Please enable JavaScript.
Coggle requires JavaScript to display documents.
PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA - Coggle Diagram
PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA
Una planificación adecuada es el primer paso necesario para realizar auditorias de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria así como los riesgos del negocio y control asociado.
Beneficios de Planificar
Controlar:
El avance, La asignación de Recursos, Los desvíos, El flujo de fondos. La eficiencia operativa.
Optimizar:
Tiempo, Recursos y Tareas
Comprensión del Negocio y de su Ambiente.
Al planificar una auditoria, el auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa.
Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son:
Recorrer las instalaciones del ente.
Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros.
Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
Estudio de los informes sobre normas o reglamentos.
Revisión de planes estratégicos a largo plazo.
Revisión de informes de auditorias anteriores.
Riesgo y Materialidad de Auditoria.
En una auditoria de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado así como de otros factores.
La materialidad en la auditoria de sistemas debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario
.
Los Riesgos en Auditoria pueden clasificarse de la siguiente manera:
Riesgo inherente:
Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se puedan establecer
.
Riesgo de Control
:
Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.
Riesgo de detección:
Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado.
Técnicas de Evaluación de Riesgos.
Al determinar que áreas funcionales o temas de auditoria que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoria, el auditor de sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser auditada.
Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son:
Permitir que la gerencia asigne recursos necesarios para la auditoria.
Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la función de auditoria se dirigen correctamente a las áreas de alto riesgo y constituyen un valor agregado para la gerencia.
Constituir la base para la organización de la auditoria a fin de administrar eficazmente el departamento.
Proveer un resumen que describa como el tema individual de auditoria se relaciona con la organización global de la empresa así como los planes del negocio.
Objetivos de Controles y Objetivos de Auditoría.
El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoria es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa.
Algunos ejemplos de Procedimientos de Auditoria son:
Revisión de la documentación de sistemas e identificación de los controles existentes.
Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos.
Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
Desarrollo del Programa de Auditoria
Un programa de auditoria es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoria planificados.
El esquema típico de un programa de auditoria incluye lo siguiente:
Tema de auditoria:
Donde se identifica el área a ser auditada.
Objetivos de Auditoria:
Donde se indica el propósito del trabajo de auditoria a realizar.
Alcances de auditoria:
Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado.
Planificación previa:
Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.
Técnicas de Recopilación de Evidencias
Algunas formas son las siguientes:
Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria.
Observación de operaciones y actuación de empleados, esta es una técnica importante para varios tipos de revisiones, para esto se debe documentar con el suficiente grado de detalle como para presentarlo como evidencia de auditoria.
Auto documentación, es decir el auditor puede preparar narrativas en base a su observación, flujogramas, cuestionarios de entrevistas realizados.
Aplicación de técnicas de muestreo para saber cuándo aplicar un tipo adecuado de pruebas (de cumplimiento o sustantivas) por muestras.
Utilización de técnicas de auditoria asistida por computador CAAT, consiste en el uso de software genérico, especializado o utilitario.
Evaluación de fortalezas y debilidades
Para esto generalmente se utiliza una matriz de control con la que se evaluará el nivel de los controles identificados, esta matriz tiene sobre el eje vertical los tipos de errores que pueden presentarse en el área y un eje horizontal los controles conocidos para detectar o corregir los errores, luego se establece un puntaje.
Informe de Auditoria
Son el producto final del trabajo del auditor de sistemas, este informe es utilizado para indicar las observaciones y recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado de los controles o procedimientos revisados durante la auditoria.
