Académique Documents
Professionnel Documents
Culture Documents
1
Para lograr una adecuada planeación, lo primero que se requiere es
obtener información general sobre la organización y sobre la función de
informática a evaluar.
Metas.
Programas de trabajo de auditoria.
Planes de contratación de personal y presupuesto financiero.
Informes de actividades.
Conocimiento acumulado
3
En una auditoria recurrente, se acumulan conocimientos sobre el
negocio, su medio de control, su gerencia y sus sistemas de información.
Además, la evidencia de auditoria obtenida como parte de exámenes
anteriores, por lo general continúa teniendo relevancia.
4
Decisiones preliminares para los componentes.
Planificación detallada:
1. Objetivos
2. Alcances de auditoría
3. Determinación de recursos de la Auditoría
4. Selección de procedimientos de auditoria
5. Preparación de programas de trabajo.
5
Objetivos: Se indica el propósito del trabajo de auditoría a realizar.
Objetivos generales de la Auditoría de Sistemas de la Información
- Analizar la eficacia del Sistema Informático
- Verificación de la implantación de la Normativa
- Revisión de la gestión de los recursos informáticos.
- Evaluar la fiabilidad
- Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad
- Revisar la seguridad de los entornos y sistemas.
- Analizar la garantía de calidad de los Sistemas de Información
- Analizar los controles y procedimientos tanto organizativos como
operativos.
- Verificar el cumplimiento de la normativa y legislación vigentes
- Elaborar un informe externo independiente.
- Contrastar contra los estándares de calidad para que sirvan para el
diagnostico
Objetivos específicos:
- Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información.
- Seguridad del personal, los datos, el hardware, el software y las
instalaciones.
- Minimizar existencias de riesgos en el uso de Tecnología de
información
- Conocer la situación actual del área de sistemas para lograr los
objetivos de la Organización.
- Seguridad, utilidad, confianza, privacidad y disponibilidad de los
entornos.
- Incrementar la satisfacción de los usuarios de los sistemas de
información.
- Capacitación y educación sobre controles en los Sistemas de
Información.
- Buscar una mejor relación costo-beneficio de los sistemas automáticos.
- Decisiones de inversión y gastos innecesarios.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones
a la alta gerencia para mejorar o lograr un adecuado control interno en
ambientes de tecnología informática con el fin de lograr mayor eficiencia
operacional y administrativa Auditoría de Sistemas
Alcances de auditoría; aquí se identifica los sistemas específicos o
unidades de la organización que se han de incluir en la revisión en un
periodo de tiempo determinado.
Los objetivos propuestos deben ser consensuados con el equipo
responsable de la aplicación en la organización usuaria.
Es preciso conseguir una gran claridad y precisión en la definición de los
objetivos de la auditoria y del trabajo y pruebas que se proponen
realizar, delimitando perfectamente su alcance de manera que no
ofrezcan dudas de interpretación.
6
Determinación de recursos de la Auditoría Informática
Se procede a determinar los recursos humanos y materiales que han de
emplearse en la auditoría.
- Recursos humanos
- Recursos materiales
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son
proporcionados por el cliente. Las herramientas de software propias del
equipo van a utilizarse igualmente en el sistema auditado, por lo que
han de convenirse en lo posible las fechas y horas de uso entre el
auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
a. Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y Flexibles.
Habitualmente se añaden a las ejecuciones de los procesos del cliente
para verificarlos.
b. Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado.
Para lo cuál habrá de convenir el, tiempo de maquina, espacio de disco,
impresoras ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las
características y perfiles del personal seleccionado dependen de la
materia auditable.
Perfiles Profesionales de los auditores informáticos
7
Selección de procedimientos de auditoría
Para la selección de los procedimientos de auditoria, corresponderá tener
en cuenta cual es toda la gama posible de procedimientos a aplicar. En
ese sentido, los procedimientos posibles responden a dos grandes
grupos, los procedimientos sustantivos y la prueba de controles.
Para la selección de los procedimientos de auditoria, usualmente resulta
eficiente considerar los procedimientos ya seleccionados para otros
componentes, que puedan brindar satisfacción de auditoria adicional
para el componente que se este planificando.
Los procedimientos de auditoria seleccionados constituyen la base para
la preparación del programa de trabajo.
Preparación de programas de trabajo
El resultado de la etapa de planificación detallada se documentara a
través de lo que se llama “Programa de trabajo”, que incluye cada uno
de los procedimientos a aplicar para cada componente y en cada visita
de auditoria con indicación del alcance y pasos a seguir.
Una vez asignados los recursos, el responsable de la auditoría y sus
colaboradores establecen un programa o plan de trabajo. Decidido éste,
se procede a la programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los
siguientes:
a) Si la revisión debe realizarse por áreas generales o áreas específicas.
En el primer caso, la elaboración es más compleja y costosa.
b) Si la auditoría es global, de toda la Informática, o parcial en sistemas
de información. El volumen determina no solamente el número de
auditores necesarios, sino las especialidades necesarias del personal.
En el Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios.
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la
revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado
Una vez elaborado el Plan, se procede a la programación de actividades
que se ejecutarán hasta la conclusión de la auditoria y elaborar el
informe final. El plan deber ser lo suficientemente flexible como para
permitir modificaciones a lo largo del proyecto.
Informe de auditoría.
Los informes de auditoría son el producto final del trabajo del auditor de
sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aquí también se expone la opinión sobre
lo adecuado o lo inadecuado de los controles o procedimientos revisados
durante la auditoría, no existe un formato específico para exponer un
informe de auditoría de sistemas de información, pero generalmente
tiene la siguiente estructura o contenido:
Introducción al informe, donde se expresara los objetivos de la auditoría,
el período o alcance cubierto por la misma, y una expresión general
8
sobre la naturaleza o extensión de los procedimientos de auditoría
realizados.
Observaciones detalladas y recomendaciones de auditoría.
Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas.
Conclusión global del auditor expresando una opinión sobre los controles
y procedimientos revisados.
Seguimiento de las observaciones de auditoría.
El trabajo de auditoría es un proceso continuo, se debe entender que no
serviría de nada el trabajo de auditoría si no se comprueba que las
acciones correctivas tomadas por la gerencia, se están realizando, para
esto se debe tener un programa de seguimiento, la oportunidad de
seguimiento dependerá del carácter crítico de las observaciones de
auditoría. El nivel de revisión de seguimiento del auditor de sistemas
dependerá de diversos factores, en algunos casos el auditor de sistemas
tal vez solo necesite inquirir sobre la situación actual, en otros casos
tendrá que hacer una revisión más técnica del sistema.
9
documentación narrativa. Debemos considerar que ésta será sólo una
información inicial que nos permitirá elaborar el plan de trabajo, la
cual se profundizará en el desarrollo de la auditoría.
10
Como en el caso de la investigación preliminar, se tienen diferentes
formas de lograr los objetivos desde el punto de vista del auditor
interno o externo. El auditor interno debe considerar las causas de las
pérdidas que afectan la eficiencia y eficacia, además de evaluar por
qué los controles escogidos son o no suficientes para reducir las
pérdidas esperadas a un nivel aceptable. El auditor interno debe
evaluar si los controles escogidos son óptimos, si provocan un
sobrecontrol, o bien si se logra un satisfactorio nivel de control
usando menos controles o controles menos costosos. Si el auditor
interno considera que los controles internos del sistema no son
satisfactorios, en lugar de proceder directamente a revisar, a probar
controles alternos o a realizar pruebas sustantivas y procedimientos,
debe señalar las recomendaciones para mejorar los controles de los
sistemas.
12
El director de auditoria interna en informática deberá establecer y
mantener un programa de control de calidad para evaluar las
operaciones es proporcionar una seguridad razonable de que el
trabajo de auditoria esta de acuerdo con las normas aplicables.
Supervisión.
Revisión internas.
Revisiones externas.
13
2.1.5 PRUEBAS DE CONTROLES DE USUARIO.
14
En general, la opinión del gerente de informática de la alta gerencia
considera que el que el auditor participe en la fase de diseño
disminuye la independencia del auditor, pero existen varias formas en
las cuales se puede eliminar esto:
15
Interfieren con otros sistemas, y los errores generados
permean a otros sistemas.
Potencialmente, alto riesgo debido a daños en la competencia.
Algunos sistemas le dan a la organización un nivel competitivo
muy alto dentro de un mercado.
o Sistema de planeación estratégica. Patentes, derechos de
autor, los cuales son las mayores fuentes de recursos de
la organización. Otros a través de los cuales su pérdida
puede destruir la imagen de la organización.
Sistemas de tecnología de punta o avanzada. Si los sistemas
utilizan tecnología avanzada o de punta.
o Sistemas de bases de datos, sistemas distribuidos o de
comunicación, tecnología sobre la cual la organización
tenga muy poca experiencia o respaldo, la cual es más
probable que sea una fuente de problemas de control.
Sistemas de alto costo. Sistemas que son muy costosos de
desarrollar, los cuales son frecuentemente sistemas complejos
que pueden presentar muchos problemas de control.
16
solicitudes de documentos; la finalidad es definir el objetivo y alcance
del estudio, así como el programa detallado de la investigación.
17
Los usuarios a nivel operativo generalmente la ven como una
herramienta para incrementar su eficiencia en el trabajo. Para estos
usuarios, la dirección de informática es una función de servicio. Cada
grupo de usuarios tiene su propia expectativa del tipo y nivel de
servicio, sin considerar el costo del mismo y normalmente sin tomar
en cuenta las necesidades de otros grupos de usuarios.
Sistemas:
19
En el momento de hacer la planeación de la auditoría o bien en su
realización, debemos evaluar que pueden presentarse las siguientes
situaciones.
20
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos
recabados.
También se debe contar con personas asignadas por los usuarios para que
en el momento que se solicite información, o bien se efectúe alguna
entrevista de comprobación de hipótesis, nos proporcionen aquello que se
está solicitando, y complementen el grupo multidisciplinario, ya que
debemos analizar no sólo el punto de vista de la dirección de informática,
sino también el del usuario del sistema.
21
Técnico en informática.
Conocimiento de administración, contaduría y finanzas.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos y experiencia en psicología industrial.
Conocimiento de los sistemas operativos, bases de datos, redes y
comunicaciones, dependiendo del área y características a auditar.
Lo anterior no significa que una sola persona deba tener los conocimientos y
experiencias señaladas, pero sí que deben intervenir una o varias personas
con las características apuntadas.
22
CONCLUSIÓN
23
24