PROCEDIMIENTOS DE AUDITORIA DE SISTEMAS

PROCEDIMIENTOS  DE AUDITORIA DE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debeevaluar los riesgos globales y luego desarrollar un programa de auditoría queconsta de objetivos de control y procedimientos de auditoría que deben satisfaceresos objetivos.

 

PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debeevaluar los riesgos globales y luego desarrollar un programa de auditoría queconsta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos.El proceso de auditoría exige que el auditor de sistemas reúna:

PLANIFICACIÓN DE LA AUDITORÍA

Una planificación adecuada es el primer paso necesario para realizar auditorías desistema eficaces. El auditor de sistemas debe comprender el ambiente del negocioen el que se ha de realizar la auditoría así como los riesgos del negocio y controlasociado.

 

Procedimientos de auditoría .

 

Algunos ejemplos de procedimientos de auditoría son: Revisión de ladocumentación de sistemas e identificación de los controles existentes. Entrevistascon los especialistas técnicos a fin de conocer las técnicas y controles aplicados.Utilización de software de manejo de base de datos para examinar el contenido delos archivos de datos. Técnicas de diagramas de flujo para documentar aplicacionesautomatizadas.

Desarrollo del programa de auditoría.

 Un programa de auditoría es un conjunto documentado de procedimientosdiseñados para alcanzar los objetivos de auditoría planificados. El esquema típicode un programa de auditoría incluye lo siguiente:

a.

Tema de auditoría:

Donde se identifica el área a ser auditada.

 

b.

Objetivos de Auditoría:

Donde se indica el propósito del trabajo deauditoría a realizar.

 

c.

Alcances de auditoría:

Aquí se identifica los sistemas específicos ounidades de organización que se han de incluir en la revisión en un períodode tiempo determinado.

d.

Planificación previa:

Donde se identifica los recursos y destrezas que senecesitan para realizar el trabajo así como las fuentes de información parapruebas o revisión y lugares físicos o instalaciones donde se va auditar.

e.

Procedimientos de auditoría para:

 

• Recopilación de datos.

• Identificación de lista de personas a entrevistar.

•Identificación y seleccion del enfoque deltrabajo

• Identificación y obtención de políticas, normas ydirectivas.

•Desarrollo de herramientas y metodología paraprobar y verificar los controles existentes.

• Procedimientos para evaluar los resultados delas pruebas y revisiones.

•Procedimientos de comunicación con lagerencia.

•Procedimientos de seguimiento.

Asignación de Recursos de auditoría.

La asignación de recursos para el trabajo de auditoría debe considerar las técnicasde administración de proyectos las cuales tienen los siguientes pasos básicos:Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cadatarea y estimar de manera realista, el tiempo teniendo en cuenta el personaldisponible. Contrastar la actividad actual con la actividad planificada en el proyecto:debe existir algún mecanismo que permita comparar el progreso real con loplanificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plany tomar las acciones correctivas: si al comparar el avance con lo proyectado sedetermina avances o retrasos, se debe reasignar tareas

Técnicas de recopilación de evidencias.

La recopilación de material de evidencia es un paso clave en el proceso de laauditoría, el auditor de sistemas debe tener conocimiento de cómo puede recopilarla evidencia examinada. Algunas formas son las siguientes:

•Revisión de las estructuras organizacionales de sistemas de información.

  •Revisión de documentos que inician el desarrollo del sistema,especificaciones de diseño funcional, historia de cambios a programas,manuales de usuario, especificaciones de bases de datos, arquitectura dearchivos de datos, listados de programas, etc.; estos no necesariamente seencontrarán en documentos, si no en medios magnéticos para lo cual elauditor deberá conocer las formas de recopilarlos mediante el uso delcomputador.

• Entrevistas con el personal apropiado, las cuales deben tener una naturalezade descubrimiento no de acusatoria.

• Observación de operaciones y actuación de empleados, esta es una técnicaimportante para varios tipos de revisiones, para esto se debe documentarcon el suficiente grado de detalle como para presentarlo como evidencia deauditoría.

 

• Auto documentación, es decir el auditor puede preparar narrativas en base asu observación, flujogramas, cuestionarios de entrevistas realizados.Aplicación de técnicas de muestreo para saber cuando aplicar un tipoadecuado de pruebas (de cumplimiento o sustantivas) por muestras.

• Utilización de técnicas de auditoría asistida por computador CAAT, consisteen el uso de software genérico, especializado o utilitario.

Evaluación de fortalezas y debilidades de auditoría.

Luego de desarrollar el programa de auditoría y recopilar evidencia de auditoría, elsiguiente paso es evaluar la información recopilada con la finalidad de desarrollaruna opinión. Para esto generalmente se utiliza una matriz de control con la que seevaluará el nivel de los controles identificados, esta matriz tiene sobre el ejevertical los tipos de errores que pueden presentarse en el área y un eje horizontallos controles conocidos para detectar o corregir los errores, luego se establece unpuntaje (puede ser de 1 a 10 ó 0 a 20

Informe de auditoría.

Los informes de auditoría son el producto final del trabajo del auditor de sistemas,este informe es utilizado para indicar las observaciones y recomendaciones a lagerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado delos controles o procedimientos revisados durante la auditoría, no existe un formatoespecífico para exponer un informe de auditoría de sistemas de información, perogeneralmente tiene la siguiente estructura o contenido:

• Introducción al informe, donde se expresara los objetivos de la auditoría, elperíodo o alcance cubierto por la misma, y una expresión general sobre lanaturaleza o extensión de los procedimientos de auditoría realizados.

• Observaciones detalladas y recomendaciones de auditoría.

• Respuestas de la gerencia a las observaciones con respecto a las accionescorrectivas.

• Conclusión global del auditor expresando una opinión sobre los controles yprocedimientos revisados.

Seguimiento de las observaciones de auditoría.

 El trabajo de auditoría es un proceso continuo, se debe entender que no serviría denada el trabajo de auditoría si no se comprueba que las acciones correctivastomadas por la gerencia, se están realizando, para esto se debe tener un programade seguimiento, la oportunidad de seguimiento dependerá del carácter crítico de lasobservaciones de auditoría. El nivel de revisión de seguimiento del auditor desistemas dependerá de diversos factores, en algunos casos el auditor de sistemastal vez solo necesite inquirir sobre la situación actual, en otros casos tendrá quehacer una revisión más técnica del sistema.