Professional Documents
Culture Documents
Auditoria Informtica
Facilitador Domingo Mndez Participantes Isabel Colina Ender Ortiz Hermes Marcano Fernando Flores Edward Parra
Revisin Preliminar
Es el primer paso de la auditoria despus de la planeacin
Obtener informacin necesaria para que el auditor pueda determinar como proceder en la auditoria
Revisin Preliminar
La revisin preliminar consiste en recolectar evidencias por medio de entrevistas al personal de las instalaciones Y la revisin de la documentacin preliminar. La RP realizada por un Auditor Interno difiere de la realizada por un auditor externo en:
1 2
El AI normalmente requiere de menos revisiones y trabajos. El AE se enfoca ms en las causas de las prdidas y en los controles necesarios para justificar sus decisiones. . Si el auditor interno supone serias debilidades en los CI, en lugar de proceder directamente con las pruebas sustantivas deber continuar con la fase de revisin detallada.
Revisin Detallada
Los objetos de la revisin detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. En esta fase es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por esta.
Los mtodos de obtencin de informacin son los mismos usados en la investigacin preliminar y lo nico que difiere es su profundidad con la que se obtiene y evala. El auditor debe evaluar si los controles escogidos son ptimos
El proceso de examen y evaluacin de la informacin es el siguiente: 1. Se debe tener la informacin de todos los asuntos relacionados con los objetivos y alcances de la Auditora.
2. La informacin deber ser suficiente, competente, relevante y til para que proporcione bases slidas en relacin con los hallazgos y recomendacin de la auditora.
El director de auditora en informtica deber establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar: Entrenamiento y oportunidad de capacitacin profesional para todos los auditores. Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al ao.
El director de auditora informtica deber establecer y mantener un programa de control de la calidad para evaluar las operaciones de su equipo de trabajo. Este programa deber incluir:
Pruebas de Consentimiento
Determinar si los Software operan como fueron diseados para operar. El auditor debe determinar si los controles declarados en realidad existen y si en realidad trabajan confiablemente.
Continua
Pruebas de Consentimiento
El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben de hacer, es decir, que los controles que se supona que existan, existen realmente y funcionan bien. Las tcnicas utilizadas, adems de la recogida manual de evidencias ya descrita, contemplan el uso del ordenador para verificar los controles.
Pruebas Sustantivas
El objetivo de las pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuando pueden ocurrir perdida de materiales durante el proceso de la informacin.
Evaluacin de los sistemas de acuerdo al riesgo Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema es considerar el riesgo que implica el que no sea adecuadamente utilizado, la prdida de informacin o bien que sea usado por personal ajeno a la organizacin.
Investigacin Preliminar Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en:
Administracin: Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Sistemas: Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin.
Personal Participante:
El personal debe estar debidamente capacitado (conocimiento y experiencia) en reas especificas como bases de datos, hardware, software y comunicaciones, y con un alto sentido de moralidad. Se debe contar con personas asignadas por los usuarios.