Download - Planeacic3b3n de-la-ai-continuacic3b3n
![Page 1: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/1.jpg)
Planeación de la Auditoría en Informática
Revisión PreliminarRevisión DetalladaExamen y Evaluación de la InformaciónPruebas de consentimientoPruebas de Controles de los UsuariosPruebas SustantivasEvaluación de los Sistemas de Acuerdo al RiesgoRequerimientos de una auditoríaPersonal Participante
Ing. José Manuel Poveda
![Page 2: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/2.jpg)
REVISIÓN PRELIMINAR:Es el primer paso en el desarrollo de la
auditoría, después de la planeación.Objetivo:
Obtener información necesaria para que el auditor pueda tomar la decisión de cómo proceder en la auditoría.
Al terminar la RP puede proceder a seguir uno de los tres caminos:
Diseño de la Auditoría
Realizar una revisión detallada
de los CI
Decidir no confiar en los CI
![Page 3: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/3.jpg)
La Revisión Preliminar (RP) significa la recolección de evidencias por medio de entrevistas con el personal de la instalación, la observación de las actividades en la instalación y la revisión de la documentación preliminar.
La RP realizada por un Auditor Interno difiere de la realizada por un auditor externo en:
1 •El AI normalmente requiere de menos revisiones y trabajos.
2 •El AE se enfoca más en las causas de las pérdidas y en los controles necesarios para justificar sus decisiones.
3 •Si el auditor interno supone serias debilidades en los CI, en lugar de proceder directamente con las pruebas sustantivas deberá continuar con la fase de revisión detallada.
![Page 4: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/4.jpg)
REVISIÓN DETALLADA:Objetivo:
Obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.
Aquí el auditor decide:¿Pruebas de consentimiento o pruebas sustantivas?
En esta fase es importante para el auditor identificar las causas de las pérdidas existentes dentro de la instalación y los controles para reducir las pérdidas y los efectos causados por esta.
![Page 5: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/5.jpg)
Los métodos de obtención de información son los mismos usados en la investigación preliminar y lo único que difiere es su profundidad con la que se obtiene y evalúa.
El auditor debe evaluar si los controles escogidos son óptimos: Si provocan un sobre control. Si se logra un satisfactorio nivel de control usando menos
controles o controles menos costosos.
Si el auditor considera que los CI no son satisfactorios, en lugar de proceder directamente a revisar, a probar controles alternos o realizar pruebas sustantivas y procedimientos, debe señalar recomendaciones para mejorar los controles de los sistemas.
![Page 6: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/6.jpg)
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN:Los auditores internos deberán obtener, analizar,
interpretar y documentar la información para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente:
1. Se debe tener la información de todos los asuntos relacionados con los objetivos y alcances de la Auditoría.
2. La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendación de la auditoría.
![Page 7: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/7.jpg)
3. Los procedimientos de auditoría deberán ser elegidos con anterioridad, cuando esto sea posible, modificarse cuando las circunstancias lo requieran.
4. El proceso de recabar, analizar, interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de la auditoría se cumplieron.
5. Los documentos de trabajo de la auditoría deberán ser preparados por los auditores y revisados por la gerencia de auditoría.
![Page 8: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/8.jpg)
El director de auditoría en informática deberá establecer un programa para seleccionar y desarrollar los recursos, el cual debe contemplar:
Descripciones de puestos por cada nivel de AI.
Selección de individuos calificados y competentes.
Asesoría a los auditores en lo referente a su trabajo y a su desarrollo profesional.
Entrenamiento y oportunidad de capacitación profesional para todos y cada uno de los auditores.
Evaluación del trabajo de cada uno de los auditores por lo menos una vez al año.
![Page 9: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/9.jpg)
El director de auditoría informática deberá establecer y mantener un programa de control de la calidad para evaluar las operaciones de su equipo de trabajo. Este programa deberá incluir:
Supervisión
Revisiones
Internas
Revisiones
Externas
![Page 10: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/10.jpg)
PRUEBAS DE CONSENTIMIENTO:Objetivo:Determinar si los CI operan como fueron diseñados
para operar. El auditor debe determinar si los controles declarados en realidad existen y si en realidad trabajan confiablemente.
PRUEBAS DE CONTROLES DEL USUARIO:
En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los CI de informática.
![Page 11: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/11.jpg)
PRUEBAS SUSTANTIVAS:Objetivo:Obtener evidencia suficiente que permita al
auditor emitir su juicio en las conclusiones acerca de cuando pueden ocurrir pérdidas materiales durante el procesamiento de la información.
![Page 12: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/12.jpg)
Existen ocho Pruebas Sustantivas:1. Pruebas para identificar errores en el
procesamiento o de falta de seguridad o confidencialidad.
2. Pruebas para asegura la calidad de los datos.3. Pruebas para identificar la inconsistencia de los
datos.4. Pruebas para comparar con los datos o
contadores físicos.5. Confirmación de datos con fuentes externas.6. Pruebas para confirmar la adecuada
comunicación.7. Pruebas para determinar la falta de seguridad.8. Pruebas para determinar problemas de legalidad.
![Page 13: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/13.jpg)
Los pasos que involucran una auditoría en informática:
Realizar una investigación preliminar del área de informática
Si el auditor determina confiar en los CI, se realiza una investigación detallada.
El auditor prueba la confianza sobre aquellos controles que son críticos.
Se realizan pruebas sustantivas de los procedimientos.
El auditor debe dar una opinión.
![Page 14: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/14.jpg)
Evaluación de los sistemas de acuerdo al riesgo
Una de las formas de evaluar la importancia que puede tener para la organización un determinado sistema es considerar el riesgo que implica el que no sea adecuadamente utilizado, la pérdida de información o bien que sea usado por personal ajeno a la organización.
![Page 15: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/15.jpg)
Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a que:
Son susceptibles a diferentes tipos de pérdida económica.
Las fallas pueden impactar grandemente a la organización.
Los sistemas le dan a la empresa un nivel competitivo muy alto dentro de un mercado.
Sistemas de tecnología de punta.Sistemas que son muy costosos de desarrollar, los
cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.
![Page 16: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/16.jpg)
Requerimientos de una Auditoría:A nivel organizacional:
Objetivos a corto y largo plazo.Misión, Visión y Valores.Antecedentes de la empresaOrganigramaFunción de cada uno de los
departamentos.Relaciones entre las diversas áreas del
negocioPolíticas Generales.
![Page 17: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/17.jpg)
A nivel del área de informática:
Objetivos a corto y largo plazos.Manual de Funciones (Fichas
ocupacionales).Manual de políticas, reglamentos
internos y lineamientos generales.Número de personas y puestos en el
área.Procedimientos administrativos del
área.Presupuestos y costos del área.
![Page 18: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/18.jpg)
Recursos Materiales y Técnicos:Solicitar documentos sobre los equipos, así como el
número de ellos, su localización y sus características (de los equipos instalados, por instalar y programados).
Estudio de viabilidad.Fechas de instalación de los equipos y planes de
instalación.Contratos vigentes de compra, renta y servicio de
mantenimiento.Contratos de seguros.Convenios que se tienen con otras instalaciones.Configuración de los equipos y capacidades actuales y
máximas.Configuración de equipos de comunicación(redes internas
y externas) y localización de los equipos.Planes de expansión.Ubicación general de los equipos.Políticas de operación.Políticas del uso de los equipos.Políticas de seguridad física y prevención contra
contingencias internas y externas.
![Page 19: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/19.jpg)
Sistemas:Descripción general de los sistemas
instalados y de los que estén por instalarse.Manual de procedimientos de los sistemas.Descripción genérica.Diagramas de entrada, archivos, salidas.Fecha de instalación de los sistemas.Proyecto de instalación de nuevos sistemas.Bases de datos, propietarios de la
información y usuarios de la misma.Procedimientos y políticas en caso de
desastre.Sistemas propios y/0 legalidad de los mismos.
![Page 20: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/20.jpg)
Antes de concluir esta etapa no se olvide de:Estudiar hechos y no opiniones.Enfocarse en las causas y no en los efectos.Atender razones, no excusas.No confiar en la memoria, preguntar
constantemente.Criticar objetivamente a fondo todos los
informes y los datos recabados.
![Page 21: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/21.jpg)
Personal Participante:El número de ellos depende de las
dimensiones de la organización, de los sistemas y de los equipos.
El personal debe estar debidamente capacitado (conocimiento y experiencia) en áreas especificas como bases de datos, hardware, software y comunicaciones, y con un alto sentido de moralidad.
Se debe contar con personas asignadas por los usuarios.
![Page 22: Planeacic3b3n de-la-ai-continuacic3b3n](https://reader034.vdocumento.com/reader034/viewer/2022042819/55cb2050bb61eb35638b468b/html5/thumbnails/22.jpg)
Gracias por su Atención!