El documento presenta la planificación detallada de una auditoría de sistemas, incluyendo la determinación de objetivos, alcance, recursos, procedimientos de auditoría y programas de trabajo. Explica cada etapa del proceso de planificación detallada para llevar a cabo una evaluación exhaustiva del sistema de información auditado.
Auditoría de sistemas en la Universidad Central del Ecuador
1. UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS
ESCUELA DE CONTABILIDAD Y AUDITORIA
AUDITORIA DE SISTEMAS
DR. CARLOS ESCOBAR
ALUMNO: FRANKLIN MAURICIO RODRÍGUEZ SIMBAÑA
CA9-6
2. En la planificación estratégica se trabaja con la auditoria en su conjunto
como un todo. En cambio en la planificación detallada se trabaja cada
componente en particular, en forma separada del resto de los
componentes. Uno de los factores clave que hacen al enfoque
empresarial de auditoria, además de los mencionados cuando se
comento la planificación estratégica, consiste en concentrar
los esfuerzos de auditoria en las áreas de mayor riesgo.
Una vez completado el proceso de planificación estratégica se
documentarán las decisiones preliminares para cada uno de los
componentes. Luego se obtiene toda la información adicional porcada
componente, que se necesaria para concluir que las afirmaciones
correspondientes a cada componente son válidas. Es en esta etapa de
obtención de información adicional cuando se documenta o actualiza
la comprensión de los aspectos relevantes delos sistemas de
información de la organización y los controles generales relacionados.
3. El paso siguiente será la selección de los
procedimientos de auditoria, que comúnmente se
traducen en la preparación de los programas de
trabajo.
Planificación detallada:
1.Objetivos
2.Alcances de auditoría
3.Determinación de recursos de la Auditoría
4.Selección de procedimientos de auditoria
5.Preparación de programas de trabajo.
4. Objetivos generales de la Auditoría de Sistemas de la
Información-
Analizar la eficacia del Sistema Informático-
Verificación de la implantación de la Normativa-
Revisión de la gestión de los recursos informáticos.
Evaluar la fiabilidad-
Evaluar la dependencia de los Sistemas y las medidas
tomadas para garantizar su disponibilidad
y continuidad-
Revisar la seguridad de los entornos y sistemas.
Analizar la garantía de calidad de los Sistemas de
Información-
Analizar los controles y procedimientos tanto
organizativos como operativos.
5. Objetivos específicos:
Asegurar una mayor integridad, confidencialidad y confiabilidad de la
información.
Seguridad del personal, los datos, el hardware, el software y las
instalaciones.
Minimizar existencias de riesgos en el uso de Tecnología de información
Conocer la situación actual del área de sistemas para lograr los objetivos
de la Organización.
Seguridad, utilidad, confianza, privacidad y disponibilidad de los
entornos.
Incrementar la satisfacción de los usuarios de los sistemas de
información.
Capacitación y educación sobre controles en los Sistemas de
Información.
Buscar una mejor relación costo-beneficio de los sistemas automáticos.
Decisiones de inversión y gastos innecesarios.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones
a la alta gerencia para mejorar o lograr un adecuado control interno en
ambientes de tecnología informática con el fin de lograr mayor
eficiencia operacional y administrativa Auditoría de Sistemas
6. Aquí se identifica los sistemas específicos o unidades de
la organización que se han de incluir en la revisión en
un periodo de tiempo determinado. Los objetivos
propuestos deben ser consensuados con el equipo
responsable de la aplicación en la organización
usuaria. Es preciso conseguir una gran claridad y
precisión en la definición de los objetivos de la
auditoria y del trabajo y pruebas que se proponen
realizar, delimitando perfectamente su alcance de
manera que no ofrezcan dudas de interpretación.
7. Se procede a determinar los recursos humanos y materiales que han de
emplearse en la auditoría.- Recursos humanos- Recursos materiales
Recursos materiales Es muy importante su determinación, por cuanto la
mayoría de ellos son proporcionados por el cliente. Las herramientas de
software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de
uso entre el auditor y cliente. Los recursos materiales del auditor son de
dos tipos:
a. Recursos materiales Software Programas propios de la auditoría: Son
muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones
de los procesos del cliente para verificarlos.
b. b. Recursos materiales Hardware Los recursos hardware que el auditor
necesita son proporcionados por el cliente. Los procesos de control
deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cuál habrá de convenir el, tiempo de maquina, espacio de
disco, impresoras ocupadas, etc. Recursos Humanos La cantidad de
recursos depende del volumen auditable. Las características y perfiles
del personal seleccionado dependen de la materia auditable. Perfiles
Profesionales de los auditores informáticos
8. Para la selección de los procedimientos de
auditoria, corresponderá tener en cuenta cual es toda la
gama posible de procedimientos a aplicar. En ese
sentido, los procedimientos posibles responden a dos
grandes grupos, los procedimientos sustantivos y la prueba
de controles. Para la selección de los procedimientos de
auditoria, usualmente resulta eficiente considerar los
procedimientos ya seleccionados para otros
componentes, que puedan brindar satisfacción de auditoria
adicional para el componente que se este planificando. Los
procedimientos de auditoria seleccionados constituyen la
base para la preparación del programa de trabajo.
9. El resultado de la etapa de planificación detallada se
documentara a través de lo que se llama “Programa de
trabajo”, que incluye cada uno de los procedimientos a
aplicar para cada componente y en cada visita de
auditoria con indicación del alcance y pasos a seguir.
Una vez asignados los recursos, el responsable de la
auditoría y sus colaboradores establecen un programa
o plan de trabajo. Decidido éste, se procede a la
programación del mismo
10. El plan se elabora teniendo en cuenta, entre otros criterios, los
siguientes:
a) Si la revisión debe realizarse por áreas generales o áreas
específicas. En el primer caso, la elaboración es más compleja y
costosa.
b) Si la auditoría es global, de toda la Informática, o parcial en
sistemas de información.
El volumen determina no solamente el número de auditores
necesarios, sino las especialidades necesarias del personal. En el
Plan se establecen los recursos y esfuerzos globales que van a ser
necesarios
.En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente. El Plan establece
disponibilidad futura de los recursos durante la revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir
del auditado Una vez elaborado el Plan, se procede a la
programación de actividades que se ejecutarán hasta la conclusión
de la auditoria y elaborar el informe final.
El plan deber ser lo suficientemente flexible como para permitir
modificaciones a lo largo del proyecto.
11. Los informes de auditoría son el producto final del trabajo del
auditor de sistemas, este informe es utilizado para indicar las
observaciones y recomendaciones a la gerencia, aquí también se
expone la opinión sobre lo adecuado o lo inadecuado de los
controles o procedimientos revisados durante la auditoría, no
existe un formato específico para exponer un informe de
auditoría de sistemas de información, pero generalmente tiene la
siguiente estructura o contenido: Introducción al informe, donde
se expresara los objetivos de la auditoría, el período o alcance
cubierto por la misma, y una expresión general sobre la
naturaleza o extensión de los procedimientos de auditoría
realizados.
Observaciones detalladas y recomendaciones de auditoría.
Respuestas de la gerencia a las observaciones con respecto a las
acciones correctivas. Conclusión global del auditor expresando
una opinión sobre los controles y procedimientos revisados.
12. Los objetivos de la fase detallada son los de obtener la
información necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del
área de informática. El auditor debe decidir si debe de
continuar elaborando pruebas de consentimiento, con la
esperanza de obtener mayor confianza por medio del
sistema de control interno, o proceder directamente a la
revisión con los usuarios (pruebas compensatorias), o a las
pruebas sustantivas. En algunos casos el auditor
puede, después de haber un análisis detallado, decidir que
con los controles internos se tiene suficiente confianza, y
en otros casos que los procedimientos alternos de auditoría
pueden ser más apropiados
13. En la fase de evaluación detallada es importante para el auditor
identificar las casusas de las pérdidas existentes dentro de la
instalación y los controles para reducir las pérdidas y los efectos
causados por éstas. Al terminar la revisión detallada el auditor debe
evaluar en qué momento los controles establecidos reducen las
pérdidas esperadas a un nivel aceptable. Los métodos de obtención
de información al momento de la evaluación detallada son los
mismos usados en la investigación preliminar, y lo único que difiere
es la profundidad con que se obtiene la información y se evalúa.
Como en el caso de la investigación preliminar, se tienen diferentes
formas de lograr los objetivos desde el punto de vista del auditor
interno o externo. El auditor interno debe considerar las causas de
las pérdidas que afectan la eficiencia y eficacia, además de evaluar
porqué los controles escogidos son o no suficientes para reducir las
pérdidas esperadas a un nivel aceptable. El auditor interno debe
evaluar si los controles escogidos son óptimos, si provocan un sobre
control, o bien si se logra un satisfactorio nivel de control usando
menos controles o controles menos costosos. Si el auditor interno
considera que los controles internos del sistema no son
satisfactorios, en lugar de proceder directamente a revisar, a probar
controles alternos o a realizar pruebas sustantivas y
procedimientos, debe señalar las recomendaciones para mejorar los
controles de los sistemas.