1) Objetivos: Al obtener una clara comprensin de la empresa, se fijan las
metas que se esperan alcanzar al ejecutar la auditora; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva.
2) Rubros a Examinar: Consiste en descomponer las partes integrantes del
Sistema Informtico, en secciones manejables, facilitando con ello el anlisis integral y exhaustivo, con el propsito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informtico, as como el Hardware, software, personal, y seguridad.
3) Comparaciones: Se establecern comparaciones sobre el actual
funcionamiento de los sistemas informticos y las especificaciones de sobre cmo deberan funcionar, para establecer si se les est dando el uso adecuado y si se est obteniendo los mximos resultados de la aplicacin de dichos sistemas.
4) Generacin de detalles peridicos: Algunas reas sern analizadas por
perodos, con el fin de verificar su desarrollo a travs del tiempo, en cambio, habr otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos perodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuacin inmediata, se generarn reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos correspondientes de manera inmediata.
5) Riesgos: Toda auditora se encuentra impregnada por la posibilidad de
que los aspectos a evaluar contengan errores o irregularidades de importancia no detectados, cuyo conocimiento haga cambiar la opinin sobre ellos. (entindase como error, la ocurrencia u omisin de datos originados en circunstancias no voluntarias por parte de los encargados del funcionamiento de los sistemas informticos; y las irregularidades, son las circunstancias voluntarias por parte del mismo). Estos riesgos se clasifican de la siguiente manera:
a. Riesgo Inherente: Asociado con la generacin de estimaciones
sobre la existencia de hechos, lo anterior es de criterio potencial por parte del auditor, y pueden ser identificados como eventos presuntos, su anlisis parte de la naturaleza del negocio, naturaleza de los sistemas de control de informacin, de los mismos sistemas informticos y otros. b. Riesgo de Control: Este se disminuye a medida que se eleva la confianza en los mtodos de control interno adoptados, y se define como la posibilidad de que el control interno no detecte o evite oportunamente errores o irregularidades de importancia.
c. Riesgo de Deteccin: Vinculado directamente con la funcin de
auditora, y se conoce como la mayor o menor capacidad de efectividad de los procedimientos de la misma para descubrir errores o irregularidades que en condiciones normales deberan ser visualizadas.
6) Elaboracin de cuestionario de control interno: Para conocer el
funcionamiento del departamento de informtica dentro de la entidad, se disear un cuestionario de control interno, en el cual se harn en su mayora preguntas cerradas, con el propsito de conocer las actividades a las cuales se dedica la institucin, quienes las efectan, en qu momento se realizan los procesos y por quienes se realizan, con el fin de detectar posibles fallas y con base en ello, detectar la clase de riesgo que presenten cada una de las operaciones y procedimientos. Dichos datos servirn en su conjunto para la realizacin de la correspondiente planilla de decisiones preliminares y el programa de auditora.
7) Elaboracin del programa de auditora: Con posterioridad al
conocimiento general del negocio y a la evaluacin del control interno adoptado, se dejar constancia documental de los pasos a seguir en las diferentes reas involucradas, las tareas programadas, quedan plasmadas en una gua de procedimientos, cuya mayor especificacin, facilita su ejecucin y comprobacin de la misma. Dentro de ellos se hace mencin a los pasos, enfoques, oportunidades, volmenes de muestra, y cualquier otra circunstancia que detalle el trabajo a efectuar. Es importante mencionar que este no se caracterizar por su naturaleza inflexible, por encontrarse sujeto a ampliaciones o reducciones necesarias, originadas en conclusiones parciales, nuevos eventos o diversas situaciones que pudiesen desviar los objetivos propios de la investigacin.
8) Conocimiento sobre controles de inventarios o la ausencia de los mismos
con respecto a los bienes del rea de informtica.
9) Verificacin documental y fsica de las adquisiciones de bienes del rea
de informtica.
10) Documentacin adecuada de hallazgos.
11) Rendimiento de informes parciales o previos, ante la deteccin de errores
cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna.
12) Preparacin del informe final de auditora, con copia para los encargados del sistema de informtico del negocio.
Nota: Toda la metodologa y procedimientos detallados, no inhiben de sostener
reuniones peridicas o eventuales con la administracin, a efectos de discutir, ampliar o sugerir sobre la forma de operar y aspectos que de manera inmediata sea necesario corregir, asimismo cualquier consulta o requerimiento se efectuar de forma escrita como constancia de realizado. Auditores Externos Independientes Grupo 4 y Asociados PROGRAMA DE AUDITORIA AL AREA INFORMTICA CLIENTE: EMPRESA LOS FINALISTAS DEL NOVENO S.A. No. DESCRIPCIN HECHO REF. P/T FECHA POR OBJETIVOS DE LA AUDITORIA Evaluar el funcionamiento y seguridad de los sistemas 1 informticos de la empresa, as como realizar un estudio suficiente de las operaciones del mismo que permita generar un respaldo en la emisin del informe a la auditora practicada y as asegurar una mayor integridad, confidencialidad y confiabilidad de la informacin mediante las recomendaciones de seguridades y controles, de la misma manera analizar y evaluar el desempeo, mantenimiento y mejoras del hardware y software del sistema de informacin.
Evaluacin de los controles y esfuerzos de la
2 empresa para restringir el acceso al sistema a personas no autorizadas.
3 Evaluar los registros e informacin financiera en la
base de datos. 4 Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciacin del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja.
Verificar si el software tiene las licencias
5 correspondientes.
Verificar que las instalaciones donde labora el
6 personal del rea de informtica estn adecuadas a las necesidades y no representen peligro para los empleados ni para el equipo.
7 Preparar documentacin adecuada de hallazgos.
8 Rendimiento de informes parciales o previos, ante
la deteccin de errores cuyo impacto sea relevante, con firma y fecha de recibidos, como constancia de divulgacin oportuna.
Preparacin del informe final de auditora, con copia
9 para los encargados del sistema de informtico del negocio.