Documente Academic
Documente Profesional
Documente Cultură
SNCI
TITULO IV DESARROLLO DE LA AUDITORIA: RESULTADOS E INFORME TITULO V SISTEMAS DE INFORMACION Y AUDITORIA DE SISTEMAS
Cartagena de Indias Mayo, 2008
2
Presentacin y sinopsis. Captulos 13, 14, 15, 16 y 17. Comunicacin de los resultados. El informe. Seguimiento de la Auditora. El sistema de Informacin de la Administracin Tributaria. Seguridad de la Informacin. Auditora de Sistemas de Informacin.
EL INFORME DE AUDITORIA
HAY UNAS CARACTERSTICAS Y ESTNDARES DE CALIDAD QUE DEBEN SER COMUNES A TODOS LOS DIVERSOS TIPOS DE INFORMES, Y QUE GARANTIZAN SU CALIDAD. EL AUDITOR DEBE PREPARAR UN INFORME BASADO EN EVIDENCIAS, RECOGIENDO OBSERVACIONES, CONCLUSIO-NES Y RECOMENDACIONES. EL INFORME DEBE SER DE TAL FORMA QUE SUMINISTRE AL LECTOR UNA IMAGEN CLARA DE PORQU SE EXAMINARON LOS ASUNTOS Y DEL RESULTADO DEL EXAMEN.
INTRODUCCION
DESCRIPCIN DEL RGANO O SERVICIO AUDITADO. CAUSA POR LA QUE SE EFECTA LA AUDITORA ORDEN DE ACTUACIN U ORDEN DE SERVICIO COMPOSICIN DEL EQUIPO DE AUDITORA FECHAS DE INICIO Y FINALIZACIN DE LAS ACTUACIONES.
OBJETO
COMUNICACIN DE LOS OBJETIVOS DEL TRABAJO REALIZADO DE FORMA CLARA Y NEUTRAL
SI SE ENMARCA EN UN PROGRAMA O APARTADO DEL PLAN DEL OAI, DEBEN SEALARSE LOS OBJETIVOS GENRICOS DEL PROGRAMA Y LOS ESPECFICOS DEL TRABAJO.
ALCANCE
EL ALCANCE: DELIMITA LA NATURALEZA Y MBITO DE LA AUDITORA.
MBITO TERRITORIAL Y FUNCIONAL DEL RGANO A AUDITAR. LOS PROCESOS AUDITADOS Y LOS ASPECTOS CONCRETOS DE LOS PROCESOS A AUDITAR. EL PERIODO A AUDITAR.
LAS LIMITACIONES AL ALCANCE.
7
METODOLOGIA
FUENTES DE INFORMACIN (ANLISIS MUESTRAL DE EXPEDIENTES, ENCUESTAS, ENTREVISTAS, ETC.) UTILIZADAS. BASES DE DATOS DE LAS QUE SE HA INFORMACIN (APLICACIONES ESPECFICAS) OBTENIDO LA
ANTECEDENTES
CAUSA
Razn de la diferencia.
EFECTOS
Riesgo a que se somete la organizacin debido a las diferencias entre lo que debe ser y lo que es.
10
SI EXISTE UN APARTADO DE CONCLUSIONES GENERALES: extracto de las principales observaciones y de la opinin del auditor.
12
RECOMENDACIONES DEL AUDITOR PARA MEJORAR LOS SERVICIOS, ACTIVIDADES O PROCESOS AUDITADOS, O PARA CORREGIR LAS DEFICIENCIAS ESPECFICAS ENCONTRADAS
SE BASAN EN LAS OBSERVACIONES Y CONCLUSIONES REFLEJADAS EN EL INFORME.
OPINIONES O ALEGACIONES DEL ORGANO AUDITADO.
FECHA Y FIRMA
ANEXOS.
13
INFORME EJECUTIVO
SE PUEDE INCORPORAR COMO PARTE DEL INFORME PRESENTARSE COMO UN INFORME SEPARADO DEL MISMO.
14
RECOMENDACIONES
DEBEN SURGIR DE FORMA LGICA DE LAS OBSERVACIONES Y CONCLUSIONES QUE SE HAN RECOGIDO EN EL INFORME. OBSERVACIONES (hechos) CONCLUSIONES (opiniones del auditor) RECOMENDACIONES (hechos) Soluciones a los problemas detectados Mejora del servicio pblico prestado
DEBEN ESTAR NUMERADAS, AGRUPARSE EN LOS MISMOS MBITOS TEMTICOS QUE LAS CONCLUSIONES EN LAS QUE SE APOYAN Y REFERIRSE A STAS.
15
RECOMENDACIONES
SE DIRIGIR AL RGANO AUDITADIO Y/O SU SUPERIOR JERRQUICO SI LA SOLUCIN ES DE SU MBITO COMPETENCIAL. SE DIRIGIR, ADEMS, AL CENTRO DIRECTIVO U RGANO RECTOR CORRESPONDIENTE, CUANDO LA COMPETENCIA PARA SU CUMPLIMIENTO RESIDA EN ESTOS LTIMOS.
16
RECOMENDACIONES
EN GENERAL, LAS RECOMENDACIONES DEL OAI NO SON DE OBLIGADO CUMPLIMIENTO PARA EL AUDITADO.
EL OAI DEBE SEALAR EN SU INFORME EL GRADO DE OBLIGATORIEDAD QUE DEBERA DARSE A LA RECOMENDACIN EN FUNCIN DE LA CRITICIDAD EL PROBLEMA DETECTADO O DE LA CONVENIENCIA DE APLICACIN DE LA MEJORA PROPUESTA. NO OBSTANTE, HAY QUE GARANTIZAR QUE: LA DIRECCIN DE LA ADMINISTRACIN TRIBUTARIA CONOCE LAS RECOMENDACIONES. LA DIRECCIN DE LA ADMINISTRACIN TRIBUTARIA HACE OBLIGATORIO SU CUMPLIMIENTO O ASUME EL RIESGO DE NO HACERLO. SE EFECTA UN SEGUIMIENTO ADECUADO DE LOS EFECTOS DE LAS RECOMENDACIONES.
17
REQUISITOS DE CALIDAD
PRECISOS OBJETIVOS
CLAROS
CONCISOS CONSTRUCTIVOS COMPLETOS OPORTUNOS ESTANDARIZACION DE INFORMES
18
EL DIRECTOR DEL OAI TIENE LA RESPONSABILIDAD DE LA SUPERVISIN, PERO PUEDE DELEGARLA EN MIEMBROS EXPERIMENTADOS.
19
Asegurando que se han cumplido los objetivos de la auditora. Garantizando que los informes son precisos, objetivos, claros, concisos, constructivos y oportunos. Verificando la coherencia de conclusiones y recomendaciones con las observaciones y objetivos de la auditora. Determinando si las evidencia estn suficientemente reflejadas en el informe y son suficientes y competentes para avalar las observaciones, conclusiones y recomendaciones. Comprobando que estandarizacin. se han cumplido las normas de
20
de
informes
Proceso de referencias o indizacin del informe, evidencias y papeles de trabajo por un equipo independiente al de elaboracin
21
TIPOS DE INFORME
22
CONOCIDO
OPCIONAL: antes de la elaboracin del borrador del informe (reuniones posteriores a la auditora; reunin de presentacin de conclusiones).
OBLIGATORIO: Remisin del borrador para observaciones al rgano auditado o superior jerrquico.
23
RGANO AUDITADO
OTROS INTERESADOS
OTROS RGANOS DE CONTROL INTERNO O EXTERNO OTROS POSIBLES INTERESADOS INTERNOS O EXTERNOS 24
EL OAI DEBE CONSERVAR LOS INFORMES EMITIDOS DURANTE EL PLAZO Y EN LAS CONDICIONES DE SEGURIDAD QUE DETERMINE LA LEY O LAS NORMAS DE ADMINISTRACIN TRIBUTARIA, Y EN TODO CASO, MIENTRAS SEAN DE UTILIDAD PARA LA MISMA.
SE RECOMIENDA INFORMATIZADO.
LA
EXISTENCIA
DE
UN
ARCHIVO
LA CONSTITUCIN DE UNA BASE DE DATOS DOCUMENTAL DE INFORMES FACILITA LA PLANIFICACIN Y SEGUIMIENTO DE ACTUACIONES.
25
SEGUIMIENTO DE LA AUDITORIA
MEDIANTE EL SEGUIMIENTO SE AFIANZA EL VALOR QUE APORTAN LAS ACTUACIONES DE AUDITORA, FUNDAMENTALMENTE LAS RECOMENDACIONES, MULTIPLICANDO SU IMPACTO Y FACILITANDO SU DIFUSIN LOS OBJETIVOS DEL SEGUIMIENTO SON: Verificar el grado de cumplimiento de las recomendaciones de auditora o la aceptacin por la Direccin del riesgo de no hacerlo. Evaluar el impacto de las recomendaciones implantadas en la solucin de las deficiencias observadas o las mejoras producidas. Retroalimentar organizacin. el proceso de control interno de la
EL OAI DEBE CONTAR CON PROCEDIMIENTOS QUE GARANTICEN EL CUMPLIMIENTO DE LAS RECOMENDACIONES. PUEDEN SER DE VARIOS TIPOS:
ACEPTACIN VOLUNTARIA Y EXPRESA DEL RGANO AUDITADO DE LAS RECOMENDACIONES, PUESTA DE MANIFIESTO EN EL MOMENTO DE LA PROPIA AUDITORA O EN LA FASE DE TRAMITACIN DEL INFORME. REFERENDO O RBRICA DE LAS RECOMENDACIONES POR LA AUTORIDAD COMPETENTE PARA IMPONERLAS. SUPERVISIN Y SEGUIMIENTO DE SU IMPLANTACIN.
27
EL OAI PUEDE INCLUIR ENTRE SUS PROGRAMAS DE AUDITORA UNO RELATIVO A AUDITORAS DE SEGUIMIENTO OS OBJETIVOS DE ESTAS AUDITORAS SERN LOS INDICADOS EN EL APARTADO 14.2 COMO OBJETIVOS DEL SEGUIMIENTO. LA VERIFICACIN DEBE HACERSE SOBRE TODAS LAS RECOMENDACIONES, AUNQUE STAS PUEDEN PRIORIZARSE.
28
SNCI
TITULO V SISTEMAS DE INFORMACIN Y AUDITORA DE SISTEMAS
29
INTRODUCCIN Y SINOPSIS
La Administracin Tributaria (AT) es una organizacin compleja, cuya actividad se desenvuelve mediante procedimientos automatizados, acordando una gran relevancia a las tecnologas de la informacin y de las comunicaciones. La organizacin debe supervisar el desempeo de los sistemas de informacin. Para desarrollar en la AT una actividad de auditora completa y en profundidad, el OAI necesita disponer de un rea de auditora de sistemas de informacin, cuyo plantilla est compuesta por especialistas, auditores de sistemas de informacin, que ejecuten actuaciones alineadas con el resto de actividades de auditora del OAI.
30
EPGRAFE 17.2.1
DEFINICIN
DEFINICIN (1)
La auditora de sistemas de informacin, auditora informtica o auditora de sistemas es un tipo de auditora consistente en el examen de los sistemas de informacin y de los centros de proceso de datos, instalaciones y unidades informticas de las organizaciones, con objeto de facilitar la consecucin de los objetivos que persiguen, tanto los del rea informtica como, primordialmente los del conjunto de la organizacin .
31
EPGRAFE 17.2.1
DEFINICIN
DEFINICIN (2)
La auditora de sistemas de informacin persigue propiciar con sus actuaciones:
EPGRAFE 17.2.1
DEFINICIN
DEFINICIN (3)
Son objeto de la auditora de sistemas de informacin:
EPGRAFE 17.2.2
Varios factores han impulsado la demanda de una mayor supervisin y control de los sistemas de informacin:
1) 2) 3)
Las amenazas a la seguridad informtica, en un marco de sistemas de informacin cada vez ms abiertos por la utilizacin de Internet y la interconexin de redes. La proteccin de los derechos de los ciudadanos, en el mbito de la sociedad de la informacin y del gobierno electrnico. La fiabilidad de la informacin ofrecida por las empresas, que requieren una comprobacin de aquellos procesos que elaboran y comunican los resultados conseguidos.
34
EPGRAFE 17.2.3
FUNCIONES
EPGRAFE 17.2.3
FUNCIONES
36
EPGRAFE 17.2.3
FUNCIONES
37
EPGRAFE 17.2.4
EJEMPLOS (1)
Objetivos del SI de la Administracin Tributaria:
Asegurar la continuidad del servicio prestado por el Centro Informtico de la AT y por tanto la atencin a los usuarios.
Elaborar aplicativos de depuracin y de anlisis de la informacin patrimonial capturada por la organizacin, que faciliten el cobro voluntario y compulsivo y, en general, la labor de los recaudadores, minimizando el riesgo recaudatorio. Garantizar la seguridad de los SI de la organizacin, estableciendo un entorno de control que incorpore medidas tcnicas eficaces y una revisin sistemtica de las autorizaciones concedidas y de los accesos registrados.
38
EPGRAFE 17.2.4
El programa de auditora de SI que se ocupa de la continuidad del servicio puede estar compuesto en la AT de las siguientes actuaciones: Una actuacin en el entorno de explotacin y comunicaciones del Centro Informtico.
Una actuacin sobre las condiciones de seguridad y accesibilidad de la modalidad de teletrabajo implantada por la organizacin para los agentes tributarios desplazados.
Una actuacin sobre la infraestructura tecnolgica de la plataforma Internet, ubicada en el Centro Informtico de la AT.
39
EL AUDITOR DE SISTEMAS DE INFORMACIN La auditora de sistemas de informacin es una actividad diferenciada. El auditor de sistemas de informacin o auditor informtico es un auditor especialista.
La caracterstica principal del auditor de sistemas de informacin es su capacidad para alcanzar y fundamentar evidencias de auditora en un contexto real de utilizacin de las tecnologas de la informacin.
40
Con profesionales de distintos perfiles tcnicos que cubran reas funcionales informticas diferentes (sistemas, desarrollo, comunicaciones). Con una planificacin muy elaborada de las actuaciones, plasmada en guiones minuciosos. En algunas actuaciones con la colaboracin tcnica del propio personal auditado o de terceros no interesados directamente en la actuacin.
41
1) Conocimientos,
42
43
Conocimientos
de materias TIC generales (infraestructuras; prcticas operacionales; organizacin, desarrollo e implementacin de los SI, etc.). la seguridad de los sistemas de informacin (proteccin de activos de informacin, continuidad del negocio).
Conocimientos de materias relacionadas directamente con Conocimientos de materias relacionadas directamente con
la auditora y el control de los sistemas de informacin (metodologas de anlisis y gestin de riesgos, marcos referenciales, herramientas de auditora, etc.).
44
Lo relevante de cualquier estrategia es conseguir una unidad o equipo equilibrado en cuanto a formacin, experiencia y especializacin de sus miembros y jefes. Dos de las posibles opciones son las siguientes:
A.- Incorporar al OAI a empleados pblicos, que posean una certificacin en vigor como auditores de sistemas de informacin, o, en su defecto, que dispongan de las condiciones para obtenerla en un plazo razonable. B.- Contratar a profesionales externos de auditora de sistemas de informacin, para que pasen a ejercer esta funcin en la Administracin Tributaria como auditores internos en el OAI, siempre que esta contratacin sea compatible con el estatus de los auditores internos.
45
EPGRAFE 17.3.6
El ejercicio de la supervisin del control interno y del anlisis y gestin de los riesgos, en relacin con los sistemas de informacin y con los sistemas informticos de la organizacin.
46
EPGRAFE 17.3.6
La realizacin de auditoras totales o parciales de los sistemas de informacin de la organizacin. La colaboracin con otros equipos de auditora en actuaciones generales de auditora interna. La participacin en la funcin de consultora y asesoramiento que presta el rgano especializado de control interno a la organizacin.
47
EPGRAFE 17.4.1
PROCEDIMIENTOS DE LA AUDITORA DE SI
En la planificacin de las auditoras informticas Empleo de marcos referenciales para la declaracin de los objetivos del control. En el desarrollo de las auditoras informticas empleo de herramientas de auditora especficas.
48
EPGRAFE 17.4.1
PROCEDIMIENTOS DE LA AUDITORA DE SI
FUENTES DE LAS METODOLOGAS Y ESTNDARES Los organismos internacionales que se ocupan del control y de la auditora de SI son fuente de fuente de estndares:
ISO
Organizacin estandarizacin.
Internacional
para
la
EPGRAFE 17.4.2
REPERTORIO DE CONTROLES
DEFINICIN
La auditora de sistemas de informacin hace un uso frecuente de marcos de referencia para describir los sistemas de informacin, con el objetivo de independizarse de la tecnologa subyacente, de forma que el modelo propuesto sea utilizable para diferentes organizaciones (COBIT, ITIL). Algunos de estos marcos de referencia estn especialmente orientados hacia la descripcin sistemtica del control que debe ser ejercido en los sistemas de informacin, consiguiendo:
EPGRAFE 17.4.2
REPERTORIO DE CONTROLES
COBIT (3)
Elementos de COBIT:
EPGRAFE 17.4.3
Actividades de monitoreo y supervisin es muy comn en los centros informticos. Los profesionales informticos que manejan estos instrumentos son especialistas que deben conocer en profundidad el producto y realizar operaciones con l, en muchos casos en tiempo real. Los auditores de sistemas de informacin utilizan tambin en sus actuaciones de auditora herramientas de hardware y utilidades de software de distintas caractersticas para verificar los sistemas informticos.
Por
ejemplo, comprueban si el cifrado de las comunicaciones y la configuracin de seguridad de los equipos coincide con las directrices de seguridad informtica de la organizacin.
52
EPGRAFE 17.5.1
TIPOS DE ACTUACIONES INFORMACIN
1) 2) 3) 4) 5) 6)
La auditora de la organizacin y gestin de los departamentos informticos o centros de proceso de datos de una organizacin. La auditora de la seguridad fsica y lgica del sistema de informacin de una organizacin. La auditora parcial de un rea tecnolgica. La auditora de cumplimiento por el sistema de informacin de normas y regulaciones. La auditora destinada a supervisar el control interno o la gestin de riesgos del sistema de informacin. La auditora de la contratacin de bienes y servicios informticos.
53
EPGRAFE 17.5.3
Controles destinados a monitorizar el funcionamiento del propio sistema de informacin, coadyuvando a su mejora. Controles dedicados al seguimiento y a las tareas de prevencin de riesgos y deteccin de incidencias en las diversas reas de negocio de la organizacin.
54
EPGRAFE 17.5.4
En primer lugar y durante la fase de planificacin, el auditor informtico obtiene, si no cuenta previamente con l, un conocimiento suficiente de la organizacin: Objetivos, estndares y procedimientos, procesos y planificacin de las instalaciones y unidades de informtica.
55
EPGRAFE 17.5.4
En segundo lugar, el auditor informtico identifica los controles establecidos en el sistema de informacin que deberan estar asociados a los riesgos relevantes.
En tercer lugar y durante el desarrollo de la auditora, el auditor informtico evala el control interno ejercido por la organizacin para obtener dos resultados principales.
Una adecuacin del Plan anual de Actuaciones a los conocimientos adquiridos, insistiendo en los riesgos no eliminados o no mitigados convenientemente. La propuesta de mejoras para hacer ms eficaz el control.
56
EPGRAFE 17.5.4
PRUEBAS DE AUDITORA
Durante el desarrollo de la auditora, el auditor informtico efecta pruebas de los distintos controles habilitados en los procesos de la organizacin, en particular:
Repite la ejecucin de las pruebas y controles programados por el sistema de control interno, en principio por medios alternativos.
Verifica la efectiva implantacin y la seguridad, tanto del hardware como del software. Realizando pruebas adicionales obtenidos no son concluyentes. si los resultados
57
EPGRAFE 17.5.4
Las pruebas de cumplimiento suelen realizarse antes que las pruebas sustantivas. Si de las primeras se obtiene una evidencia suficiente de que el control esta establecido y es adecuado, probablemente se habrn alcanzado los objetivos de la auditora. Si las pruebas de cumplimiento no son determinantes, se llevarn a cabo pruebas sustantivas adicionales.
58
EPGRAFE 17.6.1
Supervisar el control interno de los sistemas de informacin. Desarrollar actuaciones de auditora en el rea informtica de la organizacin. Colaborar en las actuaciones del resto de unidades del OAI, de acuerdo con su particular especializacin.
Los mtodos y procedimientos generales del OAI. Los especficos de la auditora de sistemas de informacin.
59