Presentaci

1
EUROsociAL
2
SNCI TITULO IV DESARROLLO DE LA AUDITORIA
RESULTADOS E INFORME TITULO V SISTEMAS DE
INFORMACION Y AUDITORIA DE SISTEMAS
Cartagena de Indias Mayo, 2008
3

• Presentación y sinopsis. Capítulos 13, 14, 15, 16
  y 17.
• Comunicación de los resultados. El informe.
• Seguimiento de la Auditoría.
• El sistema de Información de la Administración
  Tributaria.
• Seguridad de la Información.
• Auditoría de Sistemas de Información.

4
EL INFORME DE AUDITORIA

• HAY UNAS CARACTERÍSTICAS Y ESTÁNDARES DE CALIDAD
  QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS
  DE INFORMES, Y QUE GARANTIZAN SU CALIDAD.
• EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN
  EVIDENCIAS, RECOGIENDO OBSERVACIONES,
  CONCLUSIO-NES Y RECOMENDACIONES.
• EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE
  AL LECTOR UNA IMAGEN CLARA DE PORQUÉ SE
  EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.

5
CONTENIDO DEL INFORME
EL CONTENIDO DEL INFORME PUEDE VARIAR SEGÚN EL
OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO
MÍNIMO DEBE INCLUIR EL OBJETO, EL ALCANCE Y LOS
RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES
Y RECOMENDACIONES)
UN INFORME ESTÁNDAR, PODRÍA CONTENER

• Título y número de referencia.
• Introducción.
• Objeto de la auditoría
• Alcance
• Metodología utilizada.
• Informe-resumen o informe ejecutivo.
• Información preliminar, antecedentes.

• Firma y fecha.
• Observaciones.
• Conclusiones.
• Recomendaciones.
• Alegaciones, descargos y opinión del órgano
  auditado.
• Anexos.

6
INTRODUCCION

• DESCRIPCIÓN DEL ÓRGANO O SERVICIO AUDITADO.
• CAUSA POR LA QUE SE EFECTÚA LA AUDITORÍA
• ORDEN DE ACTUACIÓN U ORDEN DE SERVICIO
• COMPOSICIÓN DEL EQUIPO DE AUDITORÍA
• FECHAS DE INICIO Y FINALIZACIÓN DE LAS
  ACTUACIONES.
• CARÁCTER O TIPO DEL INFORME.
• DESTINATARIO/S DEL INFORME.

7
OBJETO

• COMUNICACIÓN DE LOS OBJETIVOS DEL TRABAJO
  REALIZADO DE FORMA CLARA Y NEUTRAL
• SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN
  DEL OAI, DEBEN SEÑALARSE LOS OBJETIVOS GENÉRICOS
  DEL PROGRAMA Y LOS ESPECÍFICOS DEL TRABAJO.

ALCANCE

• EL ALCANCE DELIMITA LA NATURALEZA Y ÁMBITO DE LA
  AUDITORÍA.
• ÁMBITO TERRITORIAL Y FUNCIONAL DEL ÓRGANO A
  AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS
  CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A
  AUDITAR.
• LAS LIMITACIONES AL ALCANCE.

8
METODOLOGIA

• FUENTES DE INFORMACIÓN (ANÁLISIS MUESTRAL DE
  EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.)
  UTILIZADAS.
• BASES DE DATOS DE LAS QUE SE HA OBTENIDO LA
  INFORMACIÓN (APLICACIONES ESPECÍFICAS)
• METODOLOGÍA DE LA TOMA DE MUESTRAS Y GRADOS DE
  REPRESENTATIVIDAD.

• ANTECEDENTES

9
EXPOSICIONES PERTINENTES DE LOS HECHOS

• NO SON JUICIOS DE VALOR.
• EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS
  SUFICIENTES, RELEVANTES Y COMPETENTES.
• DEBEN PRESENTARSE DE MANERA JUSTA Y CON LA
  PERSPECTIVA Y CONTEXTO ADECUADOS.
• EL INFORME SÓLO RECOGERÁ LAS MÁS SIGNIFICATIVAS.

10
SURGEN DE LA COMPARACIÓN ENTRE
CRITERIO (LO QUE DEBE SER)
REALIDAD (LO QUE ES)
Razón de la diferencia.
CAUSA
Riesgo a que se somete la organización debido a
las diferencias entre lo que debe ser y lo que
es.
EFECTOS
11
FORMA DE REFLEJAR LAS EVIDENCIAS

• DEBEN RECOGERSE EN EL INFORME EN FORMA DE
  CUADROS-RESÚMENES DONDE SE OFREZCAN LOS DATOS
  AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRÁN EN
  UN ANEXO.
• EN LOS CASOS DE ANÁLISIS DE ASPECTOS SENSIBLES O
  DE ALTO RIESGO PARA LA ADMÓN. TRIBUTARIA, LOS
  DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME.
• EN EL CASO DE ENTREVISTAS CON RESPONSABLES
  DIVERSOS, SE IDENTIFICARÁ AL INTERLOCUTOR
  INCLUYENDO UNA RESEÑA EN EL CUERPO DEL INFORME Y
  RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE
  DOCUMENTAL FACILITADO, SI EXISTE.
• LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS
  SOLICITADOS AL AUDITADO SE INCORPORARÁN A LOS
  INFORMES EN UN ANEXO.

12
CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR
SOBRE LAS OBSERVACIONES Y SUS EFECTOS

• DEBEN APARECER CLARAMENTE COMO TALES.
• DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA
  EXISTENCIA DE ACTOS ILÍCITOS O DE FRAUDE, O
  CONDUCTAS IRREGULARES DEL PERSONAL.
• SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES
  extracto de las principales observaciones y de la
  opinión del auditor.

13
RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS
SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O
PARA CORREGIR LAS DEFICIENCIAS ESPECÍFICAS
ENCONTRADAS

• SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES
  REFLEJADAS EN EL INFORME.
• OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.
• FECHA Y FIRMA
• ANEXOS.

14
INFORME EJECUTIVO

• SE PUEDE INCORPORAR COMO PARTE DEL INFORME O
  PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.

15
RECOMENDACIONES

• DEBEN SURGIR DE FORMA LÓGICA DE LAS OBSERVACIONES
  Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME.

OBSERVACIONES (hechos)
CONCLUSIONES (opiniones del auditor)
Soluciones a los problemas detectados
RECOMENDACIONES (hechos)
Mejora del servicio público prestado

• DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS
  ÁMBITOS TEMÁTICOS QUE LAS CONCLUSIONES EN LAS QUE
  SE APOYAN Y REFERIRSE A ÉSTAS.

16
RECOMENDACIONES

• SE DIRIGIRÁ AL ÓRGANO AUDITADIO Y/O SU SUPERIOR
  JERÁRQUICO SI LA SOLUCIÓN ES DE SU ÁMBITO
  COMPETENCIAL.
• SE DIRIGIRÁ, ADEMÁS, AL CENTRO DIRECTIVO U ÓRGANO
  RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA
  PARA SU CUMPLIMIENTO RESIDA EN ESTOS ÚLTIMOS.

17
RECOMENDACIONES

• EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE
  OBLIGADO CUMPLIMIENTO PARA EL AUDITADO.
• EL OAI DEBE SEÑALAR EN SU INFORME EL GRADO DE
  OBLIGATORIEDAD QUE DEBERÍA DARSE A LA
  RECOMENDACIÓN EN FUNCIÓN DE LA CRITICIDAD EL
  PROBLEMA DETECTADO O DE LA CONVENIENCIA DE
  APLICACIÓN DE LA MEJORA PROPUESTA.
• NO OBSTANTE, HAY QUE GARANTIZAR QUE

• LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA
  CONOCE LAS RECOMENDACIONES.
• LA DIRECCIÓN DE LA ADMINISTRACIÓN TRIBUTARIA HACE
  OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE
  NO HACERLO.
• SE EFECTÚA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS
  DE LAS RECOMENDACIONES.

18
REQUISITOS DE CALIDAD

• PRECISOS
• OBJETIVOS
• CLAROS
• CONCISOS
• CONSTRUCTIVOS
• COMPLETOS
• OPORTUNOS
• ESTANDARIZACION DE INFORMES

19
SUPERVISION DEL INFORME

• EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE
  LA SUPERVISIÓN, PERO PUEDE DELEGARLA EN MIEMBROS
  EXPERIMENTADOS.

20

• Las razones que justifican la supervisión
• Asegurando que se han cumplido los objetivos de
  la auditoría.
• Garantizando que los informes son precisos,
  objetivos, claros, concisos, constructivos y
  oportunos.
• Verificando la coherencia de conclusiones y
  recomendaciones con las observaciones y objetivos
  de la auditoría.
• Determinando si las evidencia están
  suficientemente reflejadas en el informe y son
  suficientes y competentes para avalar las
  observaciones, conclusiones y recomendaciones.
• Comprobando que se han cumplido las normas de
  estandarización.

21

• POSIBLES TÉCNICAS DE SUPERVISIÓN
• Simple lectura del documento.
• Contraste del informe con plantillas de informes
  estandarizados o documentos-guía.
• Proceso de referencias o indización del informe,
  evidencias y papeles de trabajo por un equipo
  independiente al de elaboración

22
TIPOS DE INFORME

• SEGÚN EL TIPO DE AUDITORIA QUE REFLEJAN
• SEGÚN EL MOMENTO DE SU ELABORACIÓN
• ATENDIENDO AL GRADO DE EXTENSIÓN O CONCRECIÓN
• ATENDIENDO AL CARÁCTER ÚNICO O RECOPILATIVO

23
)
TRAMITACIÓN DEL INFORME
DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA
TRAMITACIÓN DE LOS INFORMES

• POSIBLES ESPECIALIDADES DEPENDIENDO DEL TIPO DE
  INFORME.
• DEBE ESTAR REGULADO Y SER CONOCIDO POR LA
  ORGANIZACIÓN.
• DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO.
  
• OPCIONAL antes de la elaboración del borrador
  del informe (reuniones posteriores a la
  auditoría reunión de presentación de
  conclusiones).
• OBLIGATORIO Remisión del borrador para
  observaciones al órgano auditado o superior
  jerárquico.

24
DISTRIBUCIÓN DEL INFORME
DESTINATARIOS PRINCIPALES O NATURALES
COMITÉ DE AUDITORÍA (SI LO HUBIESE)
ÓRGANOS COLEGIADOS EN MATERIA DE CONTROL,
SEGURIDAD O RIESGOS
DIRECCIÓN DE LA ADMÓN TRIBUTARIA
ÓRGANO AUDITADO
SUPERIOR JERÁRQUICO Y/O RESPONSABLE DE LA SOLUCIÓN
OTROS INTERESADOS
OTROS ÓRGANOS DE CONTROL INTERNO O EXTERNO
OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS
25
ARCHIVO Y CONSERVACIÓN DEL INFORME
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS
DURANTE EL PLAZO Y EN LAS CONDICIONES DE
SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE
ADMINISTRACIÓN TRIBUTARIA, Y EN TODO CASO,
MIENTRAS SEAN DE UTILIDAD PARA LA MISMA.

• SE RECOMIENDA LA EXISTENCIA DE UN ARCHIVO
  INFORMATIZADO.
• LA CONSTITUCIÓN DE UNA BASE DE DATOS DOCUMENTAL
  DE INFORMES FACILITA LA PLANIFICACIÓN Y
  SEGUIMIENTO DE ACTUACIONES.

26
SEGUIMIENTO DE LA AUDITORIA

• MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE
  APORTAN LAS ACTUACIONES DE AUDITORÍA,
  FUNDAMENTALMENTE LAS RECOMENDACIONES,
  MULTIPLICANDO SU IMPACTO Y FACILITANDO SU
  DIFUSIÓN
• LOS OBJETIVOS DEL SEGUIMIENTO SON
• Verificar el grado de cumplimiento de las
  recomendaciones de auditoría o la aceptación por
  la Dirección del riesgo de no hacerlo.
• Evaluar el impacto de las recomendaciones
  implantadas en la solución de las deficiencias
  observadas o las mejoras producidas.
• Retroalimentar el proceso de control interno de
  la organización.
• Aumentar la eficacia de las auditorías.

27

• EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE
  GARANTICEN EL CUMPLIMIENTO DE LAS
  RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS
• ACEPTACIÓN VOLUNTARIA Y EXPRESA DEL ÓRGANO
  AUDITADO DE LAS RECOMENDACIONES, PUESTA DE
  MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORÍA O
  EN LA FASE DE TRAMITACIÓN DEL INFORME.
• REFERENDO O RÚBRICA DE LAS RECOMENDACIONES POR LA
  AUTORIDAD COMPETENTE PARA IMPONERLAS.
• SUPERVISIÓN Y SEGUIMIENTO DE SU IMPLANTACIÓN.

28

• EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE
  AUDITORÍA UNO RELATIVO A AUDITORÍAS DE
  SEGUIMIENTO
• OS OBJETIVOS DE ESTAS AUDITORÍAS SERÁN LOS
  INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL
  SEGUIMIENTO.
• LA VERIFICACIÓN DEBE HACERSE SOBRE TODAS LAS
  RECOMENDACIONES, AUNQUE ÉSTAS PUEDEN PRIORIZARSE.

29
SNCI TITULO V SISTEMAS DE INFORMACIÓN Y AUDITORÍA
DE SISTEMAS
CARTAGENA DE INDIAS Mayo, 2008
30
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
APARTADO 17
APARTADO 17.1
INTRODUCCIÓN Y SINOPSIS

• La Administración Tributaria (AT) es una
  organización compleja, cuya actividad se
  desenvuelve mediante procedimientos
  automatizados, acordando una gran relevancia a
  las tecnologías de la información y de las
  comunicaciones. La organización debe supervisar
  el desempeño de los sistemas de información.
• Para desarrollar en la AT una actividad de
  auditoría completa y en profundidad, el OAI
  necesita disponer de un área de auditoría de
  sistemas de información, cuyo plantilla esté
  compuesta por especialistas, auditores de
  sistemas de información, que ejecuten actuaciones
  alineadas con el resto de actividades de
  auditoría del OAI.

31
EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (1)

• La auditoría de sistemas de información,
  auditoría informática o auditoría de sistemas es
  un tipo de auditoría consistente en el examen de
  los sistemas de información y de los centros de
  proceso de datos, instalaciones y unidades
  informáticas de las organizaciones, con objeto de
  facilitar la consecución de los objetivos que
  persiguen, tanto los del área informática como,
  primordialmente los del conjunto de la
  organización .

32
EPÍGRAFE 17.2.1
DEFINICIÓN
DEFINICIÓN (2)
La auditoría de sistemas de información persigue
propiciar con sus actuaciones - El
establecimiento y mantenimiento de sistemas de
gestión de la seguridad. - La reducción de los
riesgos inherentes a la utilización de los
sistemas de información. - El incremento de la
confianza de los usuarios internos y externos en
los sistemas de información.
33
DEFINICIÓN
EPÍGRAFE 17.2.1
DEFINICIÓN (3)

• Son objeto de la auditoría de sistemas de
  información
• Las auditorías consistentes en la revisión y
  evaluación de los sistemas automáticos de
  procesamiento de la información.
• Las que se ocupan de los procedimientos no
  automáticos relacionados con ellos y de los
  interfases correspondientes. Por ejemplo, en el
  ámbito tributario
• La dirección de las instalaciones y unidades
  informáticas.
• La adquisición de bienes y servicios
  informáticos.
• La gestión de los contenidos residentes en la
  Intranet corporativa y en el portal Internet de
  la organización.
• Las actividades de mejora de la calidad en la
  entrada de datos.

34
EPÍGRAFE 17.2.2

• Varios factores han impulsado la demanda de una
  mayor supervisión y control de los sistemas de
  información
• Las amenazas a la seguridad informática, en un
  marco de sistemas de información cada vez más
  abiertos por la utilización de Internet y la
  interconexión de redes.
• La protección de los derechos de los ciudadanos,
  en el ámbito de la sociedad de la información y
  del gobierno electrónico.
• La fiabilidad de la información ofrecida por las
  empresas, que requieren una comprobación de
  aquellos procesos que elaboran y comunican los
  resultados conseguidos.

35
EPÍGRAFE 17.2.3
FUNCIONES
FUNCIONES DE LA AUDITORÍA DE SI (1)

1. Velar por la eficacia y eficiencia del sistema
   informático, de forma que éste alcance con el
   menor coste posible los objetivos.
2. Verificar el cumplimiento de las normas y
   estándares vigentes en la organización (leyes de
   firma electrónica, de protección de datos de
   carácter personal, de propiedad intelectual del
   software, etc.).
3. Supervisar el control interno ejercido sobre los
   sistemas de información conducente a la
   protección de los activos de información de
   información de la organización recursos humanos,
   locales e instalaciones, infraestructuras
   tecnológicas, sistemas y aplicaciones,
   información tributaria.

36
FUNCIONES
EPÍGRAFE 17.2.3
FUNCIONES DE LA AUDITORÍA DE SI (2)

1. Verificar la calidad de los sistemas de
   información de la organización y proponer mejoras
   de los mismos, coherentes con el proyecto de
   calidad adoptado por la organización
   (cumplimiento de normas de calidad o modelo de
   excelencia en gestión).
2. Comprobar e impulsar la seguridad de los sistemas
   de información.

37
EPÍGRAFE 17.2.3
FUNCIONES

1. Comprobar el cumplimiento de los requerimientos
   de negocio de la información, es decir las
   propiedades que la información debe tener para
   optimizar su utilización por la organización.
2. Analizar la gestión de los riesgos asociados a
   los sistemas de información, proponiendo la
   adopción de medidas que mejoren el sistema de
   análisis y gestión de los riesgos informáticos, o
   que conduzcan a que los riesgos sean mitigados,
   eliminados, compartidos o aceptados por la
   organización.

38
EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA
EJEMPLOS (1)

• Objetivos del SI de la Administración Tributaria
• Asegurar la continuidad del servicio prestado por
  el Centro Informático de la AT y por tanto la
  atención a los usuarios.
• Elaborar aplicativos de depuración y de análisis
  de la información patrimonial capturada por la
  organización, que faciliten el cobro voluntario y
  compulsivo y, en general, la labor de los
  recaudadores, minimizando el riesgo recaudatorio.
• Garantizar la seguridad de los SI de la
  organización, estableciendo un entorno de control
  que incorpore medidas técnicas eficaces y una
  revisión sistemática de las autorizaciones
  concedidas y de los accesos registrados.

39
EPÍGRAFE 17.2.4
AUDITORÍA DE SI EN LA ADMINISTRACIÓN TRIBUTARIA

• Programas de auditoría de SI en la Administración
  Tributaria
• El programa de auditoría de SI que se ocupa de la
  continuidad del servicio puede estar compuesto en
  la AT de las siguientes actuaciones
• Una actuación en el entorno de explotación y
  comunicaciones del Centro Informático.
• Una actuación sobre las condiciones de seguridad
  y accesibilidad de la modalidad de teletrabajo
  implantada por la organización para los agentes
  tributarios desplazados.
• Una actuación sobre la infraestructura
  tecnológica de la plataforma Internet, ubicada en
  el Centro Informático de la AT.

40
EL AUDITOR DE SISTEMAS DE INFORMACIÓN

• La auditoría de sistemas de información es una
  actividad diferenciada.
• El auditor de sistemas de información o auditor
  informático es un auditor especialista.
• La característica principal del auditor de
  sistemas de información es su capacidad para
  alcanzar y fundamentar evidencias de auditoría en
  un contexto real de utilización de las
  tecnologías de la información.

41
EL AUDITOR DE SISTEMAS DE INFORMACIÓN

• Debido a la complejidad de los modernos sistemas
  de información y a la necesidad de tener amplios
  conocimientos del área de negocio, el auditor de
  sistemas de información trabaja en equipo
• Con profesionales de distintos perfiles técnicos
  que cubran áreas funcionales informáticas
  diferentes (sistemas, desarrollo,
  comunicaciones).
• Con una planificación muy elaborada de las
  actuaciones, plasmada en guiones minuciosos.
• En algunas actuaciones con la colaboración
  técnica del propio personal auditado o de
  terceros no interesados directamente en la
  actuación.

42
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (1)

• Conocimientos, proporcionados a su grado de
  responsabilidad, sobre la organización en la que
  desarrolla su actividad
• La misión, estrategia, políticas y objetivos de
  la organización.
• La estructura y funcionamiento de la
  organización.
• Los principales procesos de negocio, y las normas
  y disposiciones que les afectan.

43
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (2)

• Manejo con soltura del marco profesional para la
  práctica de la auditoría interna
• Los modelos y principios de auditoría, como la
  supervisión del control interno (Informe COSO I)
  y la gestión de riesgos (Informe COSO II).
• Las normas y estándares que regulan en la
  organización el proceso de auditoría y el proceso
  de seguimiento de las recomendaciones.
• Los códigos de conducta aplicables, como puede
  ser el Código de Ética del Instituto
  Internacional de Auditoría Interna.

44
CONOCIMIENTOS BÁSICOS DEL AUDITOR DE SI (3)

• Conocimientos sólidos en materia de tecnologías
  de la información y de las comunicaciones
• Conocimientos de materias TIC generales
  (infraestructuras prácticas operacionales
  organización, desarrollo e implementación de los
  SI, etc.).
• Conocimientos de materias relacionadas
  directamente con la seguridad de los sistemas de
  información (protección de activos de
  información, continuidad del negocio).
• Conocimientos de materias relacionadas
  directamente con la auditoría y el control de los
  sistemas de información (metodologías de análisis
  y gestión de riesgos, marcos referenciales,
  herramientas de auditoría, etc.).

45
ESTRATEGIAS PARA LA SELECCIÓN DE LOS AUDITORES DE
SI

• Lo relevante de cualquier estrategia es conseguir
  una unidad o equipo equilibrado en cuanto a
  formación, experiencia y especialización de sus
  miembros y jefes. Dos de las posibles opciones
  son las siguientes
• A.- Incorporar al OAI a empleados públicos, que
  posean una certificación en vigor como auditores
  de sistemas de información, o, en su defecto, que
  dispongan de las condiciones para obtenerla en un
  plazo razonable.
• B.- Contratar a profesionales externos de
  auditoría de sistemas de información, para que
  pasen a ejercer esta función en la Administración
  Tributaria como auditores internos en el OAI,
  siempre que esta contratación sea compatible con
  el estatus de los auditores internos.

46
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI

• Los auditores de sistemas de información deben
  formar parte de los órganos especializados de
  control, supervisión o auditoría interna de las
  organizaciones.
• Funciones generales
• El ejercicio de la supervisión del control
  interno y del análisis y gestión de los riesgos,
  en relación con los sistemas de información y con
  los sistemas informáticos de la organización.

47
FUNCIONES DEL AUDITOR INFORMÁTICO EN EL OAI
EPÍGRAFE 17.3.6
EL OAI Y LOS AUDITORES DE SI

• La realización de auditorías totales o parciales
  de los sistemas de información de la
  organización.
• La colaboración con otros equipos de auditoría en
  actuaciones generales de auditoría interna.
• La participación en la función de consultoría y
  asesoramiento que presta el órgano especializado
  de control interno a la organización.

48
PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
METODOLOGÍA Y ESTÁNDARES

• Utilización de metodologías, instrumentos y
  procedimientos operativos propios.
• En la planificación de las auditorías
  informáticas Empleo de marcos referenciales para
  la declaración de los objetivos del control.
• En el desarrollo de las auditorías informáticas
  empleo de herramientas de auditoría específicas.

49
PROCEDIMIENTOS DE LA AUDITORÍA DE SI
EPÍGRAFE 17.4.1
FUENTES DE LAS METODOLOGÍAS Y ESTÁNDARES

• Los organismos internacionales que se ocupan del
  control y de la auditoría de SI son fuente de
  fuente de estándares
• ISACA - Asociación de Auditoría y Control de
  Sistemas de Información
• ISO Organización Internacional para la
  estandarización.
• NIST Instituto Nacional de Estándares y
  Tecnología de los Estados Unidos.

50
EPÍGRAFE 17.4.2
REPERTORIO DE CONTROLES
DEFINICIÓN

• La auditoría de sistemas de información hace un
  uso frecuente de marcos de referencia para
  describir los sistemas de información, con el
  objetivo de independizarse de la tecnología
  subyacente, de forma que el modelo propuesto sea
  utilizable para diferentes organizaciones (COBIT,
  ITIL).
• Algunos de estos marcos de referencia están
  especialmente orientados hacia la descripción
  sistemática del control que debe ser ejercido en
  los sistemas de información, consiguiendo
• Simplificar la tarea de planificación.
• Facilitar la labor de supervisión del guión de
  auditoría y del resto de instrumentos de
  planificación.

51
REPERTORIO DE CONTROLES
EPÍGRAFE 17.4.2
COBIT (3)

• Elementos de COBIT
• El marco referencial adoptado por COBIT tiene un
  propósito general. Por tanto, los objetivos de
  control se refieren a todos los recursos de las
  tecnologías de la información
• Aplicaciones, Información, Infraestructuras y
  Personas.
• y a todos los dominios en que pueden clasificarse
  las actividades de las organizaciones
  relacionadas directamente con las tecnologías de
  la información
• Planificación y Organización, Adquisición e
  Investigación, Entrega y Soporte, Monitoreo.

52
AUDITORÍA DE SI Y HERRAMIENTAS DE AUDITORÍA
EPÍGRAFE 17.4.3

• Actividades de monitoreo y supervisión es muy
  común en los centros informáticos.
• Los profesionales informáticos que manejan estos
  instrumentos son especialistas que deben conocer
  en profundidad el producto y realizar operaciones
  con él, en muchos casos en tiempo real.
• Los auditores de sistemas de información utilizan
  también en sus actuaciones de auditoría
  herramientas de hardware y utilidades de software
  de distintas características para verificar los
  sistemas informáticos.
• Por ejemplo, comprueban si el cifrado de las
  comunicaciones y la configuración de seguridad de
  los equipos coincide con las directrices de
  seguridad informática de la organización.

53
TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.1
TIPOS DE ACTUACIONES (1) DE AUDITORÍAS DE
SISTEMAS DE INFORMACIÓN

1. La auditoría de la organización y gestión de los
   departamentos informáticos o centros de proceso
   de datos de una organización.
2. La auditoría de la seguridad física y lógica del
   sistema de información de una organización.
3. La auditoría parcial de un área tecnológica.
4. La auditoría de cumplimiento por el sistema de
   información de normas y regulaciones.
5. La auditoría destinada a supervisar el control
   interno o la gestión de riesgos del sistema de
   información.
6. La auditoría de la contratación de bienes y
   servicios informáticos.

54
EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIÓN
EPÍGRAFE 17.5.3
SISTEMA DE CONTROL INTERNO

• El control más efectivo es el que está ligado
  directamente a la actividad de la organización.
  La Administración Tributaria tiene establecidos
  controles en los sistemas de información,
  integrados en el sistema de control interno
  corporativo. Los controles pueden ser de dos
  tipos
• Controles destinados a monitorizar el
  funcionamiento del propio sistema de información,
  coadyuvando a su mejora.
• Controles dedicados al seguimiento y a las tareas
  de prevención de riesgos y detección de
  incidencias en las diversas áreas de negocio de
  la organización.

55
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (1)

• Este tipo de actuaciones de auditoría presuponen
  implícitamente la existencia de un sistema de
  control interno que monitorea y supervisa las
  actividades auditadas, en el que participa la
  organización en su conjunto.
• El proceso de supervisión del control interno es
  el siguiente
• En primer lugar y durante la fase de
  planificación, el auditor informático obtiene, si
  no cuenta previamente con él, un conocimiento
  suficiente de la organización
• Objetivos, estándares y procedimientos, procesos
  y planificación de las instalaciones y unidades
  de informática.

56
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PROCESO DE SUPERVISIÓN DEL CONTROL INTERNO (2)

• Recursos humanos y materiales.
• Significado y estructura de los datos.
• En segundo lugar, el auditor informático
  identifica los controles establecidos en el
  sistema de información que deberían estar
  asociados a los riesgos relevantes.
• En tercer lugar y durante el desarrollo de la
  auditoría, el auditor informático evalúa el
  control interno ejercido por la organización para
  obtener dos resultados principales.
• Una adecuación del Plan anual de Actuaciones a
  los conocimientos adquiridos, insistiendo en los
  riesgos no eliminados o no mitigados
  convenientemente.
• La propuesta de mejoras para hacer más eficaz el
  control.

57
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
PRUEBAS DE AUDITORÍA

• Durante el desarrollo de la auditoría, el auditor
  informático efectúa pruebas de los distintos
  controles habilitados en los procesos de la
  organización, en particular
• Repite la ejecución de las pruebas y controles
  programados por el sistema de control interno, en
  principio por medios alternativos.
• Verifica la efectiva implantación y la seguridad,
  tanto del hardware como del software.
• Realizando pruebas adicionales si los resultados
  obtenidos no son concluyentes.

58
ACTUACIONES DE SUPERVISIÓN DEL CONTROL INTERNO
EPÍGRAFE 17.5.4
TIPOS DE PRUEBAS DE AUDITORÍA

• Pruebas de cumplimiento
• Determinan si los controles están establecidos y
  si están siendo aplicados adecuadamente, es decir
  de una forma que cumple con las políticas y
  procedimientos establecidos en la organización.
• Pruebas sustantivas
• Persiguen la comprobación de los resultados
  obtenidos por el control y evalúan por tanto de
  esta forma directamente la eficacia del control.
• Las pruebas de cumplimiento suelen realizarse
  antes que las pruebas sustantivas. Si de las
  primeras se obtiene una evidencia suficiente de
  que el control esta establecido y es adecuado,
  probablemente se habrán alcanzado los objetivos
  de la auditoría. Si las pruebas de cumplimiento
  no son determinantes, se llevarán a cabo pruebas
  sustantivas adicionales.

59
OBJETIVO DEL PROYECTO
EPÍGRAFE 17.6.1
IMPLANTACIÓN DE UNA UNIDAD DE AUDITORÍA
INFORMÁTICA EN EL OAI

• Las funciones de la unidad son las encomendadas a
  la auditoría de sistemas de información en las
  organizaciones, reflejadas en el Epígrafe 17.2.3,
  del Sistema de Control Normado y especialmente
  las de
• Supervisar el control interno de los sistemas de
  información.
• Desarrollar actuaciones de auditoría en el área
  informática de la organización.
• Colaborar en las actuaciones del resto de
  unidades del OAI, de acuerdo con su particular
  especialización.
• La unidad aplicará en sus actuaciones la
  siguiente metodología
• Los métodos y procedimientos generales del OAI.
• Los específicos de la auditoría de sistemas de
  información.