgos y detección de
    incidencias en las diversas áreas de negocio de
    la organización.

55
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1)
  • Este tipo de actuaciones de auditoría presuponen
    implícitamente la existencia de un sistema de
    control interno que monitorea y supervisa las
    actividades auditadas, en el que participa la
    organización en su conjunto.
  • El proceso de supervisión del control interno es
    el siguiente
  • En primer lugar y durante la fase de
    planificación, el auditor informático obtiene, si
    no cuenta previamente con él, un conocimiento
    suficiente de la organización
  • Objetivos, estándares y procedimientos, procesos
    y planificación de las instalaciones y unidades
    de informática.

56
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2)
  • Recursos humanos y materiales.
  • Significado y estructura de los datos.
  • En segundo lugar, el auditor informático
    identifica los controles establecidos en el
    sistema de información que deberían estar
    asociados a los riesgos relevantes.
  • En tercer lugar y durante el desarrollo de la
    auditoría, el auditor informático evalúa el
    control interno ejercido por la organización para
    obtener dos resultados principales.
  • Una adecuación del Plan anual de Actuaciones a
    los conocimientos adquiridos, insistiendo en los
    riesgos no eliminados o no mitigados
    convenientemente.
  • La propuesta de mejoras para hacer más eficaz el
    control.

57
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PRUEBAS DE AUDITORÍA
  • Durante el desarrollo de la auditoría, el auditor
    informático efectúa pruebas de los distintos
    controles habilitados en los procesos de la
    organización, en particular
  • Repite la ejecución de las pruebas y controles
    programados por el sistema de control interno, en
    principio por medios alternativos.
  • Verifica la efectiva implantación y la seguridad,
    tanto del hardware como del software.
  • Realizando pruebas adicionales si los resultados
    obtenidos no son concluyentes.

58
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
TIPOS DE PRUEBAS DE AUDITORÍA
  • Pruebas de cumplimiento
  • Determinan si los controles están establecidos y
    si están siendo aplicados adecuadamente, es decir
    de una forma que cumple con las políticas y
    procedimientos establecidos en la organización.
  • Pruebas sustantivas
  • Persiguen la comprobación de los resultados
    obtenidos por el control y evalúan por tanto de
    esta forma directamente la eficacia del control.
  • Las pruebas de cumplimiento suelen realizarse
    antes que las pruebas sustantivas. Si de las
    primeras se obtiene una evidencia suficiente de
    que el control esta establecido y es adecuado,
    probablemente se habrán alcanzado los objetivos
    de la auditoría. Si las pruebas de cumplimiento
    no son determinantes, se llevarán a cabo pruebas
    sustantivas adicionales.

59
OBJETIVO DEL PROYECTO
EPÍGRAFE 17.6.1
IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA
INFORMÁTICA EN EL OAI
  • Las funciones de la unidad son las encomendadas a
    la auditoría de sistemas de información en las
    organizaciones, reflejadas en el Epígrafe 17.2.3,
    del Sistema de Control Normado y especialmente
    las de
  • Supervisar el control interno de los sistemas de
    información.
  • Desarrollar actuaciones de auditoría en el área
    informática de la organización.
  • Colaborar en las actuaciones del resto de
    unidades del OAI, de acuerdo con su particular
    especialización.
  • La unidad aplicará en sus actuaciones la
    siguiente metodología
  • Los métodos y procedimientos generales del OAI.
  • Los específicos de la auditoría de sistemas de
    información.
Write a Comment
User Comments (0)
About PowerShow.com