2 AI Metodologia

8/19/2019 2 AI Metodologia

1/25

M B A , C A R O L I N A A R G U E L L O

AUDITORIAINFORMÁTICA


2/25

2. METODOLOGÍA DE LA AUDITORIAINFORMÁTICA

• CONTENIDO

• Objetivos de la auditoría

• Alcance de la auditoria.

•Planeación de la Auditoria

• Programa de Auditoría

• Los procedimientos de auditoría

• Recopilación de evidencias

•Evidencia de Auditoria

• Las Pruebas de Auditoria

• El Informe


3/25

2.1 OBJETIVO DE LA AUDITORIAINFORMATICA

• Los objetivos de auditoría se enfocan a menudo envalidar:

• Que existan controles internos para minimizar los

riesgos del negocio, y que estos funcionen comose espera.

• Asegurar que se estén cumpliendo los

requerimientos legales, y exista una seguridadrazonable implementada sobre los activos, comoser: confidencialidad, integridad y disponibilidadde los recursos de información


4/25

• EJEMPLO

• Determinar un nivel de confiabilidad e integridad

de los datos, sistemas y programas con relaciónal entorno de procesamiento electrónico dedatos.

• Identificar y medir los riesgos relativos al negocio

y ambiente de Tecnología Informática,comunicando las recomendaciones para mitigarlos riesgos.

2.1 OBJETIVO DE LA AUDITORIAINFORMATICA


5/25

2.2. ALCANCE DE LA AUDITORIAINFORMATICA

• Debe existir un acuerdo muy preciso entreauditores y clientes sobre las funciones, lasmaterias y las organizaciones a auditar y lasexcepciones de alcance de la auditoría, esdecir cuales materias, funciones u

organizaciones no van a ser auditadas.Tanto los alcances como las excepcionesdeben figurar al comienzo del Informe Final


6/25

• EJEMPLO

• Controles Generales de Tecnología Informáticaconsiderando la revisión de las siguientes áreas:

•

Normas, políticas y procedimientos• Estructura organizativa

• Funciones y Responsabilidades

• Seguridad Física en el centro de cómputos de laCompañía.

• Seguridad Lógica - Procedimientos

• Pasaje de desarrollo a producción

• Seguridad Lógica - Control de acceso

• Procedimientos de altas de usuarios.

2.2. ALCANCE DE LA AUDITORIAINFORMATICA


7/25


8/25

2.4. PROGRAMA DE AUDITORIAINFORMATICA

• CONCEPTO

• El programa de trabajo de auditoría es la estrategia yel plan de auditoría, este identifica el alcance, losobjetivos y los procedimientos de auditoría para lograrevidencia suficiente y competente para obtener ysustentar las conclusiones y opiniones de auditoría.

• Los auditores evalúan las funciones y sistemas de TIdesde perspectivas diferentes, tales como:

• Seguridad (confidencialidad, integridad,disponibilidad)

• Calidad ( efectividad, eficiencia)

• Fiduciaria ( cumplimiento, confiabilidad)

• Servicio( soporte, entrega y la capacidad).


9/25

2.4.1. PROCEDIMIENTOS DE AUDITORIAINFORMATICA

• Los procedimientos generales de auditoría son lospasos básicos en la ejecución de una auditoría yhabitualmente incluyen lo siguiente:

• Obtención y documentación del conocimientosobre el área/objeto de la auditoría

• Evaluación de riesgos

• Planeación detallada de auditoría

• Evaluación del área/objeto de auditoría


10/25


11/25

• EJEMPLO

• Relevamiento de las Normas, Políticas yProcedimientos del área de TecnologíaInformática.

• Visita al Centro de Cómputos.

• Verificación de la estructura organizativaexistente en el área de tecnología informática.

• Verificación de las tareas correspondiente a la

continuidad de procesamiento de datos.• Verificación de las políticas de seguridad

existentes.

• Análisis de los usuarios que acceden al sistema

operativo. .. Etc.

2.4.1. PROCEDIMIENTOS DE AUDITORIAINFORMATICA


12/25

2.5. RECOPILACION DE EVIDENCIAS

• CONCEPTO

•

Se llama evidencia de auditoria a "Cualquier información que utiliza elauditor para determinar si la informacióncuantitativa o cualitativa que se está

auditando, se presenta de acuerdo alcriterio establecido".


13/25

• CARACTERISITICAS

La Evidencia para que tenga valor de prueba,debe ser Suficiente, Competente y Pertinente.

• Es suficiente, si el alcance de las pruebas esadecuado. Solo una evidencia encontrada,podría ser no suficiente para demostrar unhecho.

• Es pertinente, si el hecho se relaciona con elobjetivo de la auditoria.

• Es competente, si guarda relación con el alcancede la auditoria y además es creíble y confiable



14/25

• TECNICAS

• Revisión de estructuras organizativas de SIUna sólida estructura organizativa con adecuada segregación

de funciones es un control general clave en SI

• Revisión de los estándares de documentación de SI

Se debe buscar un nivel mínimo de documentación de SI

• Documentos que inician el desarrollo de sistemas• Especificaciones de diseño funcional

• Manuales de documentación de usuario

• Manuales de operaciones del ordenador

• Documentos sobre la seguridad



15/25

• TECNICAS

• Revisión de la documentación de sistemas• Revisar la documentación de un sistema en particular

•

Evaluar si cumple los estándares de la organización• Entrevistas del personal apropiado

• Su propósito es recopilar evidencias de auditoría

• Destreza importante, necesaria para los Auditores deSI

• Planificar la entrevista• Documentarla con notas

• Formularios de entrevistas

• Listas de control

•

Naturaleza de descubrimiento y no acusatoria



16/25

• TECNICAS

• Observación de operaciones y actuación de losempleados

• Técnica de auditoría clave para muchos tiposde revisiones

• No ser inoportunos al hacer las observación

Documentarlo con suficiente grado de detalle parapoder presentarlo como evidencia



17/25

2.5.1. TIPOS DE EVIDENCIAS DEAUDITORIA INFORMÁTICA

• Evidencia FísicaMuestra de materiales, mapas, fotos.

• Evidencia DocumentalCheques, facturas, contratos, etc.

• Evidencia Testimonial

Obtenida de personas que trabajan en el negocio oque tienen relación con el mismo.

• Evidencia AnalíticaDatos comparativos, cálculos, etc.


18/25

2.6. PRUEBAS DE AUDITORIAINFORMATICA

• Las pruebas de control están relacionadas con elgrado de efectividad del control interno imperante.

•

Las pruebas analíticas se utilizan haciendocomparaciones entre dos o más estadosfinancieros o haciendo un análisis de las razonesfinancieras de la entidad para observar sucomportamiento.

• Las pruebas sustantivas son las que se aplican acada cuenta en particular en busca de evidenciascomprobatorias. Ejemplo, un arqueo de cajachica, circulación de saldos de los clientes, etc.


19/25

2.7. INFORME

• El informe de Auditoría debe contener a lomenos:

• Dictamen sobre el área auditada.

• Informe sobre la estructura del Control Interno dela entidad.

• Conclusiones y recomendaciones resultantes dela Auditoría,.

• Deben detallarse en forma clara y sencilla, loshallazgos encontrados.


20/25

• HALLAZGO

Se considera que los hallazgos en auditoria son lasdiferencias significativas encontradas en el trabajode auditoria con relación a lo normado o a lopresentado por la gerencia.• Atributos del hallazgo:

1.Condición: la realidad encontrada

2. Criterio: cómo debe ser (la norma, la ley, el

reglamento, lo que debe ser)3. Causa: qué originó la diferencia encontrada.

4. Efecto: qué efectos puede ocasionar ladiferencia encontrada.

2.7. INFORME


21/25


22/25

CONCLUSION – METODOLOGIA DEAUDITORIA INFORMATICA

• Conocimiento general del área de sistemas

• Organigrama

• Estructura del área o departamento

• Relaciones funcionales y jerárquicas

• Recursos (equipos con los que se cuenta)

• Aplicaciones en desarrollo

• Aplicaciones en producción


23/25

• Planificación

• Definición de objetivos y alcances

• Personas de la organización que seinvolucrarán en el proceso de auditoría

• Plan de trabajo

• Tareas

• Calendario

• Resultados parciales

• Presupuesto



24/25

• Desarrollo de la auditoría

• Entrevistas

• Cuestionarios

•

Observación de las situaciones deficientes• Observación de los procedimientos

• Fase de diagnóstico

• Definición de los puntos débiles y fuertes, los riesgoseventuales y posibles tipos de solución y mejora

• Presentación de conclusiones

• Integración de soporte documental

• Formulación de observaciones y papeles detrabajo

• Informe final



25/25

MUCHAS GRACIAS !!!

PREGUNTAS???

Documents

2 AI Metodologia