Planeación de la auditoría informáticaM.S.C. Guadalupe Robles C.

Un

idad

II

Objetivo Educacional:

El estudiante comprenderá

las fases de la planeación de

la auditoria informática y las

aplicará en evaluaciones de

casos.

Fases de la planeación

Las normas de la auditoría interna comprenden

•Las actividades auditadas y la objetividad de los auditores internos.

•El alcance del trabajo de auditoría interna en el área de informática.

•El departamento de auditoría interna deberá asignar

a cada auditoría a aquellas personas que en su

conjunto posean los conocimientos, la

experiencia y la disciplina necesarios para

conducir apropiadamente la auditoría.

El departamento de auditoría interna deberá asegurarse:

• Que las auditorías sean supervisadas en forma apropiada. La supervisión es un procesocontinuo que comienza con la planeación y termina con el trabajo de auditoría.

• Que los informes de auditoría sean precisos, objetivos, claros, concisos, constructivos yoportunos.

•Que se cumplan los objetivos de la auditoría.

•Que la auditoría sea debidamente documentada y que se conserve la evidenciaapropiada de la supervisión.

•Que los auditores cumplan con las normas profesionales de conducta.

•Que los auditores en informática posean los conocimientos, experiencias y disciplinasesenciales para realizar sus auditorías.

Para una adecuada planeación

Para hacer una adecuada planeación de la auditoría en informática hay que seguir unaserie de pasos previos que permitirán dimensionar el tamaño y características del áreadentro del organismo a auditar, sus sistemas, organización y equipo.

Con ello podremos determinar el número y características del personal de auditoría, lasherramientas necesarias, el tiempo y costo, así como definir los alcances de la auditoríapara, en caso necesario, poder elaborar el contrato de servicios.

1. Planeación

El trabajo de auditoría deberá incluir:

•La planeación de la auditoría

•El examen y la evaluación de la

información

•La comunicación de los resultados

y el seguimiento

1. Planeación (Cont.)

La planeación deberá ser documentada e incluirá:

Establecimiento de objetivos

Obtención de información

Establecimiento de

comunicación

Forma de realizar las actividades

Determinación de recursos

Preparar por escrito el

programa de auditoría

Determinar quién

comunicara los resultados

Aprobación del plan de trabajo

de auditoría

2. Revisión preliminar

El objetivo de la revisión preliminar es el de obtener la informaciónnecesaria para que el auditor pueda tomar la decisión de cómoproceder en la auditoría. Al terminar la revisión preliminar el auditorpuede proceder en uno de los tres caminos siguientes:

Diseño de la auditoría. Puede haber problemas debido a la falta decompetencia técnica para realizar la auditoría.

Realizar una revisión detallada de los controles internos de lossistemas con la esperanza de que se deposite la confianza en loscontroles de los sistemas y de que una serie de pruebas sustantivaspuedan reducir las consecuencias.

Decidir el no confiar en los controles internos del sistema. Existen dosrazones posibles para esta decisión. Primero, puede ser más eficientedesde el punto de vista de costo-beneficio el realizar pruebassustantivas directamente. Segundo, los controles del área deinformática pueden duplicar los controles existentes en el área delusuario.

3. Revisión detallada

Los objetivos de la fase detallada son los de obtener la información necesaria para que el auditor tenga unprofundo entendimiento de los controles usados dentro del área de informática.

En la fase de evaluación detallada es importante para el auditor identificar las causas de las pérdidasexistentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados poréstas. Al terminar la revisión detallada el auditor debe evaluar en qué momento los controlesestablecidos reduce las pérdidas esperadas a un nivel aceptable. Los métodos de obtención deinformación al momento de la evaluación detallada son los mismos usados en la investigación preliminar,y lo único que difiere es la profundidad con se obtiene la información y se evalúa.

4. Examen y evaluación de la información.

Los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar losresultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente:

Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances del auditor. Lainformación relevante apoya los hallazgos y recomendaciones de auditoría y es consistente con los objetivosde ésta. La información útil ayuda a la organización a lograr sus metas.

El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse paraproporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas deauditoría se cumplieron.

Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por lagerencia de auditoría. Estos documentos deberán registrar la información obtenida y el análisis realizado, ydeben apoyar las bases de los hallazgos de auditoría y las recomendaciones que se harán.

Los auditores deberán reportar los resultados del trabajo de auditoría: El auditor deberá discutir lasconclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informefinal. Los informes deberán ser objetivos, claros, concisos, constructivos y oportunos. Los informespresentarán el propósito, alcance y resultados de la auditoría y, cuando se considere apropiado, contendránla opinión del auditor.

5. Pruebas de controles de usuario.

En algunos casos el auditor puede decidir el no confiar

en los controles internos dentro de las instalaciones

informáticas, porque el usuario ejerce controles que

compensan cualquier debilidad dentro de los controles

de informática. Estas pruebas que compensan las

deficiencias de los controles internos se pueden realizar

mediante cuestionarios, entrevistas, visitas y

evaluaciones hechas directamente con los usuarios.

6 Pruebas sustantivas

El objetivo de la fase de pruebas sustantivas es obtener evidenciasuficiente que permita al auditor emitir su juicio en las conclusionesacerca de cuándo pueden ocurrir pérdidas materiales durante elprocesamiento de la información.

El auditor externo expresará este juicio en forma de opinión sobrecuándo puede existir un proceso equivocado o falta de control de lainformación. Se pueden identificar ocho diferentes pruebas sustantivas:

•Pruebas para identificar errores en el procesamiento o de falta deseguridad o confidencialidad.•Pruebas para asegurar la calidad de los datos.•Pruebas para identificar la inconsistencia de los datos.•Pruebas para comparar con los datos o contadores físicos.•Confirmación de datos con fuentes externas.•Pruebas para confirmar la adecuada comunicación.•Pruebas para determinar falta de seguridad.•Pruebas para determinar problemas de legalidad.