Auditora Informtica

DocumentacinEvidencia comprobatoria Control internoAuditora Informtica

Documentacin del trabajo y su organizacinLa documentacin de la auditora de los sistemas informticos es el registro del trabajo de auditora realizado, la evidencia que sirve de soporte a las debilidades encontradas y las conclusiones del auditor.

Estos documentos, se denominan PAPELES DE TRABAJO y se deben disear y organizar segn las circunstancias y las necesidades del auditor.

Estos han de ser completos, claros y concisos. Todo el trabajo de auditora debe quedar reflejado en papeles de trabajo por los siguientes motivosPapeles de trabajoRecogen la evidencia obtenida a lo largo del trabajo.Ayudan al auditor en el desarrollo de su trabajo.Ofrecen soporte del trabajo realizado para poder ser utilizado en auditoras sucesivas.Permiten que el trabajo pueda ser revisado por terceros(que cuenten con el privilegio o autorizacin).Sirve para fomentar un enfoque metdico de la labor que se lleva.

Una vez que el auditor ha finalizado su trabajo, los papeles de trabajo son la nica prueba que el auditor tiene de haber llevado a cabo un examen adecuado.

Siempre existe la posibilidad de que el auditor tenga que demostrar la calidad de su anlisis ante un tribunal.Los papeles de trabajo que el auditor va elaborando se pueden organizar en dos archivos principales: El archivo permanente o continuo yArchivo corriente o de la auditora en curso.

El archivo permanente contiene todos aquellos papeles que tienen un inters continuo, una validez plurianual, tales como:

ArchivosArchivo permanenteConsideraciones sobre el negocio.Consideraciones sobre el sector.Composicin del consejo de administracin.Caractersticas el equipo.Manuales de los equipos y de las aplicaciones.Descripcin de los procedimientos contables.Descripcin del control interno.Organigramas y divisin de funciones.Cuadro de planificacin plurianual de auditora.Escrituras y contratos.En general toda la informacin de importancia para auditoras posteriores.

Este archivo, a su vez se suele dividir en:Archivo generalArchivo de reas

ARCHIVO GENERALLos documentos que se suelen archivar aqu son aqullos que no tienen cabida especfica en alguna de las reas en que hemos dividido el trabajo de auditora, tales como:Archivo corrienteEl informe del auditor.La carta de recomendaciones.Los acontecimientos posteriores.El cuadro de planificacin de la auditora corriente.La correspondencia que se ha mantenido con la direccin de la empresa.El tiempo que cada persona del equipo ha empleado en cada una de las reas.

ARCHIVO POR REAS

Se debe preparar un archivo para cada una de las reas en que hayamos dividido el trabajo e incluir en cada archivo todos los documentos que hayamos necesitado para realizar el trabajo de esa rea en concreto. Al menos deben incluirse los siguientes documentos :

Programa de auditora de cada una de las reas.Conclusiones del rea en cuestin.Conclusiones del procedimiento en cuestin.

Evidencia comprobatoriaMediante los procedimientos de Auditora, el auditor debe obtener evidencia comprobatoria suficiente y competente en el grado que requiera para suministrar una base objetiva que permita su opinin.Debe entenderse por evidencia comprobatoria, los elementos que comprueben la autenticidad de los hechos, la evaluacin de los procedimientos contables empleados, la razonabilidad de los juicios efectuados, de ah que la documentacin contable por s sola no represente toda la evidencia que el auditor requiere para apoyar su opinin profesional.

Control internoEl control interno informtico garantiza diariamente que todas las actividades de sistemas de informacin sean realizadas cumpliendo los procedimientos, estndares y normas fijados por la direccin de la organizacin y/o la direccin informtica.

Los controles internos se clasifican en tres:

CONTROLES PREVENTIVOSCONTROLES DETECTIVOSCONTROLES CORRECTIVOS

Controles preventivosPara tratar de evitar el o los hecho(s), como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivosCuando fallan los preventivos, para tratar de conocer cuanto antes el o los eventos. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones, etc.

Controles correctivosFacilitan la posibilidad de corregir errores cuando se han producido incidencias. Por ejemplo, la recuperacin de un archivo daado a partir de las copias de seguridad.

Para la implantacin de un sistema de controles internos informticos se debe definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y los controles correspondientes.

Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes.

Seguridad: Incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso)y disponibilidad.

Gestin del cambio: Separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas de software aprobados y probados