Please enable JavaScript.
Coggle requires JavaScript to display documents.
CAPITULO 2 PLANEACION DE LA AUDITORIA EN INFORMATICA - Coggle Diagram
CAPITULO 2
PLANEACION DE LA AUDITORIA EN INFORMATICA
PERSONAL PARTICIPANTE
En primer lugar, debemos pensar que hay personal asignado por la organización, que deba proporcionarnos toda la información que se solicite y programar las reuniones y entrevistas requeridas. También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información, ya que debemos analizar no solo el punto de vista de la dirección de informática, sino también el del usuario del sistema.
Para complementar el grupo, se deben tener personas con las siguientes características:
Técnico en informática.
Conocimientos de administración, contaduría y finanzas.
Experiencia en el área de informática.
Experiencia en operación y análisis de sistemas.
Conocimientos y experiencia en psicología industrial.
Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del área y caracteristicas a auditar.
Conocimientos de los sistemas más importantes.
Los auditores internos son responsables de proporrcionar informacion acerca de la adecuacion y efectividad del sistema de control interno de la organizacion y de la calidad de la gestion.
FASES DE LA AUDITORIA
Pruebas de consentimiento
El objetivo de la fase de prueba de consentimiento es el de determinar si los controles internos operan como fueron diseñados para operar. Además de las técnicas manuales de recolección de evidencias, muy frecuentemente el auditor debe recurrir a técnicas de recolección de información asistidas por computadora, para determinar la existencia y confiabilidad de los controles.
Planeacion de la auditoria en informatica
Se incluirá:
El establecimiento de los objetivos y el alcance.
La obtención de información sobre las actividades que se auditarán.
La determinación de los recursos para la auditoría.
La comunicación con todos los involucrados.
La realización, de una inspección física.
La preparación por escrito del programa de auditoría.
La determinación de cómo, cuándo y a quién se le comunicarán
los resulta dos de la auditoria.
La obtención de la aprobación del plan de trabajo de la auditoria.
Objetivos.
Evaluación administrativa del área de procesos electrónicos.
Evaluación de los sistemas y procedimientos.
Evaluación de los equipos de cómputo.
Evaluación del proceso de datos , de
los
sistemas y de los equipos de cómputo.
Seguridad y confidencialidad de la información.Aspectos legales de los sistemas y de la información.
El proceso de planeación comprende el establecer.
Metas.
Programas de trabajo de auditoria.
Planes de contratación de personal y presupuesto financiero.
Informes de actividades.
Pruebas de controles del usuario
En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de infomática. Estas pruebas que compensan las deficiencias de los controles internos se pue- den realizar mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios
Pruebas sustantivas
El auditor debe participar en tres estados del sistema:
Durante la fase de diseño del sistema.
Durante la fase de operación.
Durante la fase posterior a la auditoria.
La opinión del gerente de informática y de la alta gerencia consideran que el que el auditor participe en la fase de diseño disminuye la independencia del auditor, pero existen varias formas en las cuales se puede eliminar esto:
Aumentando los conocimientos en informática del auditor.
Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al posterior a la auditoria.
Crear una sección de auditoria en informática dentro del departamento de auditoria interno, especializado en auditoria en informática.
Obtener mayor soporte de la alta gerencia.
Se pueden identificar ocho diferentes pruebas sustantivas:
Pruebas para identificar errorés en el procesamiento o de falta de seguridad o confidencialidad.
Pruebas para asegurar la calidad de los datos.
Pruebas para identificar la inconsistencia de los datos.
Pruebas para comparar con los datos o contadores finicos.
Confirmación de datos con fuentes externas.
Pruebas para confirmar la adécuada comunicación.
Pruebas para determinar falta de seguridad.
Pruebas para determinar problemas de legalidad.
Examen y evaluacion de la informacion
El proceso de examen y evaluación de la información es el siguiente:
Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoría.
La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendaciones de la auditoria.
Los procedimientos de auditoría, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadístico, deberán ser elegidos con anterioridad.
El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una seguridad.
Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por la gerencia de auditoria.
Revision detallada
El auditor debe decidir si se debe continuar elaborando pruebas de consentimiento, para obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisión con los usuarios.
En algunos casos, después de hacer un análisis detallado, se puede decidir que con los controles internos se tiene suficiente confianza, y en otros casos que los procedimientos alternos de auditoria pueden ser más apropiados.
En la fase de evaluación el auditor identificara las causas de las pérdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por éstas
Si el auditor interno considera que los controles internos del sistema no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o a realizar pruebas sustantivas y procedimientos, debe señalar las recomendaciones para mejorar los controles de los sistemas.
Revicion Preliminar
Al terminar la revisión preliminar el auditor puede proceder en uno de los tres caminos siguientes.
Diseño de la auditoría. Por la falta de competencia para realizar la auditoría.
Realizar una revisión detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles.
Decidir el no confiar en los controles internos del sistema. Primero, puede ser más eficiente desde el punto de vista de costo-beneficio. Segundo, controles del área de informática pueden duplicar los controles existentes en el área del usuario
EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO
Para evaluar el riesgo de un sistema con mayor detalle véase el apartado "Plan de contingencia y procedimientos de respaldo para casos de desastre". Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que:
Interfieren con otros sistemas, y los errores generados permean a otros sistemas.
Potencialmente, alto riesgo debido a daños en la competencia. Algunos sistemas le dan a la organización un nivel competitivo muy alto dentro de un mercado.
Ejemplo: Sistema de planeación estratégica. Patentes, derachos de autor, los cuales son lias mayores fuentes de recursos de la organización.
Las fallas pueden impactar grandemente a la organización.
Ejemplo: Una falla en el procesamiento de la nómina, puede tener como consecuencia el que se tenga una huelga.
Sistemas de tecnologia de punta o avanzada. Si los sistemas utilizan tecno logía avanzada o de punta.
Ejemplo: Sistemas de bases de datos, sistemas distribuidos o de comunicación, tecnologia sobre la cual la organización tenga muy poca experiencia o respaldo.
Son susceptibles a diferentes tipos de pérdida económica.
Ejemplo: Fraudes y destalcos entre los cuales están los sistemas financieros.
Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.
INVESTIGACION PRELIMINAR
La meta principal de los administradores de la dirección de informática es la misma que cualquier departamento de servicior combinar un servicio adecuado con una operación económica. Para poder analizar y dimensionar la estructura a auditar se debe solicitar:
Recursos materiales y técnicos:
Solicitar documentos sobre los equipos, asi como el número de ellos, su localización y sus características.
Estudios de viabilidad.
Fechas de instalación de los equipos y planes de instalación
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con otras instalaciones.
Configuración de los equipos y capacidades actuales y máximas.
Configuración de equipos de comunicación y localización de los equipos.
Planes de expansión.
Ubicación general de los equipos.
Politicas de operación.
Politicas de uso de los equipos.
Politicas de seguridad fisica y prevención contra contingencias internas y externas.
A nivel del área de informática:
Objetivos a corto y largo plazos.
Manual de organización del área que incluya puestos, funciones, niveles jerárquicos y tramos de mando.
Manual de políticas, reglamentos internos y lineamientos generales.
Número de personas y puestos en el área.
Procedimientos administrativos del área.
Presupuestos y costos del área.
Sistemas:
Descripción general de los sistemas instalados y de los que estén por instalarse.
Manual de formas.
Manual de procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada, archivos, salida.
Fecha de instalación de los sistemas.
Proyecto de instalación de nuevos sistemas.
Bases de datos, propietarios de la información y usuarios de la misma.
Procedimientos y politicas en casos de desastre.Sistemas propios, rentados y adquiridos.
A nivel organización total:
Objetivos a corto y largo plazos.
Manual de la organización.
Antecedentes o historia del organismo.
Políticas generales.