RevisinPreliminar

RevisinDetallada
ExamenyEvaluacindelaInformacin
Pruebasdeconsentimiento
PruebasdeControlesdelosUsuarios
PruebasSustantivas
EvaluacindelosSistemasdeAcuerdoalRiesgo
Requerimientosdeunaauditora
PersonalParticipante
Ing.JosManuelPoveda
REVISINPRELIMINAR:
Es el primer paso en el desarrollo de la auditora,
despus de la planeacin.
Objetivo:
Obtener informacin necesaria para que el
auditor pueda tomar la decisin de cmo proceder
en la auditora.
Al terminar la RP puede proceder a seguir uno de los
tres caminos:
Diseodela
Auditora
Realizarunarevisin
detalladadelosCI
Decidirnoconfiaren
losCI
La Revisin Preliminar (RP) significa la recoleccin de
evidencias por medio de entrevistas con el personal de la
instalacin, la observacin de las actividades en la
instalacin y la revisin de la documentacin preliminar.
La RP realizada por un Auditor Interno difiere de la
realizada por un auditor externo en:
1
El AI normalmente requiere de menos revisiones y trabajos. El AI normalmente requiere de menos revisiones y trabajos.
2
El AE se enfoca ms en las causas de las prdidas y en los controles
necesarios para justificar sus decisiones.
El AE se enfoca ms en las causas de las prdidas y en los controles
necesarios para justificar sus decisiones.
3
Si el auditor interno supone serias debilidades en los CI, en lugar de
proceder directamente con las pruebas sustantivas deber continuar
con la fase de revisin detallada.
Si el auditor interno supone serias debilidades en los CI, en lugar de
proceder directamente con las pruebas sustantivas deber continuar
con la fase de revisin detallada.
REVISINDETALLADA:
Objetivo:
Obtener la informacin necesaria para que el auditor
tenga un profundo entendimiento de los controles
usados dentro del rea de informtica.
Aqu el auditor decide:
Pruebas de consentimiento o pruebas sustantivas?
En esta fase es importante para el auditor identificar
las causas de las prdidas existentes dentro de la
instalacin y los controles para reducir las prdidas y
los efectos causados por esta.
Los mtodos de obtencin de informacin son los mismos usados
en la investigacin preliminar y lo nico que difiere es su
profundidad con la que se obtiene y evala.
El auditor debe evaluar si los controles escogidos son ptimos:
Si provocan un sobre control.
Si se logra un satisfactorio nivel de control usando menos controles o
controles menos costosos.
Si el auditor considera que los CI no son satisfactorios, en lugar de
proceder directamente a revisar, a probar controles alternos o
realizar pruebas sustantivas y procedimientos, debe sealar
recomendaciones para mejorar los controles de los sistemas.
EXAMENYEVALUACINDELAINFORMACIN:
Los auditores internos debern obtener, analizar,
interpretar y documentar la informacin para apoyar los
resultados de la auditora. El proceso de examen y
evaluacin de la informacin es el siguiente:
1. Se debe tener la informacin de todos los asuntos
relacionados con los objetivos y alcances de la Auditora.
2. La informacin deber ser suficiente, competente,
relevante y til para que proporcione bases slidas en
relacin con los hallazgos y recomendacin de la
auditora.
3. Los procedimientos de auditora debern ser elegidos
con anterioridad, cuando esto sea posible,
modificarse cuando las circunstancias lo requieran.
4. El proceso de recabar, analizar, interpretar y
documentar la informacin deber supervisarse para
proporcionar una seguridad razonable de que la
objetividad del auditor se mantuvo y que las metas
de la auditora se cumplieron.
5. Los documentos de trabajo de la auditora debern
ser preparados por los auditores y revisados por la
gerencia de auditora.
El director de auditora en informtica deber establecer
un programa para seleccionar y desarrollar los recursos, el
cual debe contemplar:
Descripciones de puestos por cada nivel de AI.
Seleccin de individuos calificados y competentes.
Asesora a los auditores en lo referente a su trabajo y a su desarrollo
profesional.
Entrenamientoyoportunidadde
capacitacinprofesionalparatodosy
cadaunodelosauditores.
Evaluacindeltrabajodecadaunodelos
auditoresporlomenosunavezalao.
Eldirectordeauditorainformticadeberestablecery
mantenerunprogramadecontroldelacalidadpara
evaluarlasoperacionesdesuequipodetrabajo.Este
programadeberincluir:
PRUEBASDECONSENTIMIENTO:
Objetivo:
Determinar si los CI operan como fueron diseados
para operar. El auditor debe determinar si los controles
declarados en realidad existen y si en realidad trabajan
confiablemente.
PRUEBASDECONTROLES DELUSUARIO:
En algunos casos el auditor puede decidir el no confiar
en los controles internos dentro de las instalaciones
informticas, porque el usuario ejerce controles que
compensan cualquier debilidad dentro de los CI de
informtica.
PRUEBASSUSTANTIVAS:
Objetivo:
Obtener evidencia suficiente que permita al auditor
emitir su juicio en las conclusiones acerca de cuando
pueden ocurrir prdidas materiales durante el
procesamiento de la informacin.
ExistenochoPruebasSustantivas:
1. Pruebas para identificar errores en el procesamiento
o de falta de seguridad o confidencialidad.
2. Pruebas para asegura la calidad de los datos.
3. Pruebas para identificar la inconsistencia de los
datos.
4. Pruebas para comparar con los datos o contadores
fsicos.
5. Confirmacin de datos con fuentes externas.
6. Pruebas para confirmar la adecuada comunicacin.
7. Pruebas para determinar la falta de seguridad.
8. Pruebas para determinar problemas de legalidad.
Lospasosqueinvolucranunaauditoraeninformtica:
Realizarunainvestigacinpreliminardelreadeinformtica
SielauditordeterminaconfiarenlosCI,serealizaunainvestigacindetallada.
Elauditorpruebalaconfianzasobreaquelloscontrolesquesoncrticos.
Serealizanpruebassustantivasdelosprocedimientos.
Elauditordebedarunaopinin.
Evaluacindelossistemasde
acuerdoalriesgo
Una de las formas de evaluar la importancia que puede
tener para la organizacin un determinado sistema es
considerar el riesgo que implica el que no sea
adecuadamente utilizado, la prdida de informacin o
bien que sea usado por personal ajeno a la
organizacin.
Algunossistemasdeaplicaciones
sondemsaltoriesgoqueotros
debidoaque:
Son susceptibles a diferentes tipos de prdida econmica.
Las fallas pueden impactar grandemente a la organizacin.
Los sistemas le dan a la empresa un nivel competitivo muy
alto dentro de un mercado.
Sistemas de tecnologa de punta.
Sistemas que son muy costosos de desarrollar, los cuales
son frecuentemente sistemas complejos que pueden
presentar muchos problemas de control.
RequerimientosdeunaAuditora:
Anivelorganizacional:
Objetivosacortoylargoplazo.
Misin,VisinyValores.
Antecedentesdelaempresa
Organigrama
Funcindecadaunodelosdepartamentos.
Relacionesentrelasdiversasreasdelnegocio
PolticasGenerales.
Aniveldelreadeinformtica:
Objetivosacortoylargoplazos.
ManualdeFunciones(Fichasocupacionales).
Manualdepolticas,reglamentosinternosy
lineamientosgenerales.
Nmerodepersonasypuestosenelrea.
Procedimientosadministrativosdelrea.
Presupuestosycostosdelrea.
RecursosMaterialesyTcnicos:
Solicitar documentos sobre los equipos, as como el nmero de ellos,
su localizacin y sus caractersticas (de los equipos instalados, por
instalar y programados).
Estudio de viabilidad.
Fechas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y mximas.
Configuracin de equipos de comunicacin(redes internas y externas)
y localizacin de los equipos.
Planes de expansin.
Ubicacin general de los equipos.
Polticas de operacin.
Polticas del uso de los equipos.
Polticas de seguridad fsica y prevencin contra contingencias
internas y externas.
Sistemas:
Descripcingeneraldelossistemasinstaladosydelos
queestnporinstalarse.
Manualdeprocedimientosdelossistemas.
Descripcingenrica.
Diagramasdeentrada,archivos,salidas.
Fechadeinstalacindelossistemas.
Proyectodeinstalacindenuevossistemas.
Basesdedatos,propietariosdelainformaciny
usuariosdelamisma.
Procedimientosypolticasencasodedesastre.
Sistemaspropiosy/0legalidaddelosmismos.