Actividad 15 plan auditor informatico e informe de auditoría
1. Metodologías de Auditoría
Informática
La metodología usada por el auditor interno debe
ser diseñada y desarrollada por el propio auditor
Se basa en su grado de experiencia y habilidad
Se deben crear las metodologías necesarias para
auditar los distintos aspectos definidos en el plan
auditor informático
Auditoría de Sistemas de
Información
2. Plan Auditor Informático
Es el esquema metodológico más
importante del auditor informático
Describe todo sobre esta función y el
trabajo que realiza
Auditoría de Sistemas de
Información
3. Partes del Plan Auditor
Informático
Las partes que lo componen deben ser al
menos las siguientes:
• Funciones
• Procedimientos
• Tipos de auditorías que realiza
• Sistema de evaluación
• Nivel de exposición
• Lista de distribución de informes
• Seguimiento de acciones correctoras
• Plan de trabajo
Auditoría de Sistemas de
Información
4. Partes del Plan Auditor
Informático
FUNCIONES
• Ubicación en el organigrama.
• Deben describirse las funciones en forma
precisa y la organización interna del
departamento, con todos sus recursos
Auditoría de Sistemas de
Información
5. Partes del Plan Auditor
Informático
PROCEDIMIENTOS
• Para las distintas tareas de las auditorías
• Definición de debilidades, entrega del informe
preliminar, cierre de la auditoría, redacción del
informe final, etc.
Auditoría de Sistemas de
Información
6. Partes del Plan Auditor
Informático
TIPOS DE AUDITORÍAS que realiza
• Metodologías y cuestionarios de las mismas
• Ejemplo: revisión de la seguridad física, de
controles internos, de la aplicación de
facturación, etc.
• Existen tres tipos, según el alcance:
Full o Completa de un área
Limitada a un aspecto
Comprobación de acciones correctivas de
auditorías anteriores (Corrective Action Review)
Auditoría de Sistemas de
Información
7. Partes del Plan Auditor
Informático
SISTEMA DE EVALUACIÓN y los distintos
aspectos que evalúa
• Se deben definir varios aspectos (gestión económica, de
RH, cumplimiento de normas)
• Se debe realizar una evaluación global de resumen para
toda la auditoría (Bien, Regular, Mal, significando la
visión del grado de gravedad)
• evaluación determina la fecha de repetición de la
auditoría en el futuro, dependiendo del nivel de
exposición encontrado.
Auditoría de Sistemas de
Información
8. Partes del Plan Auditor
Informático
NIVEL DE EXPOSICIÓN
• Nos permite definir la fecha de repetición de una
auditoría dependiendo de la evaluación final de
la última realizada
• Puede significar la suma de factores como
impacto, peso del área, situación de control en
el área
Auditoría de Sistemas de
Información
9. Partes del Plan Auditor
Informático
LISTA DE DISTRIBUCIÓN DE INFORMES.
• Se define la cantidad de informes con el
resultado final de la auditoría que se van a
distribuir
Auditoría de Sistemas de
Información
10. Partes del Plan Auditor
Informático
SEGUIMIENTO DE ACCIONES
CORRECTIVAS
• Dependiendo de las acciones correctivas
sugeridas en el informe final, se realiza un
adecuado seguimiento.
Auditoría de Sistemas de
Información
11. Partes del Plan Auditor
Informático
PLAN DE TRABAJO
• Se estiman tiempos y se realiza un calendario
con horas de trabajo previstas
• Se definen los recursos que se necesitarán
Auditoría de Sistemas de
Información
12. Las metodologías de auditoría informática
son del tipo cualitativo-subjetivo. Están
basadas en profesionales de gran nivel de
experiencia y formación, capaces de dictar
recomendaciones técnicas, operativas y
jurídicas
Auditoría de Sistemas de
Información
13. FUNCIONES DE LA AUDITORÍA
INFORMÁTICA
Vigilancia y evaluación mediante dictámenes
Evaluar eficiencia, costo y seguridad en su
más amplia visión (riesgos informáticos)
Operar según el plan auditor
Utilizar metodologías del tipo cualitativo
Auditoría de Sistemas de
Información
14. El Informe de Auditoría
Es el reporte que el auditor provee a las partes
interesadas una vez finalizada la auditoría
Establece el alcance, objetivos, período de
cobertura, y la naturaleza y extensión del trabajo
de auditoría realizado.
Identifica la organización, las partes interesadas y
cualquier restricción acerca de su distribución.
Incluye resultados, conclusiones,
recomendaciones y cualquier reserva o calificación
que el auditor tenga respecto de la auditoría.
Auditoría de Sistemas de
Información
15. El Informe de Auditoría
Es el medio formal para comunicar los objetivos de
la auditoría, las normas de auditoría utilizadas, el
alcance y resultados, conclusiones y
recomendaciones de la auditoría.
El reporte debe ser objetivo, claro, conciso,
constructivo y oportuno.
Existen esquemas recomendados con los requisitos
mínimos aconsejables respecto a estructura y
contenido
Auditoría de Sistemas de
Información
16. La evidencia
Es la base razonable de la opinión del
Auditor Informático
Debe ser:
• Relevante
• Fiable
• Suficiente
• Adecuada
Auditoría de Sistemas de
Información
17. El Informe de Auditoría
1. Identificación del Informe
2. Identificación del cliente
3. Identificación de la entidad auditada
Auditoría de Sistemas de
Información
18. El Informe de Auditoría
1. Objetivos de la auditoría informática
• Declaración de los objetivos para identificar propósito.
• Si algún objetivo no fue satisfecho, éste hecho debe
notificarse en el reporte.
2. Normativa aplicada y excepciones
• Identificación de normas legales utilizadas,
excepciones de uso y el posible impacto de los
resultados de la auditoría
Auditoría de Sistemas de
Información
19. El Informe de Auditoría
1. Alcance de la Auditoría
• Naturaleza y extensión del trabajo realizado
• Identificación del área de auditoría y el período
cubierto
• Sistemas de información, aplicaciones o
ambiente revisado
• Limitaciones al alcance
• Restricciones del auditado
Auditoría de Sistemas de
Información
20. El Informe de Auditoría
1. Conclusiones
• Es la evaluación del área auditada
• Debe contener uno de los siguientes tipos de
opinión: favorable, con salvedades,
desfavorable, denegada
• Se deben expresar recomendaciones para
acciones correctivas.
Auditoría de Sistemas de
Información
21. Distribución del Informe
El informe debe identificar al auditado e indicar la
fecha de emisión de éste.
Especificar cuáles reportes son sólo para
información, cuáles destinados a un grupo como los
auditores, panel de directores, gerencia y cuáles
son destinados a personas fuera de la institución
(ejemplo, agencias de gobierno).
El reporte debe también declarar cualquier
restricción que haya para su distribución
Auditoría de Sistemas de
Información