1

AUDITORÍA Y

SEGURIDADCURSO

Capítulo 05 – Definición de

Auditoría de Sistemas

Teoría

2

Objetivo de Sesión• Definición

• Características

• Riesgos

• Tipos y clasificación

• Justificación

• Objetivos

• Perfil

• Rol

• Conclusiones y Preguntas

Profesor: Oscar Gómez Marín 3

¿Qué es la Auditoría de Sistemas?

Es el examen crítico que se realiza concarácter objetivo con el fin evaluar laeficiencia y eficacia de la utilización de losrecursos informáticos y de la gestióninformática de un período determinado encumplimiento de los objetivos del negocio

4

OBJETIVA

Es la medida en que considera que el auditor debe mantener una

actitud inteligente, respecto de las actividades a examinar en la

entidad; en función de los objetivos de auditoria.

SISTEMÁTICA Y PROFESIONAL

Porque responde a un proceso que es debidamente planeado y

porque debe ser desarrollada por profesionales idóneos y

expertos, sujetos a normas profesionales y al código de ética

profesional.

CONCLUYENTE

Termina en un informe escrito, en cuyo contenido se presentan

los resultados del examen realizado, incluyendo observaciones,

conclusiones y recomendaciones.

CARACTERISTICAS DE UNA AUDITORIA

5

RIESGO DE AUDITORÍA

El riesgo de que el auditor emita inadvertidamente una opinión

de auditoría sin salvedad sobre los hechos que contengan

errores e irregularidades de importancia relativa.

Ejemplo: Que el auditor emita una opinión sin las

evidencias completas a los auditados sobre un hecho en

proceso de investigación

RIEGO DE CONTROL

El riesgo de que los controles internos no prevengan, no

detecten ni corrijan oportunamente los errores e

irregularidades significativos que puedan ocurrir.

Ejemplo: De un S.I. de 20 controles, selectivamente se

evalúan 6, los cuales al final de la evaluación de dichos

control no son significativos

RIESGOS EN UNA LABOR DE AUDITORÍA

6

RIESGO INHERENTE

La posibilidad de que ocurran errores o irregularidades

significativas, sin considerar en efecto de control interno.

Ejemplo: La posibilidad de que un saldo de una cuenta o

una transacciones hayan sufrido distorsiones por

problemas de sectores físico del almacenamiento

RIESGO DE DETECCIÓN

El riesgo de que nuestros procedimientos sustantivos de

auditoría no detecten errores o irregularidades significativas.

Ejemplo: Los procedimientos de los programas de

auditoria planificado durante su desarrollo no detectan

evidencias significativas

RIESGOS EN UNA LABOR DE AUDITORÍA

7

RIESGO MUESTRAL

Riesgo que surge de la posibilidad de que las conclusiones del

auditor, basadas en muestras, pueden ser diferentes de las

conclusiones a que habría llegado si la población muestral

completa hubiera sido sometida al mismo procedimiento de

auditoría.

Ejemplo: En la empresa ABC de los 25 sistemas solo se

evalúa 5 emitiendo la comisión un juicio sobre todos ellos al

final un juicio que puede ser no significativo que si se

hubieran verificado todos los SI

RIESGOS EN UNA LABOR DE AUDITORÍA

8

TIPOS Y CLASIFICACIONES DE

AUDITORIAS DE SISTEMAS

9

JUSTIFICACIÓN DE UNA AUDITORÍA

DE SISTEMAS• Aumento considerable e injustificado del presupuesto e

inversiones del Área de Informática, sin la obtención deresultados favorables.

• Desconocimiento de la alta dirección sobre la situacióninformática de la empresa y carece de tiempo para podereducarse en áreas técnicas

• Descubrimiento de fraudes, robos, estafas electrónicos.

• Falta de organización y planificación informática

• Área de informática que no funciona eficientemente y nogenera independencia a otras áreas

• Descontento de las áreas usuarios sobre las TICimplementadas

• Documentación incompleta o faltante de los sistemas enexplotación que limita efectuar un mantenimiento oportuno.

• Evaluación y resultados de la tercerización (outsourcing)

• Otras que estén debidamente justificadas.

10

OBJETIVOS DE UNA AUDITORIA DE SISTEMAS

• Evaluar la relación costo-beneficio de las TICimplementados

• Evaluar la satisfacción de las necesidades de los usuariossobre las TIC utilizadas en la organización.

• Verificación de la integridad, confidencialidad yconfiabilidad de la información registrada y procesada porlos sistemas de información.

• Establecer la situación del área de informática, lasactividades y esfuerzos realizados para el logro de losobjetivos propuestos.

• Verificar la seguridad de personal, controles, datos,hardware, software e instalaciones.

• Verificar si existen de riesgos en el uso de tecnología deinformación y comunicaciones.

• Evaluar las decisiones de inversión y gastos.

11

Es el profesional de ingeniería de sistemas oafín que pone a disposición de la labor deauditoria sus conocimientos de informática yexperiencia profesional aplicando técnicas yherramientas según el caso lo requiera

Las actividades típicas donde el auditor desistemas se desarrolla se pueden clasifican en:• Auditoría a la Gestión del Área de Informática.

• Auditoría informática de sistemas

• Auditoría informática de explotación

• Auditoría informática de comunicaciones

• Auditoría informática de desarrollo

• Auditoría informática de seguridad

• Apoyo a los auditores no informáticos

EL AUDITOR DE SISTEMAS ?

12

PERFIL DEL AUDITOR DE SISTEMAS (1)

- Profesional de la especialidad de ingeniería de sistemas o afín

- Habilidad para investigar un hecho y documentar su trabajo

- Experiencia en el área de sistemas

- Conocimiento de herramientas TAAC

- Capacidad de trabajar en equipo con profesionales y técnicos dediferentes especialidades

- Habilidad para comunicarse con las personas de las áreasauditadas

- Conocimientos de normatividad y procedimientos de auditoria

- Conocimientos de técnicas de análisis de riesgo aplicado a laauditoria de sistemas de información

- De preferencia con años de experiencia en control

- Deseable contar con certificaciones de auditoria

y horas de capacitación en auditoria.

(1) Debido a la característica cambiante del ambiente del área de sistemas, producto en mucho de los casos por la

continua incorporación de nuevas tecnologías, es necesario que el Auditor de Sistemas este en permanente proceso de

capacitación, perfeccionamiento y actualización.

13

ROL DEL AUDITOR DE SISTEMAS (*)

• Revisar documentación de su competencia.

• Validar hechos que hagan daño a la Organizacióny estrategias para reducirlos a través de lasrecomendaciones.

• Responder al nivel de participación en una laborde auditoria.

• Preparar, revisar y modificar el programa deauditoria en caso de ser necesario.

• Verificación y evaluación de controles

(*) Rol.- Conjunto de funciones que definen la conducta social del individuo y que le sonexigidos por la sociedad para reforzar su capacidad de integración (“La Enciclopedia” -Salvat Editores S.A. 2004 Pag. 13521)

14

Conclusiones

• Conocer la definición de auditoria de

sistemas

• Conocimiento de riesgos en una labor

de auditoria

• Tipos y clasificación de la auditoria de

sistemas

• Conocer los objetivos y justificación

de una auditoria de sistemas

• Conocer la importancia del auditor de

sistemas, el rol y perfil necesario

15

Preguntas ..?

• …….

• …….

• …….

• …….

• …….

• …….