Módulo de Auditoría Informática
Módulo de Auditoría Informática
Módulo de Auditoría Informática
MÓDULO
AUTOR
PIURA - PERÚ
ENERO - 2013
INDICE
INTRODUCCIÓN
I. ASPECTOS GENERALES
1.1. Definición de Auditoría
1.2. Auditoría Informática
1.3. Auditor Informático
1.4. Objetivos de la Auditoría Informática
1.5. Motivos para efectuar una Auditoría Informática
1.6. Problemas más comunes en los Sistemas de Información
1.7. Perfil del Auditor Informático o de Sistemas
1.8. Áreas de interés del Auditor Informático
V. BIBLIOGRAFIA
VI. ANEXOS
Anexo 01 - Ejemplo de Plan de Auditoría aplicado a la Oficina Central de
Admisión de la Universidad Nacional de Piura.
Anexo 02 - Ejemplo de Programa de Auditoría aplicado a la Oficina Central
de Admisión de la Universidad Nacional de Piura.
Anexo 03 - Ejemplo de Plan de Trabajo de Auditoría aplicado a la Oficina
Central de Admisión de la Universidad Nacional de Piura.
INTRODUCCIÓN
Concepto 01
La auditoría en informática se desarrolla en función de normas,
procedimientos y técnicas definidas por institutos establecidos a nivel
nacional e internacional; por lo tanto, nada más se señalarán algunos
aspectos básicos para su entendimiento.
Concepto 02
Es un examen metódico del servicio informático, o de un sistema
informático en particular, realizado de una forma puntual y objetiva, a
instancias de la dirección y con la intención de ayudar a mejorar
conceptos como la seguridad, eficiencia y rentabilidad del servicio
informático.
La Gerencia de Sistemas.
La organización y el personal del área de informática.
El área del computador.
Las aplicaciones.
Los estándares de documentación y desarrollo de sistemas.
La operación del computador.
La gerencia financiera.
Los planes de desarrollo informático.
Los controles y la seguridad en general.
Los archivos maestros y de transacciones.
La Red de Comunicaciones y de Datos.
La Internet / Intranet.
Los microcomputadores.
La Transferencia Electrónica de Documentos.
La administración de la base de datos
Otros.
II. EL CONTROL BAJO EL ENFOQUE GUBERNAMENTAL
1
Ley 27785. Art. 7
efectúe correcta y eficientemente. Su ejercicio es previo, simultáneo y
posterior.
Protección de Activos.
Obtención de Información adecuada. (toma de decisiones)
Promoción de la eficiencia administrativa.
Estimular la adhesión a las políticas de la dirección o empresa.
(compromiso)
2
Ley 27785. Art. 8
3
Ley 27785. Art. 10
2.7. Sistema Nacional de Control4
a. La Contraloría General
b. Todas las unidades orgánicas responsables de la función de control
gubernamental de las entidades que se mencionan en el Artículo 3º
de la presente Ley,
c. Las sociedades de auditoría externa independientes, designadas por
la Contraloría General y contratadas, durante un período
determinado, para realizar servicios de auditoría económica,
financiera, de sistemas informáticos, de medio ambiente y otros.
4
Ley 27785. Art. 12
5
Ley 27785. Art. 13
6
Ley 27785. Art. 17
la estructura de la entidad, el cual constituye la unidad especializada
responsable de llevar a cabo el con-trol gubernamental en la entidad.
a. Riesgo Inherente
Es la Probabilidad de que algunas de las afirmaciones estén sujetas
a errores, aunque la calidad del control interno sobre ellas sea
buena.
Esta posibilidad exige especial cuidado en el alcance y profundidad
de las pruebas sustantivas que se apliquen a las cuentas que
involucran este riesgo.
b. Riesgo de Control
7
Ley 27785. Art. 20
Esta dado por la probabilidad de que los procedimientos de control
establecidos en el sistema de control interno no eviten realmente la
posibilidad de errores, o que no los detecte oportunamente.
Control sobre el Control.
c. Riesgo de Detección
Es la Probabilidad de que los auditores externos no detecten errores
importantes en la aplicación de procedimientos de auditoría.
c) Programa de Auditoría
a) Evidencia Física
b) Evidencia Testimonial
c) Evidencia Documental
d) Evidencia Analítica
a) Evidencia Física
Se da por medio de una inspección u observación directa de:
Actividades ejecutadas por las personas.
Documentos y registros.
Hechos relativos al objetivo del examen.
b) Evidencia Testimonial
Es la información obtenida de otros a través de cartas o
declaraciones recibidas en respuesta a indagaciones o por
medio de entrevistas. El resultado de las entrevistas pueden
expresarse en un memorándum basado en notas tomadas
durante ellas. Las declaraciones de funcionarios de la
entidad son fuentes valiosas de información y proporcionas
elementos de juicio que no serán fáciles de obtener a través
de una prueba de auditoría.
c) Evidencia Documental
Es la información obtenida de la entidad bajo auditoría e
incluye, comprobantes de pago, facturas, contratos, cheques
y, en el caso de empresas estatales, acuerdos de Directorio.
La confiabilidad del documento depende de la forma como
fue creado y su propia naturaleza.
d) Evidencia Analítica
Se obtiene al analizar o verificar la información.
La confiabilidad de evidencia analítica depende en gran parte
de la importancia de la información comparable. Puede
originarse de:
Computaciones
Comparaciones con:
Normas establecidas.
Operaciones anteriores.
Otras operaciones, transacciones o rendimiento.
Leyes o reglamentos.
Raciocinio
Análisis de la información dividida en sus componentes.
a) Suficiencia.
Es suficiente la evidencia objetiva y convincente que basta
para sustentar los hallazgos, conclusiones y
recomendaciones expresadas en el Informe. La evidencia
será suficiente cuando por los resultados de la aplicación de
procedimientos de auditoría se comprueben razonablemente
los hechos revelados. Para determinar si la evidencia es
suficiente se requiere aplicar el criterio profesional. Cuando
sea conveniente, se podrán emplear métodos estadísticos
con ese propósito.
b) Competencia.
Para que sea competente, la evidencia debe ser válida y
confiable. A fin de evaluar la competencia de la evidencia, se
deberá considerar cuidadosamente si existen razones para
dudar de su validez o de su integridad. De ser así, deberá
obtener evidencia adicional o revelar esa situación en su
informe.
Los siguientes supuestos constituyen algunos criterios útiles
para juzgar si la evidencia es competente:
c) Relevancia.
Se refiere a la relación que existe entre la evidencia y su uso.
La información que se utilice para demostrar o refutar un
hecho será relevante si guarda relación lógica y patente con
ese hecho. Si no lo hace, será irrelevante y, por consiguiente,
no podrá incluirse como evidencia.
Cuando se estime conveniente, el auditor deberá obtener de
los funcionarios de la entidad auditada declaraciones por
escrito respecto a la relevancia y competencia de la
evidencia que haya obtenido.
a) Pruebas de Recorrido.
b) Comparación de cifras en el sistema.
c) Evaluación operativa y funcional de los Sistemas de
Información.
d) Evaluación de la calidad de la información.
e) Control de datos rechazados.
f) Dígito de verificación.
g) Evaluación de entradas preprocesadas al sistema.
h) Evaluación de transacciones ficticias.
i) Evaluación de controles internos en aplicaciones críticas.
j) Pistas de auditoría
k) Evaluación de la oportunidad, razonabilidad, privacidad y
seguridad de la información.
EXCEPCIÓN
A fin de no poner en riesgo los resultados de la investigación
del Ministerio Público y Poder Judicial a iniciarse y en resguardo
de un ejercicio efectivo del derecho de defensa ante las
autoridades competentes, se exceptúa de la comunicación de
hallazgos a quienes se encuentren comprendidos en los
indicios razonables de comisión de delito o de responsabilidad
civil determinados, emitiéndose directamente el Informe
Especial Legal y remitiéndolo a los organismos legales
competentes.
4.3.1. El Informe
ESTRUCTURA
I. INTRODUCCIÓN
Información general concerniente a la acción de control y a la
entidad examinada.
5. Comunicación de hallazgos
Se deberá indicar haberse dado cumplimiento a la
comunicación oportuna de los hallazgos efectuada al
personal que labora o haya laborado en la entidad
comprendido en ellos.
II. OBSERVACIONES
En esta parte del Informe, la Comisión Auditora desarrollará
las observaciones que, como consecuencia del trabajo de
campo realizado y la aplicación de los procedimientos de
control gubernamental, hayan sido determinadas como tales.
Las observaciones, para su mejor comprensión, se
presentarán de manera ordenada, sistemática, lógica y
numerada correlativamente, evitando el uso de calificativos
innecesarios y describiendo apropiadamente sus elementos
o atributos característicos. Dicha presentación considerará
los siguientes aspectos:
1. Sumilla
Es el título o encabezamiento que identifica el asunto
materia de la observación.
2. Elementos de la observación (condición, criterio,
efecto y causa)
Son los atributos propios de toda observación, los cuales
deben ser desarrollados objetiva y consistentemente.
III. CONCLUSIONES
En este rubro la Comisión Auditora deberá expresar las
conclusiones del Informe de la acción de control,
entendiéndose como tales los juicios de carácter profesional,
basados en las observaciones establecidas, que se formulan
como consecuencia del examen practicado a la entidad
auditada.
IV. RECOMENDACIONES
Las recomendaciones constituyen las medidas específicas
indicadas a la administración de la entidad, orientadas a
promover la superación de las causas y las observaciones
evidenciadas durante el examen. Serán dirigidas al Titular o
en su caso a los funcionarios públicos que tengan
competencia para disponer su aplicación.
V. ANEXOS
A fin de lograr el máximo de concisión y claridad en el
informe, se presentarán como anexos cuando sean
necesarios, los informes emitidos por profesionales y/o
especialistas debido a su importancia que complementen o
amplíen las observaciones significativas contenidas en el
mismo.
Asimismo se incluirá un Cuadro como anexo, en el que se
consignen a los responsables con indicación del nombre y
número de observación.
En lo que respecta a las observaciones con responsabilidad
administrativa, únicamente se incluirán como anexos
aquellos documentos que no obran en la entidad examinada.
FIRMA
El informe deberá ser firmado por el auditor encargado, el
supervisor y los niveles gerenciales correspondientes de la
Contraloría General de la República. En el caso de los
órganos de auditoría interna, por el auditor encargado, el
supervisor y el jefe del respectivo órgano.
SÍNTESIS GERENCIAL
Adicionalmente al Informe de la acción de control, podrá
emitirse una “Síntesis Gerencial del Informe”, de contenido
necesariamente breve y preciso. La Alta Dirección de la
Contraloría General de la República y el Titular del Órgano
de Auditoría Interna, podrá eximir a la Comisión Auditora de
la emisión de dicha Síntesis.
4.4. Fase IV Seguimiento
VI. ANEXOS
ANEXO 01
1) Verificar que los requerimientos del Sistema sean acordes con los
objetivos de la Oficina Central de Admisión.
Objetivo N° 01:
Verificar que los requerimientos del Sistema sean acordes con los objetivos
de la Oficina Central de Admisión.
Procedimientos de Auditoria:
Objetivo N° 02:
Procedimientos de Auditoria:
Objetivo N° 03:
Procedimientos de Auditoria:
Síntesis Gerencial
Introducción
Observaciones
Conclusiones
Recomendaciones
Anexos
------------------------------------------ ------------------------------------------
KELLY DELGADO SEMINARIO LUIS ESCOBAR MOGOLLON
Auditor Supervisor
ANEXO 02
Procedimientos de Auditoria:
Objetivo N°2:
Evaluar la base de datos del Sistema de
Calificación y Admisión
Criterio:
- Norma Técnica Peruana NTP 17799
- Normas de Control Interno
- Ley Cobit
Procedimientos de Auditoria:
Objetivo N°3:
Comprobar si existe una herramienta de
prevención, mitigación, control y respuesta
ante posibles contingencias que puedan
afectar el correcto funcionamiento del
Sistema.
Criterio:
- Ley Cobit
- Norma Técnica Peruana
- Norma BS 25999
Procedimientos de Auditoria:
JGH 8 1. Determinar si existe un plan de contingencia PT006 JGH 5
donde se establezcan los procedimientos a
utilizarse para evitar interrupciones en las
operaciones de la Oficina.
PAPEL DE TRABAJO
Objetivo de Control:
Verificar que los requerimientos del Sistema sean acordes con los objetivos de la Oficina
Central de Admisión.
Procedimiento:
Se envió una solicitud dirigida al Jefe de OCA, el Sr. Cesar Haro Diaz el día xx de xx
del 2013 solicitando la documentación funcional y técnica del Sistema de Calificación y
Admisión, el Plan Estratégico y el Plan Operativo Anual de la Oficina.
Con aprobación del jefe de la OCA se procedió al recojo de la información necesaria
para el proceso de auditoría, posteriormente se prosiguió con la firma del acta
respectiva por parte de los involucrados.
Información Obtenida:
- Plan Estratégico de la Oficina Central de Admisión 2009 - 2013
- Manual de Organización y Funciones OCA.
- Plan Operativo Institucional.
Observaciones:
Situación: Parte de la información requerida no se encontraba disponible, La
información obtenida estaba sin aprobación de los entes superiores de la Universidad
Nacional de Piura.
Causa: Falta de interés por parte de los miembros de OCA en presentar y elaborar los
documentos de Gestión pertinentes.
Conclusión:
- Falta de interés de los miembros de la Oficina en elaborar, actualizar y normar los
documentos de gestión para su debida aprobación.
Recomendaciones:
Anexos:
- Solicitud Aprobada por el Jefe de OCA.
- Acta de Apertura de Auditoria
- Acta de Entrega de Documentos de Gestión.