Revisión
Preliminar
Revisión Detallada
Examen y Evaluación de la Información
Pruebas de consentimiento
Pruebas de Controles de los Usuarios
Pruebas Sustantivas
Evaluación de los Sistemas de Acuerdo al Riesgo
Requerimientos de una auditoría
Personal Participante
Ing. José Manuel Poveda
REVISIÓN PRELIMINAR:
 Es el primer paso en el desarrollo de la auditoría,
después de la planeación.
 Objetivo:
Obtener información necesaria para que el
auditor pueda tomar la decisión de cómo proceder
en la auditoría.
 Al terminar la RP puede proceder a seguir uno de los
tres caminos:
Diseño de la
Auditoría
Realizar una revisión
detallada de los CI
Decidir no confiar en
los CI
 La Revisión Preliminar (RP) significa la recolección de
evidencias por medio de entrevistas con el personal de la
instalación, la observación de las actividades en la
instalación y la revisión de la documentación preliminar.
 La RP realizada por un Auditor Interno difiere de la
realizada por un auditor externo en:
1
2
3
• El AI normalmente requiere de menos revisiones y trabajos.
• El AE se enfoca más en las causas de las pérdidas y en los controles
necesarios para justificar sus decisiones.
• Si el auditor interno supone serias debilidades en los CI, en lugar de
proceder directamente con las pruebas sustantivas deberá continuar
con la fase de revisión detallada.
REVISIÓN DETALLADA:
 Objetivo:
Obtener la información necesaria para que el auditor
tenga un profundo entendimiento de los controles
usados dentro del área de informática.
 Aquí el auditor decide:
¿Pruebas de consentimiento o pruebas sustantivas?
 En esta fase es importante para el auditor identificar
las causas de las pérdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y
los efectos causados por esta.
 Los métodos de obtención de información son los mismos usados
en la investigación preliminar y lo único que difiere es su
profundidad con la que se obtiene y evalúa.
 El auditor debe evaluar si los controles escogidos son óptimos:
 Si provocan un sobre control.
 Si se logra un satisfactorio nivel de control usando menos controles o
controles menos costosos.
 Si el auditor considera que los CI no son satisfactorios, en lugar de
proceder directamente a revisar, a probar controles alternos o
realizar pruebas sustantivas y procedimientos, debe señalar
recomendaciones para mejorar los controles de los sistemas.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN:
 Los
auditores internos deberán obtener, analizar,
interpretar y documentar la información para apoyar los
resultados de la auditoría. El proceso de examen y
evaluación de la información es el siguiente:
1.
Se debe tener la información de todos los asuntos
relacionados con los objetivos y alcances de la Auditoría.
2.
La información deberá ser suficiente, competente,
relevante y útil para que proporcione bases sólidas en
relación con los hallazgos y recomendación de la
auditoría.
3. Los procedimientos de auditoría deberán ser elegidos
con anterioridad, cuando esto sea posible,
modificarse cuando las circunstancias lo requieran.
4. El proceso de recabar, analizar, interpretar y
documentar la información deberá supervisarse para
proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas
de la auditoría se cumplieron.
5. Los documentos de trabajo de la auditoría deberán
ser preparados por los auditores y revisados por la
gerencia de auditoría.
 El director de auditoría en informática deberá establecer
un programa para seleccionar y desarrollar los recursos, el
cual debe contemplar:
Descripciones de puestos por cada nivel de AI.
Selección de individuos calificados y competentes.
Entrenamiento y oportunidad de
capacitación profesional para todos y
cada uno de los auditores.
Evaluación del trabajo de cada uno de los
auditores por lo menos una vez al año.
Asesoría a los auditores en lo referente a su trabajo y a su desarrollo
profesional.
 El director de auditoría informática deberá establecer y
mantener un programa de control de la calidad para
evaluar las operaciones de su equipo de trabajo. Este
programa deberá incluir:
PRUEBAS DE CONSENTIMIENTO:
Objetivo:
 Determinar si los CI operan como fueron diseñados
para operar. El auditor debe determinar si los controles
declarados en realidad existen y si en realidad trabajan
confiablemente.
PRUEBAS DE CONTROLES DEL USUARIO:
 En algunos casos el auditor puede decidir el no confiar
en los controles internos dentro de las instalaciones
informáticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los CI de
informática.
PRUEBAS SUSTANTIVAS:
Objetivo:
 Obtener evidencia suficiente que permita al auditor
emitir su juicio en las conclusiones acerca de cuando
pueden ocurrir pérdidas materiales durante el
procesamiento de la información.
Existen ocho Pruebas Sustantivas:
1.
2.
3.
4.
5.
6.
7.
8.
Pruebas para identificar errores en el procesamiento
o de falta de seguridad o confidencialidad.
Pruebas para asegura la calidad de los datos.
Pruebas para identificar la inconsistencia de los
datos.
Pruebas para comparar con los datos o contadores
físicos.
Confirmación de datos con fuentes externas.
Pruebas para confirmar la adecuada comunicación.
Pruebas para determinar la falta de seguridad.
Pruebas para determinar problemas de legalidad.
Los pasos que involucran una auditoría en informática:
Realizar una investigación preliminar del área de informática
Si el auditor determina confiar en los CI, se realiza una investigación detallada.
El auditor prueba la confianza sobre aquellos controles que son críticos.
Se realizan pruebas sustantivas de los procedimientos.
El auditor debe dar una opinión.
Evaluación de los sistemas de
acuerdo al riesgo
 Una de las formas de evaluar la importancia que puede
tener para la organización un determinado sistema es
considerar el riesgo que implica el que no sea
adecuadamente utilizado, la pérdida de información o
bien que sea usado por personal ajeno a la
organización.
Algunos sistemas de aplicaciones
son de más alto riesgo que otros
debido a que:
 Son susceptibles a diferentes tipos de pérdida económica.
 Las fallas pueden impactar grandemente a la organización.
 Los sistemas le dan a la empresa un nivel competitivo muy
alto dentro de un mercado.
 Sistemas de tecnología de punta.
 Sistemas que son muy costosos de desarrollar, los cuales
son frecuentemente sistemas complejos que pueden
presentar muchos problemas de control.
Requerimientos de una Auditoría:
A nivel organizacional:
 Objetivos a corto y largo plazo.
 Misión, Visión y Valores.
 Antecedentes de la empresa
 Organigrama
 Función de cada uno de los departamentos.
 Relaciones entre las diversas áreas del negocio
 Políticas Generales.
A nivel del área de informática:






Objetivos a corto y largo plazos.
Manual de Funciones (Fichas ocupacionales).
Manual de políticas, reglamentos internos y
lineamientos generales.
Número de personas y puestos en el área.
Procedimientos administrativos del área.
Presupuestos y costos del área.
Recursos Materiales y Técnicos:
 Solicitar documentos sobre los equipos, así como el número de ellos,
su localización y sus características (de los equipos instalados, por
instalar y programados).
 Estudio de viabilidad.
 Fechas de instalación de los equipos y planes de instalación.
 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Configuración de equipos de comunicación(redes internas y externas)
y localización de los equipos.
 Planes de expansión.
 Ubicación general de los equipos.
 Políticas de operación.
 Políticas del uso de los equipos.
 Políticas de seguridad física y prevención contra contingencias
internas y externas.
Sistemas:
 Descripción general de los sistemas instalados y de los








que estén por instalarse.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salidas.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Bases de datos, propietarios de la información y
usuarios de la misma.
Procedimientos y políticas en caso de desastre.
Sistemas propios y/0 legalidad de los mismos.
Antes de concluir esta etapa no se olvide de:
 Estudiar hechos y no opiniones.
 Enfocarse en las causas y no en los efectos.
 Atender razones, no excusas.
 No confiar en la memoria, preguntar constantemente.
 Criticar objetivamente a fondo todos los informes y los
datos recabados.
Personal Participante:
 El número de ellos depende de las dimensiones de la
organización, de los sistemas y de los equipos.
 El personal debe estar debidamente capacitado
(conocimiento y experiencia) en áreas especificas
como bases de datos, hardware, software y
comunicaciones, y con un alto sentido de moralidad.
 Se debe contar con personas asignadas por los
usuarios.
Gracias por su Atención!
Descargar

Planeación de la Auditoría en Informática