Gua II Examen de Auditoria

2.1 Fases de la Auditoria Primera Fase: Planeacin de la auditoria de sistemas computacionales 1. Identificar el origen de la auditoria: lo primero es saber por que surge la necesidad o inquietud de realizar una auditoria Donde? Porque? Quien? 2. Realizar una visita preliminar al rea que ser evaluada: es recomendable que el auditor realice una visita preliminar al rea de informtica que ser auditada, justo despus de conocer el origen de la peticin de auditoria, y antes de iniciarla formalmente. 3. Establecer los objetivos de la auditoria: ya que se realizo lo anterior es importante establecer lo ms claramente posible los objetivos de la auditoria, ajustndose lo ms posible a las necesidades de la evaluacin. 4. Determinar los puntos que sern evaluados en la auditoria: ya que se realizo el origen de la auditoria y se establecieron los objetivos sigue determinar los puntos concretos que sern evaluados. ejemplo: La gestin administrativa e informtica del centro de computo, el cumplimiento de las funciones del personal informtico y usuarios de los sistemas, etc. 5. Elaborar planes, programas y presupuestos para realizar la auditoria: Es decir formales delimiten ejecucin auditoria. que deben elaborar los documentos que contemplen los planes para el desarrollo de la auditoria, los programas en donde se perfectamente las etapas, eventos, actividades y los tiempos de para cumplir con el objetivo, as como los presupuestos de la

6. Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditoria: El siguiente paso es determinar los documentos y medios con los cuales se llevara a cabo la revisin a los sistemas de la empresa, lo cual lograra a travs de la seleccin o diseo de los mtodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la auditoria. 7. Asignar los recursos y sistemas computacionales para la auditoria: ya que se realizo lo anterior el siguiente paso es asignar los recursos que sern utilizados para realizar la auditoria, de acuerdo con los aspectos ya establecidos con anterioridad

Segunda Fase: Ejecucin de la auditoria de sistemas computacionales 1. Realizar las acciones programadas para la auditoria: cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseadas, en la cronologa que le fue asignada a cada una. 2. Aplicar los instrumentos y herramientas para la auditoria: conforme a la gua de auditoria, se tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar acabo la evaluacin, ya sea mediante la recopilacin y anlisis de informacin, la observacin, las pruebas y simulacin de los sistemas, o mediante cualquier otro instrumento de los que se disearon previamente para esta revisin. 3. Identificar y elaborar los documentos de desviaciones encontradas: ya que se realizaron las actividades anteriores, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, as como las responsables de solucionar dichas desviaciones y posibles fechas para hacerlo. 4. Elaborar el dictamen preliminar y presentarlo a discusin: ya que se encontraron las desviaciones, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. 5. Integrar el legajo de papeles de trabajo de la auditoria: el auditor tiene la obligacin de conservar en el llamado legajo de papeles de la auditoria cada uno de los instrumentos aplicados en la evaluacin, con el propsito de sustentar, llegado el caso, las observaciones reportadas. Tercera Fase : Dictamen de la auditoria de sistemas computacionales 1. Analizar la informacin y elaborar un informe de situaciones detectadas: es el anlisis de los papeles de trabajo y la elaboracin en borrador de las llamadas situaciones detectadas; el propsito es que el auditor elabore su borrador y comente las desviaciones con los auditados. Despus de comentarlas, debe elaborar las modificaciones pertinentes, as como el informe definitivo de las situaciones encontradas. 2. Elaborar el dictamen final: El auditor debe terminar de elaborar el informe de auditoria de sistemas y complementarlo con el dictamen final (opinin del auditor), y despus presentarlo a los directivos del rea de sistemas auditada para que conozcan la situacin actual de dicha rea, antes de presentarlo al responsable de la empresa. 3. Presentar el informe de auditoria: El ltimo paso de esta metodologa que hemos estudiado, es presentarle formalmente el dictamen de la auditoria

al ms alto directivo de la empresa, con el propsito de informarle los resultados de dicha auditoria. 2.1.1 Planeacin Es el proceso de decir de antemano que se hara y de que manera se hara. Incluye determinar la misin global, identificar los resultados claves y fijar los objetivos especficos, asi como polticas para el desarrollo, programas y procedimientos para alcanzarlos.

Fases de la Ejecucin 2.1.2 Revisin Preliminar:

La revisin preliminar se pretende obtener informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditoria. La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, entrevistas o documentacin narrativa. La informacin obtenida slo ser una informacin inicial que nos permitir elaborar el plan de trabajo, que se profundizar en el desarrollo de la auditoria. Diferencias de la Revisin preliminar elaborada por un Auditor Interno a la de un Auditor Externo. El auditor interno normalmente requiere de menos revisiones y trabajos, ya que el es parte de la organizacin. El auditor externo se enfoca ms en las causas de las prdidas y en los controles necesarios para justificar sus decisiones. Cuando el auditor interno supone serias debilidades en los controles internos, contina con la fase de revisin detallada para sealar recomendaciones para mejorar los controles internos.

2.1.3 Revision Detallada

Los objetivos de esta fase son los de obtener la informacin necesaria para que el auditor tenga conocimiento acerca de los controles usados dentro del rea de informtica. En algunos casos el auditor puede, despus de hacer un anlisis detallado, decidir que con los controles internos se tiene suficiente confianza, en caso

contrario debe sealar las recomendaciones para mejorar los controles de los sistemas.

2.1.4 Examenes y Evaluaciones de la Informacion

Los auditores internos debern obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditoria. El proceso de examen y evaluacin de la informacin es el siguiente: 1. Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances de la auditoria. 2. La informacin deber ser suficiente, competente, relevante y til para que proporcione bases slidas en relacin con los hallazgos y recomendaciones de la auditoria. 3. Los procedimientos de auditoria, incluyendo el empleo de las tcnicas de pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando las circunstancias lo requieran. 4. El proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo. 5. Los documentos de trabajo de la auditoria debern ser preparados por los auditores y revisados por la gerencia de auditoria. Estos documentos debern registrar la informacin obtenida y el anlisis realizado. Los auditores debern reportar los resultados del trabajo de auditoria. El auditor deber discutir las conclusiones y recomendaciones en los niveles apropiados de la administracin antes de emitir su informe final. El trabajo de auditoria interna y externa deber coordinarse para asegurar la adecuada cobertura y minimizar la duplicidad de esfuerzos.El director de auditoria interna en informtica deber establecer y mantener un programa de control de calidad para evaluar las operaciones del departamento de auditoria interna.

2.1.5 Pruebas de Control de Usuario

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informticos, porque el usuario ejerce controles que compensan cualquier debilidad existente. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mendiante cuestionarios, entrevista y evaluaciones hechas directamente al usuario.

2.1.6 Pruebas Sustantivas

El objeto de esta fase es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones. Pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidenciadilidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Confirmacion de datos conferentes externos Prueba para confirmar la adecuada comunicacin Pruebas para determinar falta de seguridad Pruebas para determinar problemas de legalidad

2.2 Evaluacion de los sistemas de acuerdo al riesgo

Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la perdida de informacin o bien el que sea usado por personal ajeno a la organizacin. Para evaluar el riesgo se debe tomar en cuenta el plan de contingencia y procedimientos de respaldo. Fases de la auditoria son: Planeacin Revisin Preliminar Revisin Detallada Examen y evaluacin de la informacin Pruebas de consentimiento Pruebas de controles del usuario Pruebas sustantivas

2.3 Investigacion Preeliminar Debemos comenzar la investigacin preliminar con una visita al organismo, el rea de informtica y a los equipos de computo y solicitar una serie de documentos. La investigacin preliminar se debe hacer solicitando y revisando la informacin de cada una de las areas. Para analizar y dimensionar la estructura a auditar se debe solicitar : A nivel organizacional total:

1) 2) 3) 4)

Objetivos a corto y a largo plazo Manual de la organizacin Antecedentes o historia del organismo Polticas generales

A nivel de rea de informtica: 1) Objetivos a corto y largo plazo. 2) Manual de Organizacin del rea, con puestos, funciones, niveles jerrquicos 3) Manual de polticas y reglamentos internos. 4) Nmero de personas y puestos en el rea. 5) Procedimientos Administrativos del rea 6) Presupuesto y costos del rea 7) Solicitar documentos sobre equipos, cantidad, localizacin y caractersticas. 8) Configuracin de equipos de comunicacin. 9) Polticas de seguridad fsica y prevencin contra contingencias internas. 10)Descripcin general de los sistemas instalados 11)Proyectos de instalacin de nuevos sistemas 12)Fecha de instalacin de los sistemas.

Situaciones que se pueden presentar al hacer planeacin de auditoria

Se solicita informacin y se observa que: No se tiene y se necesita No se tiene y no se necesita

Se tiene informacin pero: No se usa Es incompleta No esta Actualizada No es la Adecuada Se usa, esta actualiza, es la adecuada y esta completa

Para el existo del anlisis critica depende de: Estudiar hechos y no opiniones (no tomar en cuenta los rumores en la informacin sin fundamentos) Atender razones, no excusas No confiar en la memoria, preguntar constante Criticar objetivamente y a fondo los informes y los datos recabados

2.4 Personal Participante

Lo que se debe considerar son las caractersticas del personal que habr de participar en la auditoria, no en el numero de personas que debern participar. Se debe considerar que el personal este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija eficiencia y se le compense justamente por su trabajo.