Auditoria Informatica

METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS

Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar,

pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

• Estudio preliminar

• Revisión y evaluación de controles y seguridades

• Examen detallado de áreas criticas

• Comunicación de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad

informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para

evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos,

Entrevistas con los principales funcionarios del PAD.

Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos,

realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de

procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace

un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del

mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la

duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo

lo anteriormente analizado.

Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa

hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción

simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría

• Objetivos

• Alcance

• Estructura Orgánico-Funcional del área Informática

• Configuración del Hardware y Software instalado

• Control Interno

• Resultados de la Auditoría

PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego

desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben

satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe

fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de

auditoría que presente esos temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe

garantizar una disponibilidad y asignación adecuada de recursos para realizar el trabajo de auditoría además de las

revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia.

Planificación de la auditoría

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de

sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del

negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante la

planificación de la auditoría:

a. Comprensión del negocio y de su ambiente.

Al planificar una auditoría, el auditor de sistemas debe tener una comprensión de suficiente del

ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas

comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas

que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que

opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de

información y de control que no están presentes en una empresa manufacturera. Los pasos que

puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer

las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre

esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los

temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de

planes estratégicos a largo plazo. Revisión de informes de auditorías anteriores.

b. Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener

errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los

riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error

material no se puede evitar que suceda por que no existen controles compensatorios relacionados

que se puedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o

detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de

que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede

llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra

"material" utilizada con cada uno de estos componentes o riesgos, se refiere a un error que debe

considerarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de

información, la definición de riesgos materiales depende del tamaño o importancia del ente

auditado así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de

estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales

errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza

procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección.

De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un

sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede

convertiré en un error material para todo el sistema. La materialidad en la auditoría de sistemas

debe ser considerada en términos del impacto potencial total para el ente en lugar de alguna medida

basado en lo monetario.

c. Técnicas de evaluación de Riesgos.

Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de

sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de

sistemas debe evaluar esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser

auditada. Existen cuatro motivos por los que se utiliza la evaluación de riesgos, estos son: Permitir

que la gerencia asigne recursos necesarios para la auditoría. Garantizar que se ha obtenido la

información pertinente de todos los niveles gerenciales, y garantiza que las actividades de la

función de auditoría se dirigen correctamente a las áreas de alto riesgo y constituyen un valor

agregado para la gerencia. Constituir la base para la organización de la auditoría a fin de

administrar eficazmente el departamento. Proveer un resumen que describa como el tema

individual de auditoría se relaciona con la organización global de la empresa así como los planes

del negocio.

d. Objetivos de controles y objetivos de auditoría.

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría

es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando

las políticas de la empresa y los objetivos de la empresa. Así pues tenemos por ejemplo como

objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información

deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las

transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a

los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se

consiguen mediante los procedimientos de auditoría.

e. Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e

identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer

las técnicas y controles aplicados. Utilización de software de manejo de base de datos para

examinar el contenido de los archivos de datos. Técnicas de diagramas de flujo para documentar

aplicaciones automatizadas.

Desarrollo del programa de auditoría.

Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de

auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:

Tema de auditoría: Donde

...