Se
requieren varios pasos para realizar una auditoria. El auditor de
sistemas debe evaluar los riesgos globales y luego desarrollar un
programa de auditoria que consta de objetivos de control y
procedimientos de auditoria que deben satisfacer esos objetivos. El
proceso de auditoria exige que el auditor de sistemas reúna evidencia,
evalúe fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoria que
presente esos temas en forma objetiva a la gerencia. Asimismo,
la gerencia de auditoria debe garantizar una disponibilidad y asignación
adecuada de recursos para realizar el trabajo de auditoria, además de
las revisiones de seguimiento sobre las acciones correctivas emprendidas
por la gerencia.
Planificación de la auditoria
Una
planificación adecuada es el primer paso necesario para realizar
auditorias de sistema eficaces. El auditor de sistemas debe comprender
el ambiente del negocio en el que se ha de realizar la auditoria, así
como los riesgos del negocio y control asociado. A continuación se
mencionan algunas de las áreas que deben ser cubierta durante la
planificación de la auditoria.
a) Comprensión del negocio y de su ambiente
Al
planificar una auditoria, el auditor informático debe tener una
comprensión de suficiente del ambiente total que se revisa. Debe incluir
una comprensión general de las diversas prácticas comerciales y
funciones relacionadas con el tema de la auditoria, así como los tipos
de sistemas que se utilizan. El auditor informático también debe
comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigirá requisitos de integridad de sistemas
de información y de control que no están presentes en una empresa
manufacturera. Los pasos que puede llevar a cabo un auditor informático
para obtener una comprensión del negocio son:
- Recorrer las instalaciones del ente.
- Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros.
- Entrevistas a gerentes claves para comprender los temas comerciales esenciales.
- Estudio de los informes sobre normas o reglamentos.
- Revisión de planes estratégicos a largo plazo.
- Revisión de informes de auditorias anteriores.
b) Riesgo y materialidad de auditoria.
Se
pueden definir los riesgos de auditoria como aquellos riesgos de que la
información pueda tener errores materiales o que el auditor de sistemas
no pueda detectar un error que ha ocurrido. Los riesgos en auditoria
pueden clasificarse de la siguiente manera:
- Riesgo Inherente:
Cuando un error material no se pueda evitar que suceda porque no
existen controles compensatorios relacionados que se puedan establecer.
- Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.
- Riesgo de Detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay.
La
palabra "material" utilizada con cada uno de estos componentes o
riesgos, se refiere a un error que debe considerarse significativo
cuando se lleva a cabo una auditoria. En una auditoria de sistemas de
información, la definición de riesgos materiales depende del tamaño o
importancia del ente auditado así como de otros factores. El auditor de
sistemas debe tener una cabal comprensión de estos riesgos de auditoria
al planificar. Una auditoria tal vez no detecte cada uno de los
potenciales errores en un universo, Pero, si el tamaño de la muestra es
lo suficientemente grande, o se utilizan procedimientos estadísticos
adecuados se llega a minimizar la probabilidad del riesgo de detección.
De
manera similar, al evaluar los controles internos, el auditor
informático debe percibir que en un sistema dado se puede detectar un
error mínimo, pero ese error combinado con otros, puede convertirse en
un error material para todo el sistema. La materialidad en la auditoria
de sistemas debe ser considerada en términos del impacto potencial total
para el ente en lugar de alguna medida basado en lo monetario.
c) Técnicas de evaluación de riesgos.
Al
determinar que áreas funcionales o temas de auditoria deben auditarse,
el auditor de sistemas puede enfrentarse ante una gran variedad de
temas candidatos a la auditoria, el auditor informático debe evaluar
esos riesgos y determinar cuales de esas áreas de alto riesgo debe ser
auditada. Existen cuatro motivos por los que se utiliza la evaluación de
riesgos, estos son:
- Permitir que la gerencia asigne recursos necesarios para la auditoria.
- Garantizar
que se ha obtenido la información pertinente de todos los niveles
gerenciales, y garantiza que las actividades de la función de auditoria
se dirigen correctamente a las áreas de alto riesgo y constituyen un
valor agregado para la gerencia.
- Constituir la base para la organización de la auditoria a fin de administrar eficazmente el departamento.
- Proveer
un resumen que describa como el tema individual de auditoria se
relaciona con la organización global de la empresa así como los planes
del negocio.
d) Objetivos de controles y objetivos de auditoria.
El
objetivo de un control es anular un riesgo siguiendo alguna
metodología, el objetivo de auditoria es verificar la existencia de
estos controles y que estén funcionando de manera eficaz, respetando las
políticas de la empresa y los objetivos de la empresa. Así pues tenemos
por ejemplo como objetivos de auditoria de sistemas los siguientes: La
información de los sistemas de información deberá estar resguardada de
acceso incorrecto y se debe mantener actualizada. Cada una de las
transacciones que ocurren en los sistemas es autorizada y es ingresada
una sola vez. Los cambios a los programas deben ser debidamente
aprobados y probados. Los objetivos de auditoria se consiguen mediante
los procedimientos de auditoria.
e) Procedimientos de auditoria.
Algunos ejemplos de procedimientos de auditoria son:
- Revisión de la documentación de sistemas e identificación de los controles existentes.
- Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados.
- Utilización de software de manejo de base de datos para examinar el contenido de los archivos de datos.
- Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.
|
No hay comentarios:
Publicar un comentario