Analizaremos las cuatro fases básicas de un proceso
de revisión:
El
informe debe contener lo siguiente:
Procedimientos y Técnicas de Auditoria: El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoría que
consta de objetivos de control y procedimientos de auditoría que deben
satisfacer esos objetivos.
Procedimientos y Técnicas de Auditoria: El auditor de sistemas debe
evaluar los riesgos globales y luego desarrollar un programa de auditoría que
consta de objetivos de control y procedimientos de auditoría que deben
satisfacer esos objetivos.
Planificación de la auditoría: El auditor de sistemas debe comprender el ambiente
del negocio en el que se ha de realizar la auditoría así como los riesgos del
negocio y control asociado.
Comprensión del negocio y de su ambiente: Debe incluir una
comprensión general de las diversas prácticas comerciales y funciones
relacionadas con el tema de la auditoría, así como los tipos de sistemas que se
utilizan. El auditor de sistemas también debe comprender el ambiente normativo en
el que opera el negocio.
Riesgo y materialidad de auditoría: Se puede definir los riesgos de auditoría como
aquellos riesgos de que la información pueda tener errores materiales o que el
auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en
auditoría pueden clasificarse de la siguiente manera:
v Riesgo inherente
v Riesgo de
Control
v Riesgo de
detección.
Técnicas de evaluación de Riesgos: El auditor de sistemas debe
evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser
auditada
Objetivos
de controles y objetivos de auditoría: El objetivo de un control es anular
un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar
la existencia de estos controles y que estén funcionando de manera eficaz,
respetando las políticas de la empresa y los objetivos de la empresa.
v Revisión de la documentación de sistemas e
identificación de los controles existentes.
v Entrevistas con los especialistas técnicos a fin de
conocer las técnicas y controles aplicados.
Desarrollo del programa de auditoría: Un programa de auditoría es un
conjunto documentado de procedimientos diseñados para alcanzar los objetivos de
auditoría planificados.
Tema de auditoría: Identifica el área a ser auditada.
Objetivos de Auditoría: Indica el propósito del trabajo de auditoría a
realizar
Alcances de auditoría: Aquí se identifica los sistemas específicos de
organización a incluir en la revisión en
un período de tiempo determinado.
Planificación previa: Identifica los recursos y destrezas que se necesitan
para realizar el trabajo así como las fuentes de información para pruebas o
revisión y lugares físicos o instalaciones donde se va auditar.
Procedimientos
de seguimiento: Generalmente tiene la
siguiente estructura:
Procedimientos de
Auditoria
|
Lugar
|
Papeles de Trabajo
Referencia:
|
Hecho Por:
Fecha:
|
Los procedimientos involucran pruebas de cumplimiento
o pruebas sustantivas, las de cumplimiento se hacen para verificar que los
controles funcionan de acuerdo a las políticas y procedimientos establecidos y
las pruebas sustantivas verifican si los controles establecidos por las
políticas o procedimientos son eficaces.
Asignación de
Recursos de auditoría: La asignación de
recursos para el trabajo de auditoría debe considerar las técnicas de
administración de proyectos las cuales tienen los siguientes pasos básicos:
Desarrollar un plan detallado, ajustar el plan y tomar las acciones debe
existir algún mecanismo que permita comparar el progreso real con lo
planificado.
Técnicas de recopilación de evidencias: La recopilación de material de evidencia es un paso clave en el proceso
de la auditoría, el auditor de sistemas debe tener conocimiento de cómo puede
recopilar la evidencia examinada.
Evaluación de fortalezas y debilidades de auditoría: El siguiente paso es
evaluar la información recopilada con la finalidad de desarrollar una opinión. En esta parte de evaluación de debilidades y
fortalezas también se debe elegir o determinar la materialidad de las
observaciones o hallazgos de auditoría.
Informe
de auditoría: Los informes de
auditoría son el producto final del trabajo del auditor de sistemas, este
informe es utilizado para indicar las observaciones y recomendaciones a la
gerencia, aquí también se expone la opinión sobre lo adecuado o lo inadecuado
de los controles o procedimientos revisados durante la auditoría, generalmente
tiene la siguiente estructura:
Seguimiento de
las observaciones de auditoría: El
nivel de revisión de seguimiento del auditor de sistemas dependerá de diversos factores,
en algunos casos el auditor de sistemas tal vez solo necesite inquirir sobre la
situación actual, en otros casos tendrá que hacer una revisión más técnica del
sistema.
Planeación de la
Auditoría en Informática: La planeación es
fundamental y deberá realizarse desde el punto de vista de los dos objetivos:
v Evaluación de los sistemas y procedimientos.
v Evaluación de los equipos de cómputo.
Investigación
Preliminar: Se deberá observar el
estado general del área, su situación dentro de la organización.
Administración: Se recopila la información para obtener una visión
general del departamento por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir el objetivo y alcances del
departamento.
Sistemas: Descripción general de los sistemas instalados y de
los que estén por instalarse que contengan volúmenes de información.
Personal
Participante: Uno de los esquemas
generalmente aceptados para tener un adecuado control es que el personal que
intervenga esté debidamente capacitado, con alto sentido de moralidad, al cual
se le exija la optimización de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo..
Controles: Conjunto de disposiciones metódicas, cuyo fin es
vigilar las funciones y actitudes de las empresas y para ello permite verificar
si todo se realiza conforme a los programas adoptados, órdenes impartidas y
principios admitidos.
Clasificación
general de los controles:
1. Controles
Preventivos: Son aquellos que
reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto
margen de violaciones.
2. Controles
detectivos: Son aquellos que no
evitan que ocurran las causas del riesgo sino que los detecta luego de
ocurridos. Son los más importantes para el auditor.
3. Controles
Correctivos: Ayudan a la
investigación y corrección de las causas del riesgo.
Principales
Controles físicos y lógicos: Controles
particulares tanto en la parte física como en la lógica se detallan a
continuación
a) Autenticidad
b) Exactitud
b) Exactitud
c)
Totalidad
d) Redundancia
e) Privacidad
f) Existencia
g) Protección de
Activos
h) Efectividad
i) Eficiencia
Controles
automáticos o lógicos
Periodicidad de
cambio de claves de acceso: Los
cambios de las claves de acceso a los programas se deben realizar
periódicamente.
Combinación de
alfanuméricos en claves de acceso: No
es conveniente que la clave esta compuesta por códigos de empleados, ya que una
persona no autorizada a través de pruebas simples o de deducciones puede dar
con dicha clave.
v Individuales: Pertenecen a un solo usuario, por tanto es individual
y personal. Esta clave permite al momento de efectuar las transacciones
registrar a los responsables de cualquier cambio.
v Confidenciales: De forma confidencial los usuarios deberán ser
instruidos formalmente respecto al uso de las claves.
Verificación
de datos de entrada: Incluir rutinas que
verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal
es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.
Conteo de
registros: Consiste en crear
campos de memoria para ir acumulando cada registro que se ingresa y verificar
con los totales ya registrados.
Totales de Control: Se realiza mediante la creación de totales de línea,
columnas, cantidad de formularios, cifras de control, etc., y automáticamente
verificar con un campo en el cual se van acumulando los registros, separando
solo aquellos formularios o registros con diferencias.
Verificación de
límites: Consiste en la verificación
automática de tablas, códigos, límites mínimos y máximos o bajo determinadas
condiciones dadas previamente.
Verificación de
secuencias: En ciertos procesos
los registros deben observar cierta secuencia numérica o alfabética, ascendente
o descendente, esta verificación debe hacerse mediante rutinas independientes
del programa en sí.
Verificación de
datos de entrada: Incluir rutinas que
verifiquen la compatibilidad de los datos mas no su exactitud o precisión; tal
es el caso de la validación del tipo de datos que contienen los campos o
verificar si se encuentran dentro de un rango.
Conteo de
registros: Consiste en crear
campos de memoria para ir acumulando cada registro que se ingresa y verificar
con los totales ya registrados.
Totales de
Control: Se realiza mediante la creación
de totales de línea, columnas, cantidad de formularios, cifras de control,
etc., y automáticamente verificar con un campo en el cual se van acumulando los
registros, separando solo aquellos formularios o registros con diferencias.
Verificación de
límites: Consiste en la verificación
automática de tablas, códigos, límites mínimos y máximos o bajo determinadas
condiciones dadas previamente.
Verificación de
secuencias: En ciertos procesos
los registros deben observar cierta secuencia numérica o alfabética, ascendente
o descendente, esta verificación debe hacerse mediante rutinas independientes
del programa en sí.
Dígito auto
verificador: Consiste en incluir
un dígito adicional a una codificación, el mismo que es resultado de la
aplicación de un algoritmo o formula, conocido como MODULOS, que detecta la
corrección o no del código.
Utilizar
software de seguridad en los microcomputadores: El software de seguridad permite restringir el acceso
al microcomputador, de tal modo que solo el personal autorizado pueda
utilizarlo.
Controles
administrativos en un ambiente de Procesamiento de Datos: La máxima autoridad del Área de Informática de una
empresa o institución debe implantar los siguientes controles que se agruparan
de la siguiente forma:
v Controles de Preinstalación
v Controles de Organización y Planificación
v Controles de Sistemas en Desarrollo y Producción
v Controles de Procesamiento
v
Controles de
Operación
v Controles de uso de Microcomputadores
Controles de
Preinstalación: Hacen referencia a
procesos y actividades previas a la adquisición e instalación de un equipo de
computación y obviamente a la automatización de los sistemas existentes.
Objetivos:
v Garantizar que el hardware y software se adquieran
siempre y cuando tengan la seguridad de que los sistemas computarizados
proporcionaran mayores beneficios que cualquier otra alternativa.
v Garantizar la selección adecuada de equipos y sistemas
de computación
No hay comentarios.:
Publicar un comentario