Etapas de una Auditoría Informática

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Etapas de una Auditoría Informática"

Antonio Carrizo Robles
hace 8 años
Vistas:

1 Eduardo Gracias Eduardo Etapas de una Auditoría Informática Eduardo Auditor de Tecnologías de la Información 1

2 Eduardo Planificación: Recursos, Programa Opina Recomienda Concluye Auditor Flujo del Proceso de Auditoría Evidencias Análisis de Riesgos, Impacto de Riesgos Genera Papeles de Trabajo Cualquier Objeto de Estudio Que posea un Estandard Objeto Pre-Informe Auditoría Evalúa Control Interno Aplica Procedimientos de Auditoría: Pruebas de Cumplimiento/Pruebas Sustantivas Cliente Informe Final Decisión Una adecuada planificación de una auditoría (Identificación de objetivos, recursos, diseño de procedimientos de auditoría, ejecución, preinforme e informe) incluye el diseño de un óptimo programa de auditoría. Este es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados y las evidencias que satisfacerán dichos objetivos. Constituye, entonces, una guía (referente) del auditor para documentar los pasos de acción y para señalar la ubicación del material de evidencia o papeles de trabajo. Un proceso de auditoría típico incluye: Eduardo 2

Decisión Una adecuada planificación de una auditoría (Identificación de objetivos, recursos, diseño de procedimientos de auditoría, ejecución, preinforme e informe) incluye el diseño de un óptimo

3 Eduardo Eduardo 1. Conocimiento General: Identificación de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolverá la auditoría. 2. Objetivo General de la Auditoría: (Identificar el área a ser auditada u objetivo global) Tomar conocimiento, relevar y evaluar la RAZONABILIDAD de Objetivos Específicos de Auditoría: Identificar los propósitos (variados); por ejemplo determinar que las modificaciones a un programa fuente son realizados en un ambiente definido y controlado. 4. Alcance de la Auditoría: Identificar el entorno específico o unidades de la organización que se han de incluir en la revisión; o, aplicaciones o módulos a auditar en un sistema computacional, referido a un período de tiempo determinado y lo que se excluye de la auditoría. 5. Identificación de Recursos y Planificación de la Auditoría en Terreno: Identificar destrezas técnicas y recursos que se necesitan; por ejemplo identificar fuentes de información para pruebas o revisión tales como flujogramas funcional, políticas, normas, procedimientos o papeles de trabajo de auditorías previas. 6. Metodología: Indica al auditor y al auditado la forma metodológica de como desarrolló el trabajo de auditoría. Que recursos utilizará (o utilizó), como logrará (logró) las evidencias (en términos globales) y la información recopilada. 7. Procedimientos de Auditorías: (PC/PS) Constituyen las acciones específicas más importantes del proceso de auditoría, éstas dependiendo de los objetivos específicos serán variadas; por ejemplo: CheckList, Cuestionarios, Procedimientos Específicos, Pruebas de Cumplimiento y Sustantivas, según el objeto de estudio. Eduardo 3

Objetivos Específicos de Auditoría: Identificar los propósitos (variados); por ejemplo determinar que las modificaciones a un programa fuente son realizados en un ambiente definido y controlado. 4.

4 Eduardo Indice 8. Pre- Informe: Documento elaborado por el A.T.I. el cual consigna: I. Antecedentes Generales 1.1 Objetivo General 1.2 Objetivos Específicos 1.3 Alcance de la Auditoría II. Metodología Eduardo III Opinión General IV Observaciones y Recomendaciones Detalladas a) Situación Actual Descripción neutral, insesgada y sin jucio de valor de la situación entorno a la debilidad. Eduardo b) c) Observación(es) Identificación de la debilidad, análisis del impacto de la materialización de ese riesgo en el área problema y en la organización; y opinión profesional, si lo amerita, sobre esos acontecimientos. Recomendación(es) Recomendaciones técnicas y administrativas que correspondan, de acuerdo a la evidencia, que emite el auditor para minimizar la ocurrencia de ese riesgo observado. 4

Eduardo b) c) Observación(es) Identificación de la debilidad, análisis del impacto de la materialización de ese riesgo en el área problema y en la organización; y opinión profesional, si lo amerita,

5 Eduardo V. Anexos. (antecedentes o evidencias que refuerzen las debilidades detectadas.) Finalizado el Preinforme se genera una consenso con el Cliente o Auditado para el fortalecimiento de los puntos o debilidades detectadas por el auditor; eliminación de los puntos detectados o mantención de las debilidades, consignando los comentarios que la administración pueda hacer, sino hay acuerdo. Eduardo 9. Informe Final: Entrega formal al cliente o auditado del Informe de Auditoría Depurado (Preinforme con observaciones del cliente incorporar letra "d) Comentarios de la Administración", y si es el caso la letra "e) Nuevos Antecedentes de la Auditoría", en cada observación detectada) Nota: Un programa de auditoría debe ser capaz de demostrar o guiar al auditor las acciones a ejecutar de acuerdo a los objetivos generales, específicos y en base a éstos, obtener información concerniente a esa definición; y, los más importante "QUE HACER CON ESA INFORMACIÓN". Eduardo 5

mantención de las debilidades, consignando los comentarios que la administración pueda hacer, sino hay acuerdo. Eduardo 9.

6 Eduardo Pruebas de Cumplimiento/Substantivas Una prueba de Cumplimiento: Determina si los controles se aplican tal como se describen en la documentación del programa o según lo describe el ente auditado. Determina si los controles se aplican en una manera que cumplan las políticas y procedimientos de la Gerencia o del control interno diseñado. Ejemplo: Si el A.S. revisa el cumplimiento de los respaldos magnéticos según calendario o secuencia crítica de procesamiento. (Puede revisar el universo de respaldos o una muestra.) Eduardo Pruebas de Cumplimiento/Sustantiva Una Prueba Sustantiva: Una prueba sustantiva "sustenta" la adecuación de los controles existentes para proteger a la organización de la actividad fraudulenta. (Evalúa la adecuacidad de los controles existentes) Ejemplo: Un A.S. puede desarrollar una prueba sustantiva para determinar la exactitud del inventario de una cintoteca. Eduardo 6

el A.S. revisa el cumplimiento de los respaldos magnéticos según calendario o secuencia crítica de procesamiento. (Puede revisar el universo de respaldos o una muestra.

Documentos relacionados

Universidad Autónoma de los Andes Evaluación y Auditoría Informática Unidad 1: Metodología de una Auditoría de Sistemas Computacionales - ASC Ing. John Toasa Espinoza http://waudinfingjohntoasa.wikispaces.com