Actividades de Un Proceso de Auditoria

AUD.

LEAM - FACCI

AUDITORÍA INFORÁTICA

AUD. FASES DE UNA AUDITORÍA INFORMÁTICA

FASES O ETAPAS DE AUDITORÌA


El Planeamiento de la Auditoria garantiza el diseño de una estrategia adaptada las condiciones de cada entidad tomando como base la información recopilada en la etapa de Exploración Previa.

PLANEACIÓN

En este proceso se organiza todo el trabajo de Auditoria, las personas implicadas, las tareas a realizar por cada uno, los recursos necesarios, los objetivos, programas a aplicar entre otros.


PLANEACIÓN

Planificación individual del trabajo. Consiste en revisar, confirmar, modificar o establecer los objetivos, recursos, operaciones y riesgos inherentes que provienen del Proceso de Planificación o Plan Anual de Auditoría. En el desarrollo de esta etapa se realiza la investigación preliminar, donde se concluye en forma detallada y precisa los objetivos, el alcance y los recursos necesarios. Esta etapa finaliza con la emisión del Memorando de Planificación, que permite focalizar el trabajo en su etapa de Ejecución.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: 1.  Lograr una comprension de la mision, los objetivos, el proposito y los

procesos de negocios, incluyendo los requerimientos de informacion y procesamiento, tales como disponibilidad, integridad, seguridad y tecnologia del negocio y la confiabilidad de informacion.

2.  Identificar los contenidos especificos tales como politicas, estandares y directrices requeridos, procedimientos y estructura de la organización, Requerimientos legales y regulatorios y politica de privacidad de la gerencia.

3.  Realizar un analisis de riesgo para ayudar a diseñar el plan de auditoria: Identificar riegos y vulnerabilidades para determinar los controles necesarios para mitigar los riegos (Riegos de negocios, TI y controles relevantes).


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 3… Proceso de Analisis de riesgo: •  El costo del control comparado con el beneficio de minizar el riesgo

•  La tolerancia a los riesgos de la gerencia (el nivel de riesgo residual que se

esta dispuesto a tolerar)

•  Metodos preferidos de la reduccion de riesgo: (por ejemplo: eliminar el riesgo,

minimizar la probabilidad de ocurrencia, minimizar el impacto, transferir el

riesgo atraves del seguro)


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 3… Proceso de Analisis de riesgo: Riesgo: Evento futuro incierto que podría afectar los activos y objetivos de una organización. Riesgo de TI: Evento(s) Futuro(s) causados(s) por el uso de la TI. Controles: Políticas, procedimientos, practicas y estructuras diseñadas para garantizar que los objetivos del negocio serán alcanzados y eventos no deseados serán prevenidos o detectados y corregidos.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 3… Proceso de Analisis de riesgo: Riesgo Inherente: Riesgo que una actividad pese antes de considerar el control por los factores de mitigación que puedan existir. Riesgo Residual: Riesgo restante después de evaluar la eficiencia de los controles o características mitigantes del ambiente en que opera. Riesgo Retenido: Nivel de riesgo con el cual decido vivir luego de la evaluación de controles mitigantes, a veces es igual al riego residual.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 3… Proceso de Analisis de riesgo: Riesgo de control: Riesgo de que exista un error importante que no sea detectado ni evitado oportunamente por el sistema de control interno. Riesgo detección: Riesgo de que un auditor de SI use un procedimiento inadecuado de prueba y concluya que no existen errores importantes cuando en realidad si existen. Técnica de valoración de riegos: scoring


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: 4.  Establecer los objetivos y alcance de la auditoria:

Los Objetivos se refieren a las metas especificas que deben cumplirse por parte de la auditoria, En contraste, un objetivo de control se refiere a como deberia funcionar un control interno. Objetivos validan que existan controles internos para minimizar los riegos del negocio y que estos funcionen como se espera. Por ejemplo, si se auditará un sistema computacional, el objetivo específico debería identificar el sistema e inclusive se podría señalar que sólo se requiere evaluar el ingreso de la información.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 4 … Establecer el alcance y los objetivos de la auditoria: El Alcance de la Auditoría describe la profundidad que se le va a dar al trabajo, qué áreas, procesos, actividades, programas o procedimientos van a ser evaluados con miras al buen logro del objetivo.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: 5.  Desarrollar el enfoque de la auditoria o estrategia de la auditoria: Enfoque de la Auditoría: consiste en dirigir la atención o el interés hacia un asunto o problema desde unos supuestos previos, para tratar de resolverlos acertadamente. En esta fase podemos indicar hacia donde va el esfuerzo de auditoría, si se evaluarán a profundidad los sistemas o si el control interno muestra síntomas de eficiencia o no, que nos lleve a la realización de pruebas de control o sustantivas, o bien a pruebas de análisis especiales.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: … 5 …Desarrollar el enfoque de la auditoria o estrategia de la auditoria: Pruebas sustantivas: Verifican el grado de confiabilidad del SI del organismo. Se suelen obtener mediante observación, cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la información. Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el análisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.


PLANEACIÓN

Pasos para realizar una Planificacón de Auditoría: 6.  Asignar recursos humanos a la auditoría. 7.  Dirigir la logistica del trabajo de la auditoría.


REVISIÓN PRELIMINAR

Es el primer paso en el desarrollo de la auditoría, después de la planeación. Objetivo: Obtener información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría. Al terminar la revisión preliminar en auditor informático puede proceder a seguir uno de los tres caminos:

PLANEACIÓN


La Revisión Preliminar significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar. La Revisión Preliminar realizada por un Auditor Interno difiere de la realizada por un auditor externo en:


PLANEACIÓN

AUD.

REVISIÓN DETALLADA:

•  Aquí el auditor decide:

¿Pruebas de consentimiento o pruebas sustantivas? •  En esta fase es importante para el auditor identificar las causas de las

pérdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por esta.

Objetivo: Obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática

REVISIÓN DETALLADA

PLANEACIÓN

FASES DE UNA AUDITORÍA INFORMÁTICA


•  Los métodos de obtención de información son los mismos usados en la investigación preliminar y lo único que difiere es la profundidad con la que se obtiene y evalúa.

•  El auditor debe evaluar si los controles escogidos son óptimos: §  Si provocan un sobre control. §  Si se logra un satisfactorio nivel de control usando menos controles o controles

menos costosos.

•  Si el auditor considera que los Controles Internos no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o realizar pruebas sustantivas y procedimientos, debe señalar recomendaciones para mejorar los controles de los sistemas.


PLANEACIÓN


Los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente: Se debe tener la información de todos los asuntos relacionados con los objetivos y alcances de la Auditoría. La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendación de la auditoría.

EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN

PLANEACIÓN


Los procedimientos de auditoría deberán ser elegidos con anterioridad, cuando esto sea posible, modificarse cuando las circunstancias lo requieran. El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de la auditoría se cumplieron. Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por la gerencia de auditoría.


PLANEACIÓN


El director de auditoría en informática deberá establecer un programa para

seleccionar y desarrollar los recursos, el cual debe contemplar:

•  Descripciones de puestos por cada nivel de Auditoria Interna.

•  Selección de individuos calificados y competentes.

•  Entrenamiento y oportunidad de capacitación profesional para todos y cada uno

de los auditores.

•  Evaluación del trabajo de cada uno de los auditores por lo menos una vez al año.

•  Asesoría a los auditores en lo referente a su trabajo y a su desarrollo profesional.


PLANEACIÓN


El director de auditoría informática deberá establecer y mantener un programa de

control de la calidad para evaluar las operaciones de su equipo de trabajo. Este

programa deberá incluir: •  Supervisión continua del trabajo de los auditores en informática asegurando en trabajo de

acuerdo a normas, políticas y programas de auditoria informática. •  Personal del departamento de auditoria interna deberá realizar revisiones periódicas para

evaluar la calidad del trabajo de de auditoria realizado. •  Se deberán practicar revisiones externas para evaluar la calidad de trabajos de auditoria

informática


PLANEACIÓN


Determinar si los Controles Internos operan como fueron diseñados para operar. El auditor debe determinar si los controles declarados en realidad existen y si en realidad trabajan confiablemente.

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los CI de informática.

PRUEBAS DE CONSENTIMIENTO

PLANEACIÓN

PRUEBAS DE CONTROL DE USUARIO


Objetivo: Obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuando pueden ocurrir pérdidas materiales durante el procesamiento de la información.

•  Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. •  Pruebas para asegura la calidad de los datos. •  Pruebas para identificar la inconsistencia de los datos.

•  Pruebas para comparar con los datos o contadores físicos. •  Confirmación de datos con fuentes externas. •  Pruebas para confirmar la adecuada comunicación. •  Pruebas para determinar la falta de seguridad. •  Pruebas para determinar problemas de legalidad.

PRUEBAS DE SUSTANTIVAS

PLANEACIÓN

AUD.

Pasos de una Auditoria Informática PLANEACIÓN



A nivel del área de informática:

•  Objetivos a corto y largo plazos. •  Manual de Funciones (Fichas ocupacionales). •  Manual de políticas, reglamentos internos y lineamientos generales. •  Número de personas y puestos en el área. •  Procedimientos administrativos del área. •  Presupuestos y costos del área.

Lograr una comprension de la mision, los objetivos, el proposito y los procesos de negocios, incluyendo los requerimientos de informacion y procesamiento, tales como disponibilidad, integridad, seguridad y tecnologia del negocio y la confiabilidad de informacion. Identificar los contenidos especificos tales como politicas, estandares y directrices requeridos, procedimientos y estructura de la organización, Requerimientos legales y regulatorios y politica de privacidad de la gerencia.

PLANEACIÓN

INVESTIGACIÓN PRELIMINAR


•  Solicitar documentos sobre los equipos, así como el número de ellos, su localización y

sus características (de los equipos instalados, por instalar y programados).

•  Estudio de viabilidad.

•  Fechas de instalación de los equipos y planes de instalación.

•  Contratos vigentes de compra, renta y servicio de mantenimiento.

•  Contratos de seguros.

•  Convenios que se tienen con otras instalaciones.

•  Configuración de los equipos y capacidades actuales y máximas.

PLANEACIÓN



•  Configuración de equipos de comunicación(redes internas y externas) y localización

de los equipos.

•  Planes de expansión.

•  Ubicación general de los equipos.

•  Políticas de operación.

•  Políticas del uso de los equipos.

•  Políticas de seguridad física y prevención contra contingencias internas y externas.

PLANEACIÓN



•  Descripción general de los sistemas instalados y de los que estén por instalarse.

•  Manual de procedimientos de los sistemas.

•  Descripción genérica.

•  Diagramas de entrada, archivos, salidas.

•  Fecha de instalación de los sistemas.

•  Proyecto de instalación de nuevos sistemas.

•  Bases de datos, propietarios de la información y usuarios de la misma.

•  Procedimientos y políticas en caso de desastre.

•  Sistemas propios y/o legalidad de los mismos.

PLANEACIÓN


AUD.

Antes de concluir esta etapa no se olvide de:

•  Estudiar hechos y no opiniones. •  Enfocarse en las causas y no en los efectos. •  Atender razones, no excusas. •  No confiar en la memoria, preguntar constantemente. •  Criticar objetivamente a fondo todos los informes y los datos recabados.

PLANEACIÓN



AUD.

•  El número de ellos depende de las dimensiones de la organización, de los sistemas y de los equipos.

•  El personal debe estar debidamente capacitado (conocimiento y experiencia) en áreas especificas como bases de datos, hardware, software y comunicaciones, y con un alto sentido de moralidad.

•  Se debe contar con personas asignadas por los usuarios.

PLANEACIÓN

PERSONAL PARTICIPANTE


AUD.

Personal Participante: EJECUCIÓN

El auditor debe asegurarse del cumplimiento de las Normas de Auditoría Generalmente Aceptadas, y del conocimiento y dominio del Manuales de procedimientos del área a auditar.


AUD.


Esquema de fases en la Ejecución

Fase de Reunión de Inicio

• Presentación del Equipo Auditor • Comunicación de la Auditoría • Confirmar los canales de Comunicación • Presentación de Cronograma tenta9vo


AUD.



Recopilación de datos e información

• Obtención de información para la auditoría • Obtención de documentos Claves • Aplicación de procedimientos de Auditoría de acuerdo al programa


AUD.



Análisis y evaluación de datos e información

•  Análisis de Resultado Hallazgos de Auditoría •  Análisis de las recomendaciones basadas en los resultados •  Determinar recomendaciones Finales


AUD.



Reunión de Cierre

•  Comunicar los principales resultados •  Formalizar acuerdos, si corresponde •  Relevar importancia de toma de medidas


AUD.

EJECUCIÓN

Fuente de Información

Equipo en

Funcionamiento

Registros

Datos ( Estadísticas)

Condiciones de Almacenamiento

Condiciones De Operación

Observaciones


AUD.

EJECUCIÓN


Las Entrevistas

Las entrevistas constituyen un elemento clave de las auditorías y se necesitan ciertas habilidades para que agreguen valor. Las entrevistas son el corazón de toda auditoría. Pueden proporcionar información clave para comprender los éxitos y desafíos de los sistemas.


AUD.

EJECUCIÓN


Las Entrevistas

Errores que no se deben cometer al realizar las entrevistas:

•  Auditar solamente documentos •  Tomar las cosas de forma personal

•  Expresar antipatía por el auditado

•  Aceptar afirmaciones sin tener acceso a los hechos •  Expresar juicios propios


AUD.

EJECUCIÓN

Los hallazgo, Resultados de la evaluación de la evidencia objetiva recopilada frente al conjunto de políticas, procedimientos o requisitos utilizados como referencia. Es registrado en la lista de verificación como respuesta, a los cuestionamientos que han sido preparados.

Análisis y evaluación de datos e información


AUD.

EJECUCIÓN

Marcas de Auditoria

Las marcas de auditoría son signos que utiliza el auditor para señalar el tipo de procedimiento que está aplicando, simplificando con ello su papel de trabajo. √ suma correcta

Calculo Verificado

Cifra que no debe ser considerada. Es decir, no incluirse en tabulaciones, sumatorias, inventarios, etcétera

Documento o asunto pendiente por aclarar, revisar o localizar


AUD.

EJECUCIÓN

Marcas de Auditoria

Documento o asunto pendiente aclarado, revisado o localizado.

verificado contra registros

Verificado contra documento original o expediente

Confrontado contra evidencia física, se utiliza cuando algún dato o cifra se compara contra bienes o artículos tangibles, ejemplo: bienes inventariados o fondos arqueados


AUD.

EJECUCIÓN

Conectores y Notas

Los conectores son números arábigos encerrados en círculo con una flecha que indica la dirección donde se encuentra el conector correspondiente y se utiliza para identificar dos datos o cifras que dependen uno de otro, haciendo referencia en todos los casos al mismo dato, pero con diferentes niveles de desagregación.


AUD.

EJECUCIÓN


AUD.

•  Traduce fielmente las conclusiones de la reunión de cierre

•  Recuerda el objetivo y alcance de la auditoria •  Indica la fecha de la auditoria

•  Referencia los documentos examinados

•  Define no conformidades puntuales

•  Puntos fuertes de la actividad auditada

•  Presenta las Recomendaciones

PRESENTACIÓN DE INFORME


AUD.

Contenido del Informe Final Primera Parte: Carta de Gerencia o Nota expositiva. Segunda Parte: Base Legal Datos sobre la Unidad Auditada Alcance y metodología Comentarios Generales Recomendaciones Anexos



AUD.

Contenido del Informe Final

Base Legal Indica que se realizo ( evaluación, Auditoria) Base legal para ejecutar la auditoria Datos sobre la Unidad Auditada Breve descripción de la unidad (creación, funciones, organización) Alcance y metodología Declaración de Cumplimiento con Normas Período auditado



AUD.

Contenido del Informe Final

Comentarios Generales No necesariamente implican violaciones a leyes Situaciones significativas para las operaciones de la unidad se incluye sólo si lo amerita Recomendaciones Remedio para corregir las situaciones señaladas Dirigidas al funcionario responsable de la acción Dirigidas a la causa del hallazgo Anexos Gráficas, análisis, listas tablas, entre otras



AUD.

Título del hallazgo

1.Condición Lo que es Situación Actual

2.Criterio Lo que debe ser Las normas

3. Causa Por que Sucedió Razones de las Desviaciones

Atributos de los Hallazgos

4. Efecto Diferencia entre la Medición de que es y debe ser Costos

5. Recomendación Acciones Correctivas Mejoras de las Operaciones



AUD.

Auditoria de Seguimiento

Responsabilidades del auditado.

•  Proponer y desarrollar actividades para implementar las acciones provenientes del informe de auditoria .

•  Definir fechas limite para la implantación de estas acciones .

•  Verificar la eficacia de las acciones correctivas y preventivas antes de la auditoria de seguimiento .


AUD.

Auditoria de Seguimiento

Responsabilidades del auditor. •  Realizar la Auditoria de Seguimiento. •  Presentar e informar los resultados de la auditoria de seguimiento. •  Evaluar la eficacia de las acciones implantadas.


Actividades de Un Proceso de Auditoria

Documents

Transcript of Actividades de Un Proceso de Auditoria