UNIDAD III: Plantacin de una Auditoria de SI

BIBLIOGRAFIA ISACA, www.isaca.org

Marjorie Chaln Troya.

Agenda
3.1 Alcance y Objetivos de Auditoria 3.2 Tipos de Auditoria 3.3 Programa de Auditoria 3.4 Metodologa de Auditoria 3.5 Fases de Auditoria 3.6 Pruebas Sustantivas y de Cumplimiento 3.7 Evidencia
3.8 Informe

3.1 Alcance de la auditoria

El marco o lmite de la auditora y las materias, temas, segmentos o actividades que son objeto de la misma. Extensin y campo de la auditora dada. El alcance puede expresarse en trminos de factores tales como ubicacin fsica, unidades organizativas, actividades y procesos. Se refiere a las actividades cubiertas por una Auditora, incluye cuando se considera apropiado: Objetivos de auditora Naturaleza y extensin de los procedimientos de auditora ejecutados Perodo de tiempo auditado y Actividades relativas no auditadas, con el propsito de delimitar las fronteras de la auditora.

3.1 Objetivos de Auditoria

Metas especificas que deben cumplirse dentro de la auditoria. Por lo general, los objetivos de auditoria procuran validar que existen controles internos para minimizar los riesgos del negocio, y que estos funcionan segn lo esperado. Estos objetivos buscan asegurar el cumplimiento con los requisitos legales y regulatorios, as mismo, mantener la confidenciabilidad, integridad, confiabilidad y disponibilidad de los recursos de informacin y TI. La determinacin de los objetivos de auditoria es un paso critico en la planeacin de una auditoria de SI.

3.1 Objetivos de Auditoria

Debe identificar los controles clave y decidir si prueba la aplicacin y cumplimiento de estos controles. Debe identificar los controles clave tanto generales como de aplicacin, mediante el previo conocimiento de los procesos y aplicaciones del negocio.

3.1 Objetivos de Auditoria: Entendimiento de ambiente de control

Para entender el ambiente de control y como fluyen las transacciones: Identificar los controles mediante la revisin de los sistemas. Probar el funcionamiento de los controles mediante verificacin de su cumplimiento. Evaluacin de los controles de manera que de determine la confianza en controles, naturaleza, alcance y en que momento aplico las pruebas sustantivas. Se recomienda usar 2 pruebas sustantivas para la validacin de la data. Probar si los saldos y transacciones son correctos Realizar procedimientos analticos.

3.2 Tipos de Auditoria

Auditoria Financiera.- El propsito de esta auditoria es evaluar que los estados financieros estn correctos. Por lo general se requieren pruebas sustantivas y detalladas , los auditores pondrn un enfoque de auditoria basado en riesgos y controles. Este tipo de auditoria comprende la confiabilidad e integridad de la informacin financiera.

3.2 Tipos de Auditoria

Auditoria Operativa.- El propsito de esa auditoria es evaluar la estructura del control interno en un proceso o area determinado. Ejemplo: La auditoria de SI de los controles de aplicacin, sistemas de control de acceso.

3.2 Tipos de Auditoria

Auditoria Integrada.- Este tipo de auditoria combina la auditoria financiera y operacional y puede ser ejecutada por auditores tanto internos como externos que desarrollaran pruebas de cumplimiento de control interno y pruebas sustantivas. (lo que veremos mas adelante).

3.2 Tipos de Auditoria

Auditoria Administrativa.- Este tipo de auditoria esta orientada a evaluar la eficiencia de la productividad operacional dentro de una organizacin.

3.2 Tipos de Auditoria

Auditoria de SI.- Es el proceso de reunir y evaluar la evidencia para determinar si los sistemas de informacin y los recursos relacionados protegen adecuadamente los activos, mantienen la integridad y disponibilidad de los datos y del sistema, proveen informacin relevante y confiable, logran de forma efectiva las metas de la organizacin, usan eficientemente los recursos y tienen en efecto controles internos que proveen una certeza razonable que los objetivos de negocio, operacionales y de control sern alcanzados y que los eventos no deseados sern prevenidos o detectados y corregidos de forma oportuna

3.2 Tipos de Auditoria

Auditoria Especializada.- Considerando dentro de la auditoria de SI, existen varias revisiones a realizar de manera especializada de manera que se examinan reas como la de servicio de terceros. Esta rea es importante porque las empresas han incrementado la contratacin de terceros para brindar determinados servicios dentro de las organizaciones.

3.2 Tipos de Auditoria

Auditoria Forense.- Determinada como la auditoria especializada en la investigacin de crmenes y fraudes. El propsito principal es revisar el desarrollo de la evidencia para comprobar que se cumple la ley la autoridad judicial. Cuando se trata de una investigacin forense computarizada se debe incluir un analisis de los equipos de computacin, telefona, PDAs (Personal Digital Assistance), discos duros, switches, routers, hubs y otros equipos electrnicos. Cuando se reuna la evidencia suficiente, debe establecerse una cadena de custodia de evidencia de acuerdo a la ley.

3.3 Programa de Auditoria

Existen procedimientos de auditoria bsicos: Obtencin y documentacin del conocimiento sobre el rea a auditar. Evaluacin de Riesgos y planeacin general de la auditoria. Planeacin detallada de la auditoria. Evaluacin del rea auditada. Verificacin y evaluacin de la correccin de los controles que buscan cumplir los objetivos de control. Pruebas de cumplimiento. Pruebas sustantivas. Informe. Seguimiento.

3.3 Implementacin del Programa de Auditoria

Comunicar el programa de auditorias a las partes interesadas. Coordinar y elaborar el calendario de las auditorias. Establecer un proceso para la evaluacin de los auditores y su continuo desarrollo profesional, y mantenerlo. Evaluar la seleccin de los equipos auditores. Proveer los recursos necesarios para los equipos auditores Asegurar que la auditoria se realice de acuerdo con el programa de auditoria. Controlar de los registros de las actividades de la auditoria. Revisin y aprobacin de los informes de la auditoria y que sean comunicador oportunamente al cliente o partes interesadas. Dar seguimiento de la auditoria, en caso que sea continua.

3.4 Metodologa de la Auditoria

Segn ISACA la metodologa de la auditoria es un conjunto de procedimientos documentados de auditoria diseados para alcanzar los objetivos de auditoria planeados. Se compone de una declaracin del alcance, de los objetivos de auditoria y de los programas de auditoria. La gerencia de auditoria debe establecer y aprobar la metodologa de auditoria, de manera formal y comunicarse al personal de auditoria.

3.5 Fases de la Auditoria

Identificacin del rea a auditar. Identificar los objetivos de auditoria. Identificar el alcance de la auditoria, cuales son los sistemas especficos, funcion o unidad de la organizacin a revisar, definiendo el limite de la revisin. Planeacin de la auditoria de manera preliminar, identificando las habilidades tcnicas y recursos requeridos para desarrollar la auditoria, identificando las fuentes de informacin para realizar las revisiones y pruebas, que facilidades ofrece la organizacin y la ubicacin de las instalaciones a auditarse.

3.5 Fases de la Auditoria

Identificar el enfoque de auditoria se va a emplear para la revisin y verificacin de controles, qu personas sern entrevistadas, identificar las polticas departamentales, estndares y directrices, desarrollar herramientas y metodologas de auditoria para probar y verificar el control. Procedimientos para realizar la evaluacin, pruebas y revisin de resultados Procedimientos de la comunicacin hacia la gerencia. Elaborar el informe de auditoria.

3.6 Pruebas de cumplimiento y Prueba Sustantiva

La prueba de cumplimiento es la recoleccin de evidencia con la finalidad de comprobar que dentro de la organizacin se cumple con los procedimientos de control, es decir, si cumplen con las polticas y procedimientos de la direccin. La prueba sustantiva en cambio se recolecta evidencia para evaluar la integridad de las transacciones individuales o datos.

3.7 Informe de Auditoria

Para realizar el informe de auditoria, se recomienda realizar un entrevista final con la direccin, donde se discutan los hallazgos y las recomendaciones. Durante esta discusin final, el auditor debera: Asegurarse que los hechos que va a discutir mediante el informe estn correctos Asegurarse que las recomendaciones sean realistas y eficientes, considerando los costos. Sugerir fechas de implementacin de las recomendaciones.

3.7 Informe de Auditoria: Tcnicas de presentacin

Dado que el auditor debe presentar los resultados de la auditoria ante la direccin, y muchas veces es requerido que se expongan a distintos niveles de la direccin; el auditor debe conocer las tcnicas de presentacin existentes: Resumen ejecutivo.- Informe de fcil lectura y presentar los resultados de auditoria de manera comprensible, procurando no usar terminologa compleja. Sin embargo, se pueden emitir anexos mas tcnicos de manera que la direccin operativa este en la capacidad de corregir los hallazgos informados. Presentacin visual.- Diapositivas, grficos mediante computadora.

3.7 Contenido del informe de Auditoria

No existe un formato especifico para un informe de auditoria de sistemas, sin embargo, el formato se ajusta de acuerdo a las polticas y procedimientos de auditoria de la organizacin. Partes bsicas de un informe: Introduccin al informe. Periodo de auditoria. Declaracin general sobre el carcter y la extensin de los procedimientos de auditoria realizados y los procesos examinados. Declaracin sobre la metodologa de la auditoria de SI.

3.7 Informe balanceado

El auditor de SI no solo debera incluir en el informe los hallazgos negativos, sino tambin exponer las oportunidades de mejoras, en base a procesos que incluyen controles efectivos ya existentes. El auditor debera describir el hallazgo, que lo causa y cual es el riesgo. Tambin puede incluir la recomendacin para contrarrestar el riesgo. En caso que sea necesario, o se considere apropiado, el auditoria puede describir un hallazgo en un documento separado, donde el informe haga referencia a este documento.