EUROsociAL

SNCI
TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS
Cartagena de Indias Mayo, 2008
2

Presentacin y sinopsis. Captulos 13, 14, 15, 16 y 17. Comunicacin de los resultados. El informe. Seguimiento de la Auditora. El sistema de Informacin de la Administracin Tributaria. Seguridad de la Informacin. Auditora de Sistemas de Informacin.

EL INFORME DE AUDITORIA

HAY UNAS CARACTERSTICAS Y ESTNDARES DE CALIDAD QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN EVIDENCIAS, RECOGIENDO OBSERVACIONES, CONCLUSIO-NES Y RECOMENDACIONES. EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL LECTOR UNA IMAGEN CLARA DE PORQU SE EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.

CONTENIDO DEL INFORME

EL CONTENIDO DEL INFORME PUEDE VARIAR SEGN EL OAI QUE LO ELABORE Y EL TIPO DE TRABAJO. COMO MNIMO DEBE INCLUIR: EL OBJETO, EL ALCANCE Y LOS RESULTADOS DEL MISMO (OBSERVACIONES, CONCLUSIONES Y RECOMENDACIONES)

UN INFORME ESTNDAR, PODRA CONTENER:

Ttulo y nmero de referencia. Introduccin. Objeto de la auditora Alcance Metodologa utilizada. Informe-resumen o informe ejecutivo. Informacin preliminar, antecedentes. Firma y fecha. Observaciones. Conclusiones. Recomendaciones.

Alegaciones, descargos y opinin del rgano auditado. Anexos.

5

INTRODUCCION

DESCRIPCIN DEL RGANO O SERVICIO AUDITADO. CAUSA POR LA QUE SE EFECTA LA AUDITORA ORDEN DE ACTUACIN U ORDEN DE SERVICIO COMPOSICIN DEL EQUIPO DE AUDITORA FECHAS DE INICIO Y FINALIZACIN DE LAS ACTUACIONES.

CARCTER O TIPO DEL INFORME.

DESTINATARIO/S DEL INFORME.

OBJETO
COMUNICACIN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL
SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEALARSE LOS OBJETIVOS GENRICOS DEL PROGRAMA Y LOS ESPECFICOS DEL TRABAJO.

ALCANCE
EL ALCANCE: DELIMITA LA NATURALEZA Y MBITO DE LA AUDITORA.

MBITO TERRITORIAL Y FUNCIONAL DEL RGANO A AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A AUDITAR.
LAS LIMITACIONES AL ALCANCE.
7

METODOLOGIA

FUENTES DE INFORMACIN (ANLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS. BASES DE DATOS DE LAS QUE SE HA INFORMACIN (APLICACIONES ESPECFICAS) OBTENIDO LA

METODOLOGA DE LA TOMA DE MUESTRAS Y GRADOS DE REPRESENTATIVIDAD.

ANTECEDENTES

EXPOSICIONES PERTINENTES DE LOS HECHOS

NO SON JUICIOS DE VALOR.

EXPOSICIONES DE HECHOS SOPORTADAS POR EVIDENCIAS SUFICIENTES, RELEVANTES Y COMPETENTES.

DEBEN PRESENTARSE DE MANERA JUSTA PERSPECTIVA Y CONTEXTO ADECUADOS. Y CON LA

EL INFORME SLO RECOGER LAS MS SIGNIFICATIVAS.

SURGEN DE LA COMPARACIN ENTRE:

CRITERIO (LO QUE DEBE SER)

REALIDAD (LO QUE ES)

CAUSA

Razn de la diferencia.

EFECTOS

Riesgo a que se somete la organizacin debido a las diferencias entre lo que debe ser y lo que es.

10

FORMA DE REFLEJAR LAS EVIDENCIAS:

DEBEN RECOGERSE EN EL INFORME EN FORMA DE CUADROSRESMENES DONDE SE OFREZCAN LOS DATOS AGREGADOS. LOS DATOS DE DETALLE SE INCLUIRN EN UN ANEXO. EN LOS CASOS DE ANLISIS DE ASPECTOS SENSIBLES O DE ALTO RIESGO PARA LA ADMN. TRIBUTARIA, LOS DATOS DE DETALLE PUEDEN INCORPORARSE AL INFORME. EN EL CASO DE ENTREVISTAS CON RESPONSABLES DIVERSOS, SE IDENTIFICAR AL INTERLOCUTOR INCLUYENDO UNA RESEA EN EL CUERPO DEL INFORME Y RESIDENCIANDO EN UN ANEXO EL APOYO/ANTECEDENTE DOCUMENTAL FACILITADO, SI EXISTE. LOS RESULTADOS DE LOS INFORMES JUSTIFICATIVOS SOLICITADOS AL AUDITADO SE INCORPORARN A LOS INFORMES EN UN ANEXO.
11

CONCLUSIONES,OPINIONES Y VALORACIONES DEL AUDITOR SOBRE LAS OBSERVACIONES Y SUS EFECTOS

DEBEN APARECER CLARAMENTE COMO TALES. DEBE INCLUIRSE, SI HA SIDO DETECTADA, LA EXISTENCIA DE ACTOS ILCITOS O DE FRAUDE, O CONDUCTAS IRREGULARES DEL PERSONAL.

SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinin del auditor.

12

RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECFICAS ENCONTRADAS
SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME.
OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.

FECHA Y FIRMA
ANEXOS.

13

INFORME EJECUTIVO

SE PUEDE INCORPORAR COMO PARTE DEL INFORME PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.

14

RECOMENDACIONES
DEBEN SURGIR DE FORMA LGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME. OBSERVACIONES (hechos) CONCLUSIONES (opiniones del auditor) RECOMENDACIONES (hechos) Soluciones a los problemas detectados Mejora del servicio pblico prestado

DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS MBITOS TEMTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A STAS.
15

RECOMENDACIONES

SE DIRIGIR AL RGANO AUDITADIO Y/O SU SUPERIOR JERRQUICO SI LA SOLUCIN ES DE SU MBITO COMPETENCIAL. SE DIRIGIR, ADEMS, AL CENTRO DIRECTIVO U RGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS LTIMOS.

16

RECOMENDACIONES
EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE OBLIGADO CUMPLIMIENTO PARA EL AUDITADO.
EL OAI DEBE SEALAR EN SU INFORME EL GRADO DE OBLIGATORIEDAD QUE DEBERA DARSE A LA RECOMENDACIN EN FUNCIN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE LA CONVENIENCIA DE APLICACIN DE LA MEJORA PROPUESTA. NO OBSTANTE, HAY QUE GARANTIZAR QUE: LA DIRECCIN DE LA ADMINISTRACIN TRIBUTARIA CONOCE LAS RECOMENDACIONES. LA DIRECCIN DE LA ADMINISTRACIN TRIBUTARIA HACE OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO. SE EFECTA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.
17

REQUISITOS DE CALIDAD

PRECISOS OBJETIVOS

CLAROS
CONCISOS CONSTRUCTIVOS COMPLETOS OPORTUNOS ESTANDARIZACION DE INFORMES

18

SUPERVISION DEL INFORME

EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.

19

Las razones que justifican la supervisin:

Asegurando que se han cumplido los objetivos de la auditora. Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos. Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditora. Determinando si las evidencia estn suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones. Comprobando que estandarizacin. se han cumplido las normas de

20

POSIBLES TCNICAS DE SUPERVISIN: Simple lectura del documento.

Contraste del informe con plantillas estandarizados o documentos-gua.

de

informes

Proceso de referencias o indizacin del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboracin

21

TIPOS DE INFORME

SEGN EL TIPO DE AUDITORIA QUE REFLEJAN

SEGN EL MOMENTO DE SU ELABORACIN

ATENDIENDO AL GRADO DE EXTENSIN O CONCRECIN ATENDIENDO AL CARCTER NICO O RECOPILATIVO

22

TRAMITACIN DEL INFORME

DEBE EXISTIR UN PROCEDIMIENTO QUE REGULE LA TRAMITACIN DE LOS INFORMES POSIBLES INFORME. ESPECIALIDADES DEPENDIENDO Y SER DEL TIPO DE POR LA

DEBE ESTAR REGULADO ORGANIZACIN.

CONOCIDO

DEBE CONTAR CON UN PROCEDIMIENTO CONTRADICTORIO.

OPCIONAL: antes de la elaboracin del borrador del informe (reuniones posteriores a la auditora; reunin de presentacin de conclusiones).
OBLIGATORIO: Remisin del borrador para observaciones al rgano auditado o superior jerrquico.
23

DISTRIBUCIN DEL INFORME

DESTINATARIOS PRINCIPALES O NATURALES

DIRECCIN DE LA ADMN TRIBUTARIA COMIT DE AUDITORA (SI LO HUBIESE) RGANOS COLEGIADOS EN MATERIA DE CONTROL, SEGURIDAD O RIESGOS

RGANO AUDITADO

SUPERIOR JERRQUICO Y/O RESPONSABLE DE LA SOLUCIN

OTROS INTERESADOS
OTROS RGANOS DE CONTROL INTERNO O EXTERNO OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS 24

ARCHIVO Y CONSERVACIN DEL INFORME

EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD PARA LA MISMA.

SE RECOMIENDA INFORMATIZADO.

LA

EXISTENCIA

DE

UN

ARCHIVO

LA CONSTITUCIN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIN Y SEGUIMIENTO DE ACTUACIONES.

25

SEGUIMIENTO DE LA AUDITORIA
MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIN LOS OBJETIVOS DEL SEGUIMIENTO SON: Verificar el grado de cumplimiento de las recomendaciones de auditora o la aceptacin por la Direccin del riesgo de no hacerlo. Evaluar el impacto de las recomendaciones implantadas en la solucin de las deficiencias observadas o las mejoras producidas. Retroalimentar organizacin. el proceso de control interno de la

Aumentar la eficacia de las auditoras.

26

EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS:
ACEPTACIN VOLUNTARIA Y EXPRESA DEL RGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORA O EN LA FASE DE TRAMITACIN DEL INFORME. REFERENDO O RBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS. SUPERVISIN Y SEGUIMIENTO DE SU IMPLANTACIN.

27

EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORA UNO RELATIVO A AUDITORAS DE SEGUIMIENTO OS OBJETIVOS DE ESTAS AUDITORAS SERN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO. LA VERIFICACIN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE STAS PUEDEN PRIORIZARSE.

28

SNCI
TITULO V SISTEMAS DE INFORMACIN Y AUDITORA DE SISTEMAS

CARTAGENA DE INDIAS Mayo, 2008

29

APARTADO 17 APARTADO 17.1

AUDITORA DE SISTEMAS DE INFORMACIN

INTRODUCCIN Y SINOPSIS

La Administracin Tributaria (AT) es una organizacin compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologas de la informacin y de las comunicaciones. La organizacin debe supervisar el desempeo de los sistemas de informacin. Para desarrollar en la AT una actividad de auditora completa y en profundidad, el OAI necesita disponer de un rea de auditora de sistemas de informacin, cuyo plantilla est compuesta por especialistas, auditores de sistemas de informacin, que ejecuten actuaciones alineadas con el resto de actividades de auditora del OAI.

30

EPGRAFE 17.2.1

DEFINICIN

DEFINICIN (1)
La auditora de sistemas de informacin, auditora informtica o auditora de sistemas es un tipo de auditora consistente en el examen de los sistemas de informacin y de los centros de proceso de datos, instalaciones y unidades informticas de las organizaciones, con objeto de facilitar la consecucin de los objetivos que persiguen, tanto los del rea informtica como, primordialmente los del conjunto de la organizacin .

31

EPGRAFE 17.2.1

DEFINICIN

DEFINICIN (2)
La auditora de sistemas de informacin persigue propiciar con sus actuaciones:

- El establecimiento y mantenimiento de sistemas de gestin de la seguridad.

- La reduccin de los riesgos inherentes a la utilizacin de los sistemas de informacin. - El incremento de la confianza de los usuarios internos y externos en los sistemas de informacin.
32

EPGRAFE 17.2.1

DEFINICIN

DEFINICIN (3)
Son objeto de la auditora de sistemas de informacin:

Las auditoras consistentes en la revisin y evaluacin de los

sistemas automticos de procesamiento de la informacin.

Las que se ocupan de los procedimientos no automticos

relacionados con ellos y de los interfases correspondientes. Por ejemplo, en el mbito tributario: La direccin de las instalaciones y unidades informticas. La adquisicin de bienes y servicios informticos. La gestin de los contenidos residentes en la Intranet corporativa y en el portal Internet de la organizacin.

Las actividades de mejora de la calidad en la entrada de datos.

33

EPGRAFE 17.2.2

Varios factores han impulsado la demanda de una mayor supervisin y control de los sistemas de informacin:

1) 2) 3)

Las amenazas a la seguridad informtica, en un marco de sistemas de informacin cada vez ms abiertos por la utilizacin de Internet y la interconexin de redes. La proteccin de los derechos de los ciudadanos, en el mbito de la sociedad de la informacin y del gobierno electrnico. La fiabilidad de la informacin ofrecida por las empresas, que requieren una comprobacin de aquellos procesos que elaboran y comunican los resultados conseguidos.

34

EPGRAFE 17.2.3

FUNCIONES

FUNCIONES DE LA AUDITORA DE SI (1)

1) Velar por la eficacia y eficiencia del sistema informtico, de

forma que ste alcance con el menor coste posible los objetivos.

2) Verificar el cumplimiento de las normas y estndares vigentes

en la organizacin (leyes de firma electrnica, de proteccin de datos de carcter personal, de propiedad intelectual del software, etc.).

3) Supervisar el control interno ejercido sobre los sistemas de

informacin conducente a la proteccin de los activos de informacin de informacin de la organizacin: recursos humanos, locales e instalaciones, infraestructuras tecnolgicas, sistemas y aplicaciones, informacin tributaria.
35

EPGRAFE 17.2.3

FUNCIONES

FUNCIONES DE LA AUDITORA DE SI (2)

4) Verificar la calidad de los sistemas de informacin de la

organizacin y proponer mejoras de los mismos, coherentes con el proyecto de calidad adoptado por la organizacin (cumplimiento de normas de calidad o modelo de excelencia en gestin).

5) Comprobar e impulsar la seguridad de los sistemas de

informacin.

36

EPGRAFE 17.2.3

FUNCIONES

6) Comprobar el cumplimiento de los requerimientos de negocio

de la informacin, es decir las propiedades que la informacin debe tener para optimizar su utilizacin por la organizacin.

7) Analizar la gestin de los riesgos asociados a los sistemas de

informacin, proponiendo la adopcin de medidas que mejoren el sistema de anlisis y gestin de los riesgos informticos, o que conduzcan a que los riesgos sean mitigados, eliminados, compartidos o aceptados por la organizacin.

37

EPGRAFE 17.2.4

AUDITORA DE SI EN LA ADMINISTRACIN TRIBUTARIA

EJEMPLOS (1)
Objetivos del SI de la Administracin Tributaria:

Asegurar la continuidad del servicio prestado por el Centro Informtico de la AT y por tanto la atencin a los usuarios.

Elaborar aplicativos de depuracin y de anlisis de la informacin patrimonial capturada por la organizacin, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio. Garantizar la seguridad de los SI de la organizacin, estableciendo un entorno de control que incorpore medidas tcnicas eficaces y una revisin sistemtica de las autorizaciones concedidas y de los accesos registrados.
38

EPGRAFE 17.2.4

AUDITORA DE SI EN LA ADMINISTRACIN TRIBUTARIA

Programas de auditora de SI en la Administracin Tributaria:

El programa de auditora de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones: Una actuacin en el entorno de explotacin y comunicaciones del Centro Informtico.

Una actuacin sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organizacin para los agentes tributarios desplazados.
Una actuacin sobre la infraestructura tecnolgica de la plataforma Internet, ubicada en el Centro Informtico de la AT.
39

EL AUDITOR DE SISTEMAS DE INFORMACIN La auditora de sistemas de informacin es una actividad diferenciada. El auditor de sistemas de informacin o auditor informtico es un auditor especialista.

La caracterstica principal del auditor de sistemas de informacin es su capacidad para alcanzar y fundamentar evidencias de auditora en un contexto real de utilizacin de las tecnologas de la informacin.

40

EL AUDITOR DE SISTEMAS DE INFORMACIN

Debido a la complejidad de los modernos sistemas de informacin y a la necesidad de tener amplios conocimientos del rea de negocio, el auditor de sistemas de informacin trabaja en equipo:

Con profesionales de distintos perfiles tcnicos que cubran reas funcionales informticas diferentes (sistemas, desarrollo, comunicaciones). Con una planificacin muy elaborada de las actuaciones, plasmada en guiones minuciosos. En algunas actuaciones con la colaboracin tcnica del propio personal auditado o de terceros no interesados directamente en la actuacin.
41

CONOCIMIENTOS BSICOS DEL AUDITOR DE SI (1)

1) Conocimientos,

proporcionados a su grado de responsabilidad, sobre la organizacin en la que desarrolla su actividad:

La misin, estrategia, polticas y objetivos de la

organizacin.

La estructura y funcionamiento de la organizacin. Los principales procesos de negocio, y las normas y

disposiciones que les afectan.

42

CONOCIMIENTOS BSICOS DEL AUDITOR DE SI (2)

2) Manejo con soltura del marco profesional para la prctica de la

auditora interna:

Los modelos y principios de auditora, como la

supervisin del control interno (Informe COSO I) y la gestin de riesgos (Informe COSO II).

Las normas y estndares que regulan en la organizacin

el proceso de auditora y el proceso de seguimiento de las recomendaciones.

Los cdigos de conducta aplicables, como puede ser el

Cdigo de tica del Instituto Internacional de Auditora Interna.

43

CONOCIMIENTOS BSICOS DEL AUDITOR DE SI (3)

3) Conocimientos slidos en materia de tecnologas de la

informacin y de las comunicaciones:

Conocimientos

de materias TIC generales (infraestructuras; prcticas operacionales; organizacin, desarrollo e implementacin de los SI, etc.). la seguridad de los sistemas de informacin (proteccin de activos de informacin, continuidad del negocio).

Conocimientos de materias relacionadas directamente con Conocimientos de materias relacionadas directamente con
la auditora y el control de los sistemas de informacin (metodologas de anlisis y gestin de riesgos, marcos referenciales, herramientas de auditora, etc.).

44

ESTRATEGIAS PARA LA SELECCIN DE LOS AUDITORES DE SI

Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formacin, experiencia y especializacin de sus miembros y jefes. Dos de las posibles opciones son las siguientes:

A.- Incorporar al OAI a empleados pblicos, que posean una certificacin en vigor como auditores de sistemas de informacin, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable. B.- Contratar a profesionales externos de auditora de sistemas de informacin, para que pasen a ejercer esta funcin en la Administracin Tributaria como auditores internos en el OAI, siempre que esta contratacin sea compatible con el estatus de los auditores internos.
45

EPGRAFE 17.3.6

FUNCIONES DEL AUDITOR INFORMTICO EN EL OAI

EL OAI Y LOS AUDITORES DE SI

Los auditores de sistemas de informacin deben formar parte de los rganos especializados de control, supervisin o auditora interna de las organizaciones. Funciones generales:

El ejercicio de la supervisin del control interno y del anlisis y gestin de los riesgos, en relacin con los sistemas de informacin y con los sistemas informticos de la organizacin.

46

EPGRAFE 17.3.6

FUNCIONES DEL AUDITOR INFORMTICO EN EL OAI

EL OAI Y LOS AUDITORES DE SI

La realizacin de auditoras totales o parciales de los sistemas de informacin de la organizacin. La colaboracin con otros equipos de auditora en actuaciones generales de auditora interna. La participacin en la funcin de consultora y asesoramiento que presta el rgano especializado de control interno a la organizacin.

47

EPGRAFE 17.4.1

PROCEDIMIENTOS DE LA AUDITORA DE SI

METODOLOGA Y ESTNDARES Utilizacin de metodologas, instrumentos procedimientos operativos propios. y

En la planificacin de las auditoras informticas Empleo de marcos referenciales para la declaracin de los objetivos del control. En el desarrollo de las auditoras informticas empleo de herramientas de auditora especficas.

48

EPGRAFE 17.4.1

PROCEDIMIENTOS DE LA AUDITORA DE SI

FUENTES DE LAS METODOLOGAS Y ESTNDARES Los organismos internacionales que se ocupan del control y de la auditora de SI son fuente de fuente de estndares:

ISACA - Asociacin de Auditora y Control de

Sistemas de Informacin

ISO

Organizacin estandarizacin.

Internacional

para

la

NIST Instituto Nacional de Estndares y

Tecnologa de los Estados Unidos.
49

EPGRAFE 17.4.2

REPERTORIO DE CONTROLES

DEFINICIN
La auditora de sistemas de informacin hace un uso frecuente de marcos de referencia para describir los sistemas de informacin, con el objetivo de independizarse de la tecnologa subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL). Algunos de estos marcos de referencia estn especialmente orientados hacia la descripcin sistemtica del control que debe ser ejercido en los sistemas de informacin, consiguiendo:

Simplificar la tarea de planificacin.

Facilitar la labor de supervisin del guin de auditora y

del resto de instrumentos de planificacin.
50

EPGRAFE 17.4.2

REPERTORIO DE CONTROLES

COBIT (3)
Elementos de COBIT:

El marco referencial adoptado por COBIT tiene un

propsito general. Por tanto, los objetivos de control se refieren a todos los recursos de las tecnologas de la informacin: Aplicaciones, Personas. Informacin, Infraestructuras y

y a todos los dominios en que pueden clasificarse las

actividades de las organizaciones relacionadas directamente con las tecnologas de la informacin: Planificacin y Organizacin, Adquisicin Investigacin, Entrega y Soporte, Monitoreo. e
51

EPGRAFE 17.4.3

AUDITORA DE SI Y HERRAMIENTAS DE AUDITORA

Actividades de monitoreo y supervisin es muy comn en los centros informticos. Los profesionales informticos que manejan estos instrumentos son especialistas que deben conocer en profundidad el producto y realizar operaciones con l, en muchos casos en tiempo real. Los auditores de sistemas de informacin utilizan tambin en sus actuaciones de auditora herramientas de hardware y utilidades de software de distintas caractersticas para verificar los sistemas informticos.

Por

ejemplo, comprueban si el cifrado de las comunicaciones y la configuracin de seguridad de los equipos coincide con las directrices de seguridad informtica de la organizacin.
52

EPGRAFE 17.5.1
TIPOS DE ACTUACIONES INFORMACIN

TIPOS DE ACTUACIONES DE SISTEMAS DE INFORMACIN

(1) DE AUDITORAS DE SISTEMAS DE

1) 2) 3) 4) 5) 6)

La auditora de la organizacin y gestin de los departamentos informticos o centros de proceso de datos de una organizacin. La auditora de la seguridad fsica y lgica del sistema de informacin de una organizacin. La auditora parcial de un rea tecnolgica. La auditora de cumplimiento por el sistema de informacin de normas y regulaciones. La auditora destinada a supervisar el control interno o la gestin de riesgos del sistema de informacin. La auditora de la contratacin de bienes y servicios informticos.

53

EPGRAFE 17.5.3

EL CONTROL INTERNO DE LOS SISTEMAS DE INFORMACIN

SISTEMA DE CONTROL INTERNO

El control ms efectivo es el que est ligado directamente a la actividad de la organizacin. La Administracin Tributaria tiene establecidos controles en los sistemas de informacin, integrados en el sistema de control interno corporativo. Los controles pueden ser de dos tipos:

Controles destinados a monitorizar el funcionamiento del propio sistema de informacin, coadyuvando a su mejora. Controles dedicados al seguimiento y a las tareas de prevencin de riesgos y deteccin de incidencias en las diversas reas de negocio de la organizacin.
54

EPGRAFE 17.5.4

ACTUACIONES DE SUPERVISIN DEL CONTROL INTERNO

PROCESO DE SUPERVISIN DEL CONTROL INTERNO (1)

Este tipo de actuaciones de auditora presuponen implcitamente la existencia de un sistema de control interno que monitorea y supervisa las actividades auditadas, en el que participa la organizacin en su conjunto. El proceso de supervisin del control interno es el siguiente:

En primer lugar y durante la fase de planificacin, el auditor informtico obtiene, si no cuenta previamente con l, un conocimiento suficiente de la organizacin: Objetivos, estndares y procedimientos, procesos y planificacin de las instalaciones y unidades de informtica.
55

EPGRAFE 17.5.4

ACTUACIONES DE SUPERVISIN DEL CONTROL INTERNO

PROCESO DE SUPERVISIN DEL CONTROL INTERNO (2)

Recursos humanos y materiales. Significado y estructura de los datos.

En segundo lugar, el auditor informtico identifica los controles establecidos en el sistema de informacin que deberan estar asociados a los riesgos relevantes.

En tercer lugar y durante el desarrollo de la auditora, el auditor informtico evala el control interno ejercido por la organizacin para obtener dos resultados principales.
Una adecuacin del Plan anual de Actuaciones a los conocimientos adquiridos, insistiendo en los riesgos no eliminados o no mitigados convenientemente. La propuesta de mejoras para hacer ms eficaz el control.
56

EPGRAFE 17.5.4

ACTUACIONES DE SUPERVISIN DEL CONTROL INTERNO

PRUEBAS DE AUDITORA
Durante el desarrollo de la auditora, el auditor informtico efecta pruebas de los distintos controles habilitados en los procesos de la organizacin, en particular:

Repite la ejecucin de las pruebas y controles programados por el sistema de control interno, en principio por medios alternativos.
Verifica la efectiva implantacin y la seguridad, tanto del hardware como del software. Realizando pruebas adicionales obtenidos no son concluyentes. si los resultados

57

EPGRAFE 17.5.4

ACTUACIONES DE SUPERVISIN DEL CONTROL INTERNO

TIPOS DE PRUEBAS DE AUDITORA

Pruebas de cumplimiento:

Determinan si los controles estn establecidos y si estn siendo

aplicados adecuadamente, es decir de una forma que cumple con las polticas y procedimientos establecidos en la organizacin.
Pruebas sustantivas:

Persiguen la comprobacin de los resultados obtenidos por el control

y evalan por tanto de esta forma directamente la eficacia del control.

Las pruebas de cumplimiento suelen realizarse antes que las pruebas sustantivas. Si de las primeras se obtiene una evidencia suficiente de que el control esta establecido y es adecuado, probablemente se habrn alcanzado los objetivos de la auditora. Si las pruebas de cumplimiento no son determinantes, se llevarn a cabo pruebas sustantivas adicionales.

58

EPGRAFE 17.6.1

OBJETIVO DEL PROYECTO

IMPLANTACIN DE UNA UNIDAD DE AUDITORA INFORMTICA EN EL OAI

Las funciones de la unidad son las encomendadas a la auditora de sistemas de informacin en las organizaciones, reflejadas en el Epgrafe 17.2.3, del Sistema de Control Normado y especialmente las de:

Supervisar el control interno de los sistemas de informacin. Desarrollar actuaciones de auditora en el rea informtica de la organizacin. Colaborar en las actuaciones del resto de unidades del OAI, de acuerdo con su particular especializacin.

La unidad aplicar en sus actuaciones la siguiente metodologa:

Los mtodos y procedimientos generales del OAI. Los especficos de la auditora de sistemas de informacin.
59