METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS
Páginas: 8 (1778 palabras)
Publicado: 18 de octubre de 2015
METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o
analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a
la unidad informática para conocer detalles de lamisma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud de plan de actividades,
Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo
de procesos, realización de pruebas de cumplimiento de lasseguridades, revisión de aplicaciones de
las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos,
entre otras actividades.
Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y
sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo
y la distribución decarga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará,
definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.
Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar alinforme definitivo, el cual se presentará esquemáticamente en forma de
matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y
las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
Motivos de la Auditoría
Objetivos
Alcance
Estructura Orgánico-Funcional del área Informática
Configuración del Hardware y Software instaladoControl Interno
Resultados de la Auditoría
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los
controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizaruna disponibilidad y
asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento
sobre las acciones correctivas emprendidas por la gerencia
Planificación de la auditoría
Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor
de sistemas debe comprender el ambiente del negocio en el que seha de realizar la auditoría así como los riesgos
del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante
la planificación de la auditoría:
a.
Comprensión del negocio y de su ambiente: Debe incluir una comprensión general de las diversas
prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de
sistemasque se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el
que opera el negocio.
b.
Riesgo y materialidad de auditoría: Se puede definir los riesgos de auditoría como aquellos riesgos
de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un
error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de lasiguiente manera: Riesgo
inherente: Cuando un error material no se puede evitar que suceda por que no existen controles
compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material
no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de
detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un...
Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o
analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a
la unidad informática para conocer detalles de lamisma, elaborar un cuestionario para la obtención de
información para evaluar preliminarmente el control interno, solicitud de plan de actividades,
Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.
Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo
de procesos, realización de pruebas de cumplimiento de lasseguridades, revisión de aplicaciones de
las áreas críticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos,
entre otras actividades.
Examen detallado de áreas críticas.-Con las fases anteriores el auditor descubre las áreas críticas y
sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo
y la distribución decarga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará,
definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará
detalladamente cada problema encontrado con todo lo anteriormente analizado.
Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar alinforme definitivo, el cual se presentará esquemáticamente en forma de
matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y
las recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
Motivos de la Auditoría
Objetivos
Alcance
Estructura Orgánico-Funcional del área Informática
Configuración del Hardware y Software instaladoControl Interno
Resultados de la Auditoría
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
El proceso de auditoría exige que el auditor de sistemas reúna evidencia, evalúe fortalezas y debilidades de los
controles existentes basado en la evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoría debe garantizaruna disponibilidad y
asignación adecuada de recursos para realizar el trabajo de auditoría además de las revisiones de seguimiento
sobre las acciones correctivas emprendidas por la gerencia
Planificación de la auditoría
Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor
de sistemas debe comprender el ambiente del negocio en el que seha de realizar la auditoría así como los riesgos
del negocio y control asociado. A continuación se menciona algunas de las áreas que deben ser cubiertas durante
la planificación de la auditoría:
a.
Comprensión del negocio y de su ambiente: Debe incluir una comprensión general de las diversas
prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de
sistemasque se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el
que opera el negocio.
b.
Riesgo y materialidad de auditoría: Se puede definir los riesgos de auditoría como aquellos riesgos
de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un
error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de lasiguiente manera: Riesgo
inherente: Cuando un error material no se puede evitar que suceda por que no existen controles
compensatorios relacionados que se puedan establecer. Riesgo de Control: Cuando un error material
no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de
detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un...
Leer documento completo
Regístrate para leer el documento completo.