auditori semana 3

UNIVERSIDAD NACIONAL DE SAN MARTIN

Somos tu llave para triunfar …!

TEMA : ORGANIZACIÓN DEL DEPARTAMENTO DE AUDITORÍA INFORMÁTICA

1

FISI


FISI

Antecedentes

Auditoría “alrededor del ordenador”– Auditor verificaba los documentos de entrada al ordenador y

los informes producidos, sin entender lo que pasaba dentro del ordenador

– Auditor verificaba la seguridad física (incendios, copias de seguridad, etc.)

Auditoría “a través del ordenador”– Auditor financiero utiliza el ordenador como medio para

acceder a los datos (a través de paquetes)Auditoría “con el ordenador”

– Utilizando sus posibilidades, utilidades, etc.

2

FISI


FISI

Control Interno

Controla que todas las actividades de S.I. sean realizadas cumpliendo los procedimientos, normas y estándares fijados por la Dirección

Comprende el plan de organización y coordinación de los métodos y las medidas adoptadas dentro de una empresa:– Salvaguardar los activos (Hw, Sw, personas, suministros, etc.)– Verificar la exactitud y fiabilidad de sus datos– Promover la efectividad operativa– Fomentar el seguimiento de las normas y políticas establecidas

Es rutinarioAbarca todos los métodos y medidas diseñados para asegurar que se

cumplen

3

FISI


FISIElementos del Control Interno

Ambiente de control– Integridad, Ética y Capacidad del personal de la empresa

• Factores de Evaluación– Existencia e Implantación de Códigos de Conducta– Presión para cumplir metas de eficacia poco realistas– Descripción de los Puestos de Trabajo– Análisis de conocimientos y Habilidades que se requieren

– Participación de la Alta Dirección– Responsabilidad de los empleados

Evaluación del Riesgo (progresos tecnológicos, cambios en el entorno operativo, nuevo personal, etc.)– Actividades de Control (preventivos, correctivos, etc.)

Información y Comunicación de la InformaciónSupervisión de los controles internos para asegurarse que el

proceso funciona según lo previsto4

FISI


FISI

Auditoría Interna

No puede tomar parte en funciones de tipo operativoControl de los controles

– Evaluar la adecuación, grado de efectividad y eficiencia del sistema de control interno de una empresa

Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos– Prestar un servicio de asistencia y de crítica constructiva

Funciones principales con respecto al control interno– Determinar si los Controles Internos proporcionan la protección

necesaria, así como la máxima eficacia operativa– Comprobar si los procedimientos operativos y métodos se utilizan

tal y como está establecido en las normas de la empresa

5

FISI


FISI

Auditoría Interna

6

• “Un control interno fuerte, incluyendo la función de auditoría interna y una auditoría externa independiente, es parte de una sana gestión corporativa que contribuye a una relación de trabajo de colaboración entre la administración de la entidad y los supervisores.”

FISI


FISI

Auditoría Interna no es:

Sitio de “retiro” para directivo en desgracia u obsoletosCentro de inquisidores (auditoría policíaca)Agrupación de “delatores”Proveedor de “mano de obra”, para solucionar situaciones de

emergencia de otros departamentosDepartamento de filtraciones, obtenidas a través de la actividad auditoraAuxiliar de la auditoría externa o un enemigo permanente de éstaUn “apaga fuegos” para toda situación de emergenciaUn lugar de resentidos y descontentos, que se creen los más capacitados

y todo lo enjuician negativamenteUn departamento sin categoría ni prestigio en la empresa

7

FISI


FISI

Comité de BasileaRecomienda:

• “Auditoría Interna es una actividad independiente que revisa en forma objetiva y brinda consultoría en orden a agregar valor en la ejecución de las operaciones de la organización. Ayuda a la organización a cumplir sus objetivos con un enfoque sistemático y disciplinado para evaluar y mejorar la eficiencia del sistema de administración de riesgos, control y proceso de gobernabilidad”

(The Institute of Internal Auditors)

8

FISI


FISIComité de Basilea - Recomienda:

• OBJETIVOS Y TAREAS DE LA FUNCION DE AI1 . La Junta Directiva es responsable de asegurar que la Alta Administración establezca

y mantenga un efectivo sistema de control interno, un sistema de medición para valorizar los diferentes riesgos (también capital mínimo), métodos para monitorear y la supervisión de las políticas internas.

9

FISI



• OBJETIVOS Y TAREAS DE LA FUNCION DE AI

2 . La Alta Administración de la entidad es responsable del desarrollo de procesos que: identifiquen, midan, monitoreen y controlen los riesgos incurridos por la entidad financiera.

10

FISI



• OBJETIVOS Y TAREAS DE LA FUNCION DE AI

3 . Auditoría interna es parte del sistema de monitoreo dinámico, de los sistemas de control interno de la entidad financiera y de los procedimientos internos de medición del capital.

11

FISI



• PRINCIPIOS DE AUDITORÍA INTERNA

4 . Cada entidad debería tener una función de auditoría interna permanente.

5 . La función de auditoría interna debe ser independiente de las actividades auditadas y del proceso de control diario.

12

FISI



• PRINCIPIOS DE AUDITORÍA INTERNA

6 . Cada entidad debería tener un estatuto de auditoría interna que establezca la posición y la autoridad de la función de auditoría interna al interior de la entidad financiera.

13

FISI



PRINCIPIOS DE AUDITORÍA INTERNA

7. La función de auditoría interna deber ser objetiva e imparcial.

8. La competencia profesional del auditor interno y de la función de auditoría interna como un todo es esencial para el adecuado funcionamiento de la actividad de AI.

14

FISI




9. Alcance del Trabajo: Cualquier actividad y cualquier unidad orgánica de la entidad financiera debería estar en el ámbito de acción de auditoría interna.

15

FISI




10. La AI debería hacer revisiones regulares e independientes al sistema de la administración de riesgos desarrollado por la entidad financiera para relacionar los diferentes riesgos al nivel del capital y el método establecido para monitorear el cumplimiento con las políticas internas de capital.

16

FISI



11. La AI incluye el diseño de un plan de auditoría, el exámen y valoración de la información disponible, comunicación de resultados y seguimiento de las recomendaciones y hechos detectados.Plan basado en una medición metódica del control de riesgo. Aprobado por el Gerente General y la Junta Directiva.

17

FISI



12. El encargado de la unidad de auditoría interna debe ser responsable de asegurar que dicha unidad cumpla con las normas de auditoría interna.

18

FISI



RELACION DE LA AUTORIDAD SUPERVISORA CON LA AI

13. Los supervisores de entidades deberían evaluar el trabajo de la unidad de auditoría interna y si satisface la identificación de las áreas de riesgo potencial.

19

FISI




14. La autoridad supervisora debería hacer consultas periódicas a la unidad de auditoría interna de la entidad para discutir las áreas de riesgo identificadas y las medidas tomadas.

20

FISI




15. Los supervisores son los encargados de efectuar reuniones periódicas de discusión de políticas con los encargados de las unidades de auditoría interna de las entidades bajo su supervisión, en materias de mutuo interés.

21

FISI



RELACION DE LA AUTORIDAD SUPERVISORA CON LA AI Y EL AE

16. Los supervisores deben propiciar consultas entre los Auditores Internos y Auditores Externos, en orden a que su cooperación sea todo lo eficiente y eficaz posible. No duplicar Trabajos.

22

FISI



RELACION DE LA AUTORIDAD SUPERVISORA CON EL AE

17. Complementariedad de la labor de la Supervisión con la de los AE.

El Gerente General y la Junta Directiva deberían asegurar la implementación de las sugerencias hechas para solucionar las debilidades de CI formuladas por los Auditores Externos.

23

FISI



RELACION DE LA AUTORIDAD SUPERVISORA CON LA AI Y EL AE

18. Cooperación entre los supervisores, los auditores externos y los auditores internos conducen a que el trabajo que efectúen sea más eficiente y eficaz. Permite una contribución de cada cual en sus roles específicos. Si no hay confianza la cooperación no puede existir.

24

FISI


FISI

Auditoría Externa

Realizada por alguien ajeno a la entidad auditadaSe centran en las deficiencias de los controles internosDiferencias con la auditoría interna:

– Sujeto• Profesional independiente / Empleado de la empresa

– Objeto• Opinión independiente / Control y sugerencias de mejora

– Informe• Dictamen / Sólo recomendaciones internas

– Responsabilidad• Civil e incluso penal / Laboral

– Continuidad• Periódica / Continua

25

FISI


FISI

Auditoría Informática - 1

Trata de evaluar la adecuada utilidad, eficiente, fiabilidad y salvaguarda de la información mecanizada que se produce en una empresa, así como la organización de los servicios que elaboran y procesan

Objetivos– Verificar el Control Interno de la Función Informática– Asegurar a la Alta Dirección y al resto de áreas que la información que

les llega es la necesaria en el momento oportuno, es fiable y sirve de base para tomar decisiones

– Eliminar al máxima la posibilidad de pérdida de información por Fallos en los Equipos, en los Procesos o por una Gestión inadecuada de los archivos de datos

– Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos

26

FISI


FISI

Auditor InformáticoEs más fácil que un informático adquiera los principios

del control, de la auditoría y de la seguridad, que un auditor financiero llegue a adquirir el nivel técnico informático necesario

En las grandes empresas, cada día existe más la tendencia de contar con especialistas en áreas de la auditoría informática

Para los auditores no informáticos puede ser frustrante auditar un entorno informático, debido p.e. a que jerga propia de cada empresa, de cada proyecto

27

FISI


FISI

Auditor Informático

Estándares relativos al mantenimiento de la profesionalidad en la relación de auditorías– El auditor participará activamente en la revisión del diseño y

desarrollo de nuevas aplicaciones informáticas– El auditor revisará los controles generales en los sistemas

informáticos, para determinar que este diseñado de acuerdo con las normas internas en vigor y los requerimientos legales aplicables

– El auditor revisa los controles de las aplicaciones informáticas instaladas para evaluar su fiabilidad, procesando datos a tiempo, de forma exacta y completa

Los auditores informáticos creados a partir de no-informáticos mediante cursos, necesitarán una actualización de sus conocimientos a medida que van surgiendo nuevas facetas de TI

28

FISI


FISIQué es la Auditoría Informática

A.I. es la revisión de la propia informática y de su entorno. Actividades que comprende:– Análisis de riesgos: prevención y detección de fraudes informáticos y

virus entre otras cosas– Plan de contingencia, ante una situación prevista– Participación de desarrollo de aplicaciones: auditoría preventiva– Asesoramiento, para la instalación de paquetes de seguridad– Revisión de controles y cumplimiento de los mismos, así como de las

normas legales aplicables– Evaluación de la gestión de recursos informáticos, así como existencia de

políticas y estándares– Apoyo técnico e informático en auditorías generales

Entorno informático comprende:– Todas o algunas de sus áreas (equipos, S.O., desarrollo, etc.)– Los estándares y procedimientos en vigor– El grado de satisfacción de los usuarios y directivos– Los controles existentes

29

FISI


FISI

Auditoría Informática - 2Auditoría de la Función Informática

– Examinar organización existente para determinar si responde a los criterios fijados por la Dirección y a las necesidades actuales, y asegurar la salvaguarda física de la información de la empresa (Funciones Básicas de Gestión, Administración, Organización, Normativa General)

– Procedimientos de trabajo de Desarrollo, Explotación y Mantenimiento

– Verificar Controles globales del Sistema Informático y las medidas de Seguridad del equipo, los programas y los datos (Seguridad Física de Instalaciones y Datos)

Auditoría de los Sistemas Informáticos– Evaluar en qué medida se está garantizando el control interno con la

utilización de esa aplicación, la seguridad de los datos y programa y el rendimiento de la misma en términos costo/eficiencia

30

FISI


FISI

Perfiles Profesionales de la Función de A. Informática

Responsabilidades– Auditar aplicaciones financieras y seguridad física– Ofrecer soporte con limitaciones a los auditores financieros y externos

Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales

Perfil– Formación básica con una mezcla de conocimientos de auditoría financiera y de

informática en general (p.e. Desarrollo de aplicaciones, gestión de proyectos, BD, S.O., redes, etc.)

– Especialización en función del entorno empresarial– Gestión del Cambio– Calidad Total, que hará que su trabajo sea reconocido como un elemento

valioso dentro de la empresa y que los resultados sean aceptados en su totalidad

31

FISI


FISI

Dimensiones del Trabajo del Auditor Informático - 1

Revisión de Controles de las Aplicaciones (19%)– Determinar que los sistemas producen la información a tiempo,

exacta y completa

Revisión de Integridad de Datos (13%)– Compleción, consistencia y exactitud

Revisión de Controles de Desarrollo (5%)– Determinar la adherencia a los estándares de Control de desarrollo

aceptados

Revisión de Controles Generales de los Procedimientos Operacionales (12%)– Determinar que las aplicaciones se procesan en un entorno

controlado

Revisión de Seguridad (14%)– Asegurar la protección adecuada de los programas, de los datos y de

la instalación de procesamiento de datos32

FISI


FISI

Dimensiones del Trabajo del Auditor Informático - 2

Revisión Software de los Sistemas (5%)– Determinar el cumplimiento con las políticas de la organización

Revisión de Mantenimiento (6%)– Determinar que los sistemas se han modificado de acuerdo con las

políticas de la organizaciónRevisión de Adquisición (3%)

– Determinar que los recursos de la organización se están utilizando de forma económica

Revisión de la Gestión de Recursos del Procesamiento de Datos (5%)– Determinar su adecuación en el cumplimiento de los objetivos

organizativosGestión de Auditoría Informática (9%)

– Utilizar de forma efectiva los recursos disponibles de la función de la auditoría informática y para cumplir el requisito de auditoría informática de la organización

33

FISI


FISI

Organización de la Función de Auditoría Informática

Auditor informático es auditor y consultor de la empresa en materia de– Seguridad, Control interno operativo, Eficiencia y

eficacia, Tecnología informática, Gestión de riesgos, etc.La concepción típica de la función de Auditoría Informática es

dentro de la función de Auditoría Interna– Nacimiento histórico de la auditoría informática– Dificultad de separar el elemento informático de la

auditoría operativa y financiera

34

FISI


FISI

Principios de la Función de Auditoría Informática

Localización ligada a la de auditoría interna, con independencia de objetivos, de planes de formación y de presupuestos

Grupo independiente del de auditoría interna, con total accesibilidad a los sistemas informáticos

Dependencia del máximo responsable operativo de la organización

Recursos humanos mezcla equilibrada entre personas con formación en auditoría y organización, y personas con perfil informático

35

FISI


FISIOrganización Interna

• Jefe Del departamento:– Desarrolla el plan operativo del departamento, las

descripciones de puestos de trabajo, las planificaciones de actuación a un año, los métodos de gestión del cambio en su función y los programas de formación individualizados, gestiona los programas de trabajo, los cambios en los métodos de trabajo, evalúa la capacidad de las personas a su cargo.

36

FISI


FISIOrganización Interna (II)

• Gerente o supervisor de auditoría informática:– Trabaja estrechamente con el Jefe de departamento en las

tareas operativas diarias.– Ayuda en la evaluación del riesgo de cada uno de los trabajos,

realiza programas de trabajo, dirige y supervisa directamente a las personas en cada de los trabajos de los que es responsable.

– Realiza formación sobre el trabajo– Apoya la jefatura de la obtención del mejor resultado ,

entroncando los conceptos de valor añadido y gestión del cambio.

– Es el que más vende la función con el auditado.

37

FISI


FISIOrganización Interna (III)

• Auditor Informático:– Son responsables de la ejecución directa del

trabajo.– Deben tener una especialización genérica, pero

también una específica.– Debe obtener la información , realzar las pruebas,

documentación del trabajo, evaluación y diagnóstico de resultados

38

FISI


FISI

JUNTA DIRECTIVA

39

FISI



COMITÉ DE AUDITORÍA

DefiniciónEl Comité de Auditoría normalmente es considerado como un Comité de la Junta Directiva formado usualmente por Directores que no son ejecutivos de la entidad financiera y que además son independientes de la Administración.

40

FISI



COMITÉ DE AUDITORÍA• De carácter permanente.• La Junta Directiva debería establecer un estatuto escrito acerca del Comité de Auditoría indicando su composición, atribuciones y deberes.• Debería incluir al menos tres miembros de la Junta Directiva, que no sean miembros de la Administración.

41

FISI



COMITÉ DE AUDITORÍA (Continuanción)• Uno de los miembros debería tener experiencia en informes financieros, contabilidad o auditoría.• El CA debería propiciar la comunicación entre los miembros de la Junta Directiva, el Gerente General, la auditoría interna, la auditoría externa y el supervisor.• El CA confirma el estatuto de auditoría interna y su plan de actividades, así como sus recursos.

42

FISI



COMITÉ DE AUDITORÍA (Continuanción)•Recibe informes resumidos de los trabajos de auditoría interna, sus recomendaciones y las medidas tomadas por la Administración a ser implementadas.•“Supervisores se reúnen con el presidente del CA para entender cómo funciona el Gobierno Corporativo”.

43

FISI



COMITÉ DE AUDITORÍA - Discute sobre:•El funcionamiento del Sistema de CI.•Las actividades del área de AI.•Las áreas de riesgos en las operaciones.•La confiabilidad y exactitud de la información financiera.•El cumplimiento en materia legales y regulatorias y los acuerdos establecidos por la Junta Directiva.

44

FISI



OUTSOURCING DE AUDITORÍA INTERNA

Independientemente de que la AI sea provista por un servicio de outsourcing, la Junta Directiva y Gerencia General son finalmente los responsables de asegurar que el sistema de control interno y la auditoría interna sean adecuados y operen en forma efectiva.

45

FISI


FISI

Preguntas …?

46

auditori semana 3

Documents