PROGRAMA AUDITORIA DE SISTEMAS

FUNDACIN UNIVERSITARIA LOS LIBERTADORES

METODOLOGA AUDITORIA DE SISTEMASPrograma: SistemasI.- Conocimiento del rea a Auditar.1.1 Esquemas y Ambientes del Sistema de Informacin Automtico.

Se realiza un Estudio Preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica y a las diferentes reas (escenario) para conocer el proceso de informacin, su ambiente y clase de procesamiento que se realiza.

Lo anterior con el fin de identificar las deficiencias, falencias, amenazas y las actividades que son sujetas a control para elaborar el cuestionario de Evaluacin de Control Interno para la obtencin de informacin y evaluar preliminarmente las actividades y deficiencias sujetas a control, como soporte a los procedimientos y procesos, (QUE HACER) lo anterior debe estar de acuerdo con las polticas, reglamentos, normas y medidas de la Empresa, de los procedimientos se originan los papeles de trabajo.(COMO HACERLO), para despus analizarlos y elaborar el informe de Auditora.Se realizan entrevistas con los principales funcionarios del PAD o PED. y a las diferentes reas de la Empresa.

II.- Planeacin Auditoria de Sistemas.

.- Cronograma

.- Presupuesto.

Una planificacin adecuada es el primer paso necesario para realizar la Auditora de Sistemas en forma eficaz. El auditor de sistemas debe entender y comprender el esquema y ambiente del negocio en el cual se debe realizar la auditora as como las causas de riesgos, los riesgos, fraudes e identificar la vulnerabilidad de las reas de acuerdo al escenario que se elige para el Auditaje del Sistema. Durante la evaluacin se desarrollan las actividades con el fin de buscar las evidencias de acuerdo a los criterios para definir los hallazgos e identificar si estn conformes o no estn conformes y establecer las observaciones que se definen en cada rea. Se debe tener en cuenta las siguientes fases:1 .- Comprensin del negocio y de su ambiente.Al planificar una auditora, el auditor de sistemas debe tener una comprensin suficiente del ambiente total que se revisa en cada rea. Debe incluir una comprensin general de las diversas prcticas comerciales y funciones relacionadas con el tema de la auditora, as como los tipos de sistemas que se utilizan. El auditor de sistemas tambin debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigir requisitos de integridad del Sistema de Informacin Financiero y establecer el control que no estn presentes en una Empresa Manufacturera.

Se debe realizar las siguientes actividades para que el auditor de sistemas pueda obtener la comprensin del negocio: a. Recorrer las instalaciones de la Entidad. b. Lectura de material sobre antecedentes que incluyan publicaciones sobre la Empresa u Organizacin industria, financiera, servicios o manufactura, memorias e informes financieros.c. Entrevistas a gerentes claves para comprender los temas comerciales esenciales.d. Estudio de los informes sobre normas o reglamentos. e. Revisin de planes estratgicos a largo plazo. f. Revisin de informes de auditoras anteriores.2 .- Riesgo y materialidad de auditora.Se deben definir las causas de riesgo que generan aquellos riesgos de la informacin, se pueden tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. El auditor de sistemas debe tener una cabal comprensin de estos riesgos de auditora al planificar. Una auditora tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamao de la muestra es lo suficientemente grande, o se utiliza procedimientos estadsticos adecuados para minimizar la probabilidad del riesgo de deteccin.

3.- Tcnicas de evaluacin de Riesgos.El auditor de sistemas debe evaluar esos riesgos y determinar cules de las diferentes reas son de alto riesgo.

Existen cuatro motivos por los que se utiliza la evaluacin de riesgos, estos son:

.- Permitir que la gerencia asigne recursos necesarios para la auditora..- Garantizar que se ha obtenido la informacin pertinente de todos los niveles gerenciales, y garantiza que las actividades de la funcin de auditora se dirigen correctamente a las reas de alto riesgo y constituyen un valor agregado para la gerencia..- Constituir la base de datos para la organizacin de la auditora a fin de

Administrar eficazmente el departamento..- Proveer un resumen que describa como el tema individual de auditora se relaciona con la organizacin global de la empresa as como los planes del negocio.

III.- Objetivos Generales de la Auditoria. .- Objetivo General

.- Objetivo especifico.En los Objetivos de Auditora se indica el propsito del trabajo de la Auditora a realizar, La informacin de los sistemas de informacin deber estar resguardada de acceso incorrecto y se debe mantener actualizada.

Aqu se define el alcance de la Auditora osea la extensin y lmites del rea a Auditar. El alcance incluye una descripcin de los emplazamientos fsicos, unidades organizativas, tareas, actividades, procesos y macroprocesos, adems se debe determinar el tiempo cubierto en el trabajo de Auditaje y la Planificacin previa, donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo as como las fuentes de informacin para pruebas o revisin y lugares fsicos o instalaciones donde se va auditar.

IV.- Control Interno.

.- Evaluacin de Control Interno.

Se realiza una revisin y evaluacin de controles y seguridades.- que consiste en la revisin de los diagramas de flujo de datos y procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas crticas, revisin de procesos histricos (backups), revisin de documentacin y archivos, entre otras actividades.

Se realiza un examen detallado de reas crticas, efectuando una serie de preguntas que deben soportar las fases anteriores, el auditor descubre las posibles deficiencias y actividades sujetas a control y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer el cumplimiento de los objetivos, definir un plan de trabajo y la duracin de la auditora analizando detalladamente cada problema encontrado.V.- Procedimientos. (QUE se debe hacer) .- Descripcin Narrativa Implantacin del Procedimiento. Las principales herramientas de las que dispone un auditor informtico para formalizar los procedimientos son:

Observacin

Realizacin de cuestionarios

Entrevistas a auditados y no auditados

Muestreo estadstico

Flujogramas

Listas de chequeo

Mapas conceptuales

.- Pruebas Sustantivas: En estas pruebas se verifican el grado de confiabilidad del Sistema de Informacin del organismo. Se suelen obtener mediante observacin, clculos, muestreos, entrevistas, tcnicas de examen analtico, revisiones y conciliaciones. Verifican asimismo la exactitud, integridad y validez de la informacin. .- Pruebas de cumplimiento: Verifican el grado de cumplimiento de lo revelado mediante el anlisis de la muestra. Proporciona evidencias de que los controles claves existen y que son aplicables efectiva y uniformemente.

Una prueba de cumplimiento es el examen de la evidencia disponible de que una o ms tcnicas de control interno estn operando durante el periodo de

auditora.

El auditor deber obtener evidencia de auditora mediante pruebas de cumplimiento de: Existencia: el control existe

Efectividad: el control est funcionando con eficiencia

Continuidad: el control ha estado funcionando durante todo el periodo.

El objetivo de las pruebas de cumplimiento es quedar satisfecho de que una tcnica de control estuvo operando efectivamente durante todo el periodo de auditora.

Algunos ejemplos de procedimientos de auditora son: Revisin de la documentacin de sistemas e identificacin de los controles existentes. Entrevistas con los especialistas tcnicos a fin de conocer las tcnicas y controles aplicados. Utilizacin de software de manejo de base de datos para examinar el contenido de los archivos de datos. Desarrollo del programa de auditora; un programa de auditora es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de la auditora planificada.VI.- Papeles de trabajo. (COMO se debe hacer). .- Descripcin del Papel de trabajo.

.- Dictamen: Estudio que permite visualizar los puntos ms relevantes que

posee la auditoria y permite mostrar las normas que se deben seguir tanto ticas y morales..- Concepto tcnico: Soporte o apoyo de las recomendaciones y sugerencias

establecidas en el Dictamen.

VII.- Anlisis de papeles de trabajo. .- Nombre del papel de trabajo

.- Descripcin del papel de trabajo

.- Controles a implantar segn el diseo.

.- Controles a implantar segn su implementacin .- Controles a implantar segn su ejecucin

.- Costos de controles a implantar.

.- Fecha de implantacin.

VIII.- Informe de Auditora de Sistemas.En lo referente a su redaccin, el Informe deber ser claro, adecuado, suficiente y comprensible. Una utilizacin apropiada del lenguaje informtico resulta recomendable. Los puntos esenciales, genricos y mnimos del Informe son los siguientes:

Identificacin del Informe: El ttulo del Informe deber identificarse de acuerdo al escenario que identifica el rea a Auditar. Identificacin de la Entidad auditada: Identificacin de la entidad objeto

de la Auditora de Sistemas. Identificacin del Cliente: Se deber identificar a los destinatarios o a las personas que requieren el trabajo de Auditoria.

Objetivos de la Auditora Informtica: Declaracin de los objetivos de la auditora para identificar su propsito, sealando los objetivos incumplidos.

Normativa aplicada y excepciones: Identificacin de las normas legales y profesionales utilizadas, as como las excepciones significativas de uso y el posible impacto en los resultados de la auditora.

Alcance de la Auditora: Concretar la naturaleza y extensin del trabajo realizado; rea organizativa, perodo de auditora, sistemas de informacin, limitaciones al alcance y restricciones del auditado.

Conclusiones: Informe corto de opinin: Lgicamente, se ha llegado a los resultados y, sobre todo, a la esencia del dictamen, la opinin y los prrafos de salvedades y nfasis, si procede.

El Informe debe contener uno de los siguientes tipos de opinin: favorable o no favorable, con salvedades, desfavorable o adversa, y denegada.

1. Opinin favorable. La opinin calificada como favorable, sin salvedades o limpia, deber manifestarse de forma clara y precisa, y es el resultado de un trabajo realizado sin limitaciones de alcance y sin incertidumbre, de acuerdo con la normativa legal y profesional.

Es indudable que entre el informe de recomendaciones al cliente, que incluye lo referente a debilidades de control interno en sentido amplio, y las salvedades, existe o puede existir una zona de gran sensibilidad; que tendr que clarificarse al mximo.

2. Opinin desfavorable. La opinin desfavorable o adversa es aplicable en

el caso de:

.- Identificacin de irregularidades

.- Incumplimiento de la normativa legal y profesional, que afecten

significativamente a los objetivos de auditora informtica.

3. Opinin denegada. La denegacin de opinin puede tener su origen en:

. Las limitaciones al alcance de auditora.

. Incertidumbres significativas de un modo tal que impidan al auditor formarse una opinin.

. Irregularidades.

. El incumplimiento de normas legales y profesionales.

4. Resumen. De acuerdo con la normativa legal y profesional, se realiza el informe

del Auditor con recomendaciones y sugerencias que se convierte en la fuente de orientacin para minimizar las causas de riesgo. No se debe olvidar que las reas auditadas estn sometidas a cambios como, por ejemplo a la implantacin de aseguramiento y gestin de la calidad -va ISO 190011, va ISO 27001, COBIT y dems modelos que soportan la seguridad Informtica.

5. Fecha del Informe

El tiempo no es neutral; la fecha del Informe es importante, no slo por la cuantificacin de honorarios y el cumplimiento con el cliente, sino para conocer la magnitud del trabajo y sus aplicaciones. Conviene precisar las fechas de inicio y conclusin del trabajo de campo, incluso la del cierre del ejercicio, si es que se est realizando un Informe de Auditora Informtica como herramienta de apoyo a la Auditora de Cuentas.

6. Identificacin y firma del Auditor

Este aspecto formal del informe es esencial tanto si es individual como si forma parte de una sociedad de auditora, que deber corresponder a un socio o socios legalmente as considerados.

7. Distribucin del Informe

Bien en el contrato, bien en la carta propuesta del Auditor Informtico, deber definirse quin o quines podrn hacer uso del Informe, as como los usos concretos que tendr, pues los honorarios debern guardar relacin con la responsabilidad civil.

CONCLUSIONES

Se determinan identificando el asunto del escenario muy claro, de acuerdo a recomendaciones y sugerencias porque cada trmino tiene un contenido usual muy concreto; es, en esencia, un juicio de valor u opinin con justificacin.

Se deben aplicar criterios en trminos de probabilidad, hay que evitar la predisposicin a algn posible tipo de manipulacin, debido a la libertad de eleccin de pruebas, en esta conclusin se debe registrar las sugerencias y recomendaciones concretas registradas.