Académique Documents
Professionnel Documents
Culture Documents
Auditora: Conceptos
Control Interno Conjunto de mtodos coordinados y medidas adoptadas dentro de una organizacin con el fin de: Salvaguardar activos,
Auditora: Conceptos
El Control Interno se instrumenta a partir de: a) Funciones Preventivas Polticas Gerenciales Misiones y Funciones Esquemas de organizacin Normas y procedimientos Polticas de personal Etc. b) Funciones de Control/Verificacin La funcin de lnea, en todos sus niveles (control operativo) La funcin staff (auditora)
Sistema Operante
Sensor
Grupo Activante
Grupo de Control
Auditora: Conceptos
Auditora
Es una funcin de control independiente del sistema controlado, que en forma sistemtica y organizada debe: Comparar la caracterstica o condicin controlada, con respecto a las pautas, normas o elementos utilizados para medirla. Es decir comparar el objeto con respecto al sensor. Determinar los desvos, e Informar a quien ordena o contrata la auditora, que jerrquicamente debe estar por encima del sistema auditado.
Auditora: Conceptos
Tecnologa Informtica (Oferta) Hardware y Software Tecnologa de Comunicaciones y Base de datos Metodologa para la construccin de aplicaciones.
APLICACIONES
Sistemas de Informacin (Demanda) Necesidades de Informacin Requerimientos del Negocio
Control OBjectives for Information and Relatives Technologies I.S.A.C.A. ( Information System Audit Control Association)
Establece una gua metodolgica estndar para la evaluacin y comprobacin de actividades de Control Interno, en el campo especfico.
Requerimientos de la informacin del negocio: Calidad, Costo y Entrega. Requerimientos Fiduciarios: Efectividad y Eficiencia operacional, Confiabilidad de los reportes financieros y Cumplimiento le leyes y regulaciones. Requerimientos de Seguridad: Confidencialidad, Integridad y Disponibilidad
Anlisis de Riesgos
Riesgo de Auditora
Es el riesgo que tiene un auditor como consecuencia de no haber detectado durante la revisin practicada las fallas o irregularidades que, al ser conocidas, le hubieran hecho modificar el dictmen del informe y las recomendaciones asociadas.
La auditora debe ser planeada y para ello es imprescindible una debida evaluacin y categorizacin de riesgos para priorizar los casos asignar recursos y aplicar los procedimientos de auditora ms convenientes.
Anlisis de Riesgos
Componentes del riesgo de Auditora
Riesgo inherente: aquel que es propio de la actividad del ente o sistema, su naturaleza, estructura, actividad, magnitud, etc. Est fuera de poder ser controlado por el auditor como para poder eliminarlo. Riesgo de Control: son los que resultan de un sistema de control deficiente, incapaz de evitar o detectar fallas o irregularidades en forma oportuna.
Est fuera de poder ser controlado por el auditor como para poder eliminarlo, pero sus recomendaciones deben contribuir a reducirlo.
Riesgo de Deteccin: son los que resultan de un deficiente planeamiento y/o ejecucin de la auditora, sea tanto en la evaluacin y categorizacin de los riesgos, como en la seleccin y/o aplicacin de los procedimientos de auditora. Es del mbito y tarea exclusiva del auditor.
Anlisis de Riesgos
Evaluacin y Categorizacin del Riesgo
Es la actividad que tiene como propsito medir el nivel de riesgo que presenta cada caso objeto de auditora. Es altamente subjetiva. Depende del criterio, capacidad y experiencia del auditor. Constituye la base del plan de actividades, determinando el alcance y oportunidad de la revisin, as como tambin del procedimiento de auditora a emplear. Existen mtodos para reducir el nivel de subjetividad en la evaluacin y categorizacin de los riesgos. Los mtodos establecen pautas y procedimientos para la evaluacin.
Anlisis de Riesgos
Metodologa de Anlisis
Pautas de Nivel Macro Apoyan la fase del planeamiento que hace a un plan global del mbito informtico, determinando los sistemas y/o reas de mayor riesgo Pautas de Nivel Micro Se orientan a un subsistema o tarea puntual, que debieran mitigar o eliminar los riesgos y determinar los procedimientos de auditora.
Anlisis de Riesgos
Nivel Macro
Identificar los factores de Riesgo
Sistema de Control Nivel de Sensibilidad - Complejidad Cambios Materialidad
Calcular y Evaluar Factores de Riesgo de cada proyecto de auditora Determinar las prioridades de los proyectos en base a los riesgos Proyectos priorizados conforme a los resultados obtenidos
Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores Reflejan la opinin acerca del funcionamiento del sistema de control interno en el rea o sistema considerado Un buen recurso para su tratamiento lo constituye el considerar determinados indicadores como ser: Participacin de los niveles gerenciales en la poltica de seguridad Polticas de seguridad del entorno informtico Separacin de funciones y controles Nivel de cumplimiento de las normas y procedimientos Oportunidad en la deteccin de errores Oportunidad en la solucin de problemas Experiencia del personal (analistas, programadores, operadores, usuarios) Nivel de confiabilidad de los sistemas Grado de sensibilidad de las reas y/o sistemas considerados en cuanto a su gravitacin en os objetivos del ente o bien en cuanto a la adaptacin de los mismos frente a las variantes del entorno. Un buen recurso para su tratamiento lo constituye la disponibilidad de estadsticas que reflejen el comportamiento de indicadores como ser: Probabilidad de ocurrencia de errores Quejas de usuarios y del pblico Porcentajes de errores Porcentaje de decisiones errneas Grado de sensibilidad del sistema respecto a variables exgenas
Sistema de Control
Nivel de Sensibilidad
Anlisis de Riesgos
Nivel Macro: Factores de Riesgo
Factor Parmetros o Indicadores Persigue evaluar el nivel potencial de errores que se pueden producir como consecuencia de las variables interactuantes, como ser: Naturaleza de las actividades Nivel de actividad Alcance y grado de automatizacin Entorno funcional y tecnologa utilizada Modalidad operativa (centralizada, descentralizada, distribuda, en lnea, en tiempo real, etc.) Desarrollo y mantenimiento de sistemas Dispersin geogrfica, conexiones locales y/o remotas Cambios y su reiteracin en el tiempo que se producen respecto a aspectos organizacionales, estructurales, de personal, sistemas de informacin, etc. Entre los indicadores estn: Nivel y frecuencia de rotacin del personal Frecuencia de reestructuraciones Nivel de crecimiento/reduccin de personal Cantidad de modificaciones e implantacin de nuevos sistemas Importancia del proyecto en trmino de magnitudes: costo, personas, recursos. A mayor materialidad, mayores riesgos
Complejidad
Cambios
Materialidad
0,75 1 0,75 0,75 0,5 1,25 2 0,5 0,4 0,4 0,4 0,3 3 0,6 0,6 0,15 0,9 0,6 0,15 4 0,6 0,8 0,6 0,6 0,6 0,8 1
Anlisis de Riesgos
Nivel Micro
La evaluacin a nivel Micro se utiliza para:
Diseo de controles para los SI Comparar controles que presentan distintos tipos de Software Auditora de Sistemas Consiste en: Desarrollar los objetivos del control Establecer prioridades de seguridad y confiabilidad Seleccionar salvaguardas y controles para mitigar o eliminar las amenazas, y por lo tanto la prdida o exposicin resultante.
Anlisis de Riesgos
Nivel Micro: Proceso de Evaluacin
ETAPA 1 Definicin del Objeto a auditar
ETAPA 2
Con qu asiduidad?
ETAPA 3
Magnitud de la prdida
ETAPA 4
Qu Hacer?
ETAPA 5
Seleccin de salvaguardas/controles
ETAPA 6
Justificacin de Controles
Costo/Beneficio
NO
OK?
SI
Etapas clave Conocimiento del negocio Evaluar Riesgos Controles Fsicos y Lgicos Controles gerenciales
Estrategia de Auditora
Revisiones de Auditora
Auditora del Plan Estratgico de Sistemas
Objetivo de Control El Plan de sistemas contempla las necesidades organizaciones y el crecimiento del negocio y se encuentra adecuadamente aprobado por la direccin y es peridicamente revisado ante cambios en la planificacin de la organizacin.
Riesgos Asociados Los sistemas no responden a las necesidades de la organizacin. Inflexibilidad de los sistemas ante nuevos requerimientos organizacionales. Desvinculacin entre los distintos sistemas. Comportamiento desordenado y errtico en el desarrollo y adquisicin de aplicaciones. Desconocimiento de la existencia o alcance del plan por parte de las distintas reas organizacionales. La asignacin de recursos no es la adecuada dado la dimensin del proyecto.
Verificaciones a Realizar Existencia de un plan formalizado y aprobado por el nivel mximo de la organizacin. Verificacin de la actualizacin peridica del plan. Revisin de la documentacin del directorio (actas de reuniones, instrucciones de la direccin, existencia de un responsable de la formulacin, etc. Los cambios de los proyectos impactan en el plan de sistemas.
La habilidades propias del negocio no se encuentran apoyadas por los nuevos sistemas.
En la documentacin de los requerimientos se identifican las habilidades principales que distinguen a la empresa.
Se ha previsto que el o los sistemas sean parametrizables y flexibles para adaptarse a los cambios.
Se ha previsto el alcance e impacto del proyecto como as tambin las consecuencias del fracaso del mismo.
Revisin de la especificacin
Revisin de la Entrega
Objetivo de Control La instalacin del Hardaware necesario se cumpliment en tiempo y forma. La instalacin de software de base se cumplimento en tiempo y forma Todos los parmetros de funcionamiento se encuentran adecuadamente definidos.
Riesgos Asociados Existen demoras en la implementacin debido a que el hardaware no est disponible en tiempo y forma establecidos. Existe demoras en la instalacin debido a que no se ha realizado la instalacin del software de base o el mismo est mal instalado. Existen parmetros no definidos que provocan el mal funcionamiento del sistema. La definicin de los parmetros no es la adecuada y provoca el malfuncionamiento del sistema.
Verificaciones a Realizar Se ha establecido un plan de instalacin del hardware acorde con los tiempos establecidos para el proyecto. Se ha establecido un plan de instalacin del software de base y se han contemplado los requerimientos establecidos por el proveedor. Los parmetros han sido adecuadamente establecidos y los usuarios participan en su definicin. Se ha realizado la capacitacin suficiente para la adecuada definicin de los parmetros.
Ingreso de Datos
Los datos ingresados pueden ser imprecisos, incompletos o ingresados ms de una vez
Los datos rechazados y las partidas en suspenso pueden ser no identificadas, analizadas y corregidas
Procesamiento Las transacciones ingresadas para su procesamiento pueden perderse o ser procesadas incorrectamente
Aspectos a Auditar
Plan de Contingencia Integridad (completo) Divulgacin Actualizacin Plan de Recuperacin
Propsito
Brindar conocimientos oportunos y apropiados
Medios
Clara y comprensible identificacin de dificultades y oportunidades de mejora
Persuadir
Lograr aceptacin y Real y persuasivo respaldo de las respaldo de las conclusiones y evidencia de su acciones importancia
Obtener Resultados
Resultados
Se indica: Evidencias y hallazgos claves obtenidos durante la revisin, que sean significativos y que sirvan de base para las conclusiones
Se expone: el diagnstico en funcin de los resultados obtenidos. Ordenar: problema y causalidad (causa-efecto) Incluir siempre opinin del personal auditado. Cursos de accin que se estimen pertinentes. Importante: participacin del personal auditado Incluir: El detalle que respalda los hallazgos y explica el mtodo empleado.
Conclusiones
Recomendaciones Anexos
Preciso
Para Pensar
Bibliografa
Material de la Ctedra Alberto R Lardent Sistemas de Informacin para la Gestin Empresaria Procedimiento, Seguridad y AuditoraPrentice HallBrasil 2001