Revisin Preliminar Revisin Detallada Examen y Evaluacin de la
Informacin Pruebas de consentimiento Pruebas de Controles de los
Usuarios Pruebas Sustantivas Evaluacin de los Sistemas de Acuerdo
al Riesgo Requerimientos de una auditora Personal Participante Ing.
Jos Manuel Poveda
Diapositiva 2
REVISIN PRELIMINAR: Es el primer paso en el desarrollo de la
auditora, despus de la planeacin. Objetivo: Obtener informacin
necesaria para que el auditor pueda tomar la decisin de cmo
proceder en la auditora. Al terminar la RP puede proceder a seguir
uno de los tres caminos: Diseo de la Auditora Realizar una revisin
detallada de los CI Decidir no confiar en los CI
Diapositiva 3
La Revisin Preliminar (RP) significa la recoleccin de
evidencias por medio de entrevistas con el personal de la
instalacin, la observacin de las actividades en la instalacin y la
revisin de la documentacin preliminar. La RP realizada por un
Auditor Interno difiere de la realizada por un auditor externo en:
1 El AI normalmente requiere de menos revisiones y trabajos. 2 El
AE se enfoca ms en las causas de las prdidas y en los controles
necesarios para justificar sus decisiones. 3 Si el auditor interno
supone serias debilidades en los CI, en lugar de proceder
directamente con las pruebas sustantivas deber continuar con la
fase de revisin detallada.
Diapositiva 4
REVISIN DETALLADA: Objetivo: Obtener la informacin necesaria
para que el auditor tenga un profundo entendimiento de los
controles usados dentro del rea de informtica. Aqu el auditor
decide: Aqu el auditor decide: Pruebas de consentimiento o pruebas
sustantivas? En esta fase es importante para el auditor identificar
las causas de las prdidas existentes dentro de la instalacin y los
controles para reducir las prdidas y los efectos causados por
esta.
Diapositiva 5
Los mtodos de obtencin de informacin son los mismos usados en
la investigacin preliminar y lo nico que difiere es su profundidad
con la que se obtiene y evala. El auditor debe evaluar si los
controles escogidos son ptimos: Si provocan un sobre control. Si se
logra un satisfactorio nivel de control usando menos controles o
controles menos costosos. Si el auditor considera que los CI no son
satisfactorios, en lugar de proceder directamente a revisar, a
probar controles alternos o realizar pruebas sustantivas y
procedimientos, debe sealar recomendaciones para mejorar los
controles de los sistemas.
Diapositiva 6
EXAMEN Y EVALUACIN DE LA INFORMACIN: Los auditores internos
debern obtener, analizar, interpretar y documentar la informacin
para apoyar los resultados de la auditora. El proceso de examen y
evaluacin de la informacin es el siguiente: 1. Se debe tener la
informacin de todos los asuntos relacionados con los objetivos y
alcances de la Auditora. 2. La informacin deber ser suficiente,
competente, relevante y til para que proporcione bases slidas en
relacin con los hallazgos y recomendacin de la auditora.
Diapositiva 7
3. Los procedimientos de auditora debern ser elegidos con
anterioridad, cuando esto sea posible, modificarse cuando las
circunstancias lo requieran. 4. El proceso de recabar, analizar,
interpretar y documentar la informacin deber supervisarse para
proporcionar una seguridad razonable de que la objetividad del
auditor se mantuvo y que las metas de la auditora se cumplieron. 5.
Los documentos de trabajo de la auditora debern ser preparados por
los auditores y revisados por la gerencia de auditora.
Diapositiva 8
El director de auditora en informtica deber establecer un
programa para seleccionar y desarrollar los recursos, el cual debe
contemplar: Descripciones de puestos por cada nivel de AI. Seleccin
de individuos calificados y competentes. Asesora a los auditores en
lo referente a su trabajo y a su desarrollo profesional.
Entrenamiento y oportunidad de capacitacin profesional para todos y
cada uno de los auditores. Evaluacin del trabajo de cada uno de los
auditores por lo menos una vez al ao.
Diapositiva 9
El director de auditora informtica deber establecer y mantener
un programa de control de la calidad para evaluar las operaciones
de su equipo de trabajo. Este programa deber incluir:
Diapositiva 10
PRUEBAS DE CONSENTIMIENTO: Objetivo: Determinar si los CI
operan como fueron diseados para operar. El auditor debe determinar
si los controles declarados en realidad existen y si en realidad
trabajan confiablemente. PRUEBAS DE CONTROLES DEL USUARIO: En
algunos casos el auditor puede decidir el no confiar en los
controles internos dentro de las instalaciones informticas, porque
el usuario ejerce controles que compensan cualquier debilidad
dentro de los CI de informtica.
Diapositiva 11
PRUEBAS SUSTANTIVAS: Objetivo: Obtener evidencia suficiente que
permita al auditor emitir su juicio en las conclusiones acerca de
cuando pueden ocurrir prdidas materiales durante el procesamiento
de la informacin.
Diapositiva 12
Existen ocho Pruebas Sustantivas: 1. Pruebas para identificar
errores en el procesamiento o de falta de seguridad o
confidencialidad. 2. Pruebas para asegura la calidad de los datos.
3. Pruebas para identificar la inconsistencia de los datos. 4.
Pruebas para comparar con los datos o contadores fsicos. 5.
Confirmacin de datos con fuentes externas. 6. Pruebas para
confirmar la adecuada comunicacin. 7. Pruebas para determinar la
falta de seguridad. 8. Pruebas para determinar problemas de
legalidad.
Diapositiva 13
Los pasos que involucran una auditora en informtica: Realizar
una investigacin preliminar del rea de informticaSi el auditor
determina confiar en los CI, se realiza una investigacin
detallada.El auditor prueba la confianza sobre aquellos controles
que son crticos.Se realizan pruebas sustantivas de los
procedimientos.El auditor debe dar una opinin.
Diapositiva 14
Evaluacin de los sistemas de acuerdo al riesgo Una de las
formas de evaluar la importancia que puede tener para la
organizacin un determinado sistema es considerar el riesgo que
implica el que no sea adecuadamente utilizado, la prdida de
informacin o bien que sea usado por personal ajeno a la
organizacin.
Diapositiva 15
Algunos sistemas de aplicaciones son de ms alto riesgo que
otros debido a que: Son susceptibles a diferentes tipos de prdida
econmica. Las fallas pueden impactar grandemente a la organizacin.
Los sistemas le dan a la empresa un nivel competitivo muy alto
dentro de un mercado. Sistemas de tecnologa de punta. Sistemas que
son muy costosos de desarrollar, los cuales son frecuentemente
sistemas complejos que pueden presentar muchos problemas de
control.
Diapositiva 16
Requerimientos de una Auditora: A nivel organizacional:
Objetivos a corto y largo plazo. Misin, Visin y Valores.
Antecedentes de la empresa Organigrama Funcin de cada uno de los
departamentos. Relaciones entre las diversas reas del negocio
Polticas Generales.
Diapositiva 17
A nivel del rea de informtica: Objetivos a corto y largo
plazos. Manual de Funciones (Fichas ocupacionales). Manual de
polticas, reglamentos internos y lineamientos generales. Nmero de
personas y puestos en el rea. Procedimientos administrativos del
rea. Presupuestos y costos del rea.
Diapositiva 18
Recursos Materiales y Tcnicos: Solicitar documentos sobre los
equipos, as como el nmero de ellos, su localizacin y sus
caractersticas (de los equipos instalados, por instalar y
programados). Estudio de viabilidad. Fechas de instalacin de los
equipos y planes de instalacin. Contratos vigentes de compra, renta
y servicio de mantenimiento. Contratos de seguros. Convenios que se
tienen con otras instalaciones. Configuracin de los equipos y
capacidades actuales y mximas. Configuracin de equipos de
comunicacin(redes internas y externas) y localizacin de los
equipos. Planes de expansin. Ubicacin general de los equipos.
Polticas de operacin. Polticas del uso de los equipos. Polticas de
seguridad fsica y prevencin contra contingencias internas y
externas.
Diapositiva 19
Sistemas: Descripcin general de los sistemas instalados y de
los que estn por instalarse. Manual de procedimientos de los
sistemas. Descripcin genrica. Diagramas de entrada, archivos,
salidas. Fecha de instalacin de los sistemas. Proyecto de
instalacin de nuevos sistemas. Bases de datos, propietarios de la
informacin y usuarios de la misma. Procedimientos y polticas en
caso de desastre. Sistemas propios y/0 legalidad de los
mismos.
Diapositiva 20
Antes de concluir esta etapa no se olvide de: Estudiar hechos y
no opiniones. Enfocarse en las causas y no en los efectos. Atender
razones, no excusas. No confiar en la memoria, preguntar
constantemente. Criticar objetivamente a fondo todos los informes y
los datos recabados.
Diapositiva 21
Personal Participante: El nmero de ellos depende de las
dimensiones de la organizacin, de los sistemas y de los equipos. El
personal debe estar debidamente capacitado (conocimiento y
experiencia) en reas especificas como bases de datos, hardware,
software y comunicaciones, y con un alto sentido de moralidad. Se
debe contar con personas asignadas por los usuarios.