Sunteți pe pagina 1din 5

El trabajo de Auditora deber incluir: la planeacin de la auditora el examen y la evaluacin de la informacin la comunicacin de los resultados

2.1 Fases de la Auditora 2.1.1 Planeacin Una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la auditora. Hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello se puede determinar: el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora, para, en caso necesario, poder elaborar el contrato de servicios.

La planeacin deber ser documentada e incluir: El establecimiento de los objetivos y el alcance del trabajo La obtencin de informacin de apoyo sobre las actividades que se auditarn La determinacin de los recursos necesarios para realizar la auditora El establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la auditora

Objetivos de la planeacin: Evaluacin administrativa del rea de procesos electrnicos Evaluacin de los sistemas y procedimientos Evaluacin de los equipos de cmputo Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin

Para lograr una adecuada planeacin es preciso hacer una investigacin preliminar y algunas entrevistas previas y con base en esto planear el programa de trabajo, el cual deber incluir tiempos, costos, personal necesario y documentos auxiliares. Comprende establecer: Metas Programas de trabajo de auditora

Planes de contratacin de personal y presupuesto financiero Informe de actividades

2.1.2 Revisin preliminar. El objetivo es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. Al terminar proceder en uno de los 3 caminos siguientes: Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora. Realizar una revisin detallada de los controles internos de los sistemas. Decidir no confiar en los controles internos del sistema.

La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. Recolectadas por medio de : Cuestionarios iniciales Entrevistas Documentacin narrativa.

2.1.3 Revisin detallada Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor entienda los controles usados dentro del rea de informtica. En sta fase el auditor: Puede decidir que los controles internos son confiables o que stos pueden ser ms apropiados.

2.1.4 Examen y evaluacin de la informacin Obtencin de la informacin los objetivos y alcances de la auditora. La informacin deber ser suficiente, competente, relevante y til. Los procedimientos de auditora se eligen con anterioridad y se pueden modificar. Revisar el proceso de anlisis de la informacin para verificar la objetividad del auditor y las metas cumplidas. Los resultados de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora.

2.1.5 Pruebas de consentimiento El objetivo es determinar si los controles internos funcionan adecuadamente Adems de recolectar evidencias, se recolecta informacin asistida por computadora, para determinar la existencia y confiabilidad de los controles.

http://www.monografias.com/trabajos16/auditoria-de-informacion/auditoria-deinformacion.shtml#plan

2.1.6 Pruebas de Controles de Usuario El auditor puede decidir el o confiar en los controles internos de las instalaciones informticas, porque el usuario compensa cualquier debilidad dentro de los controles internos. Estas pruebas que compensan las deficiencias se pueden realizar mediante cuestionarios, observaciones, entrevistas y evaluaciones hechas directamente con los usuarios 2.1.7 Pruebas sustantivas El objetivo es obtener evidencia suficiente que le permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el proceso de la informacin. Se pueden identificar 8 diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos Pruebas para identificar la inconsistencia de los datos Pruebas para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas Pruebas para confirmar la adecuada comunicacin Pruebas para determinar falta de seguridad Pruebas para determinar problemas de legalidad.

Es necesario evaluar el costo por falla del sistema y sus repercusiones para determinar el grado de riesgo y confianza necesarios contra el costo de implantacin de controles y el costo de recuperacin de la informacin o eliminacin de las repercusiones. Para hacer sta evaluacin el auditor necesita dividir los sistemas en una serie de subsistemas hasta llegar a una evaluacin global sobre la confianza total del sistema. 2.2 Evaluacin de los sistemas de acuerdo al riesgo Para evaluar la importancia que puede tener la organizacin de un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la prdida de informacin o que sea usado por personal ajeno a la organizacin. El trabajar con posibilidad de que ocurra un desastre es algo comn, aunque se debe evitar en lo posible y planear de antemano las medidas en caso de que esto ocurra.

Para esto existe el plan de contingencias que debe contener tanto el procedimiento como la informacin necesarios que permita restaurar el equipo en el menor tiempo posible y con las mnimas consecuencias. El plan de contingencias debe ser probado y utilizado en condiciones anormales para que en caso de usarse en situaciones de emergencia se tenga la seguridad de que funcionar. Las revisiones al plan se deben realizar cuando se haya efectuado algn cambio en la configuracin del equipo o bien cada seis meses. Una de las principales objeciones al plan de emergencia es su costo; pero, como en el caso de un seguro contra incendios, slo podemos evaluar sus ventajas si desafortunadamente el desastre ocurre. Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que: Son susceptibles a diferentes tipos de prdida econmica: Fraudes, desfalcos, etc. El auditor debe poner especial atencin a aquellos sistemas que requieran un adecuado control financiero: Flujo de caja, inversiones, cuentas por pagar y cobrar. Las fallas pueden impactar grandemente a la organizacin: una falla en el procesamiento de la nmina puede generar una huelga. Alto riesgo debido a daos en la competencia. Sistemas de tecnologa de punta.

2.3 Investigacin preliminar La investigacin preliminar debe incorporar fases de evaluacin del control gerencial y del control de las aplicaciones. Para poder analizar y dimensionar la estructura a auditar se debe solicitar: A nivel organizacional: Objetivos a corto y largo plazo Manual de la organizacin Antecedentes o historia del organismo Polticas generales

A nivel del rea de informtica: Objetivos a corto y largo plazos Manual de organizacin del rea que incluya puestos, funciones, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea Procedimientos administrativos del rea.

Presupuestos y costos del rea.

Recursos materiales y tcnicos: Solicitar documentos sobre los equipos Estudios de viabilidad Fechas de instalacin de los equipos y planes de instalacin Contratos vigentes de compra, renta y servicio de mantenimiento. Contrato de seguros Convenios que se tienen con otras instalaciones. Configuracin de lo equipos y capacidades actuales y mximas. Configuracin de equipos de comunicacin y localizacin de los equipos. Planes de expansin Ubicacin general de los equipos Polticas de operacin Polticas de uso de los equipos Polticas de seguridad fsica y prevencin contra contingencias internas y externas.

S-ar putea să vă placă și