UNIVERSIDAD TÉCNOLOGICA BOLIVIANA

TEMA:

“RESUMEN DEL TEMA 2”

 NOMBRE: JAIME MAYTA PAUCARA
MATERIA: AUDITORIA DE SISTEMAS
CARRERA: INGENIERÍA DE SISTEMAS
6° SEMESTRE

LA PAZ – BOLIVIA

RESUMEN DEL TEMA 2

PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

El debido cuidado implica una razonable capacidad, no infalibilidad ni acciones

extraordinarias. Requiere que el auditor realice exámenes y verificaciones con
un alcance razonable, pero no requiere auditorias detalladas de todas las
operaciones. El ejercicio del debido cuidado profesional significa el uso
razonable de las experiencias y juicios en el desarrollo de la auditoria. Para
este fin el auditor deberá de considerar:

El alcance de trabajo de auditoría necesario para lograr los objetivos de la

auditoria.

La materialidad o importancia relativa de los asuntos a los que se aplican los

procedimientos de la auditoria.

La adecuación y efectividad de los controles internos.

El costo de la auditoria en relación con los posibles beneficios.

El alcance de auditoría debe de abarcar el examen y evaluación de adecuación
y efectividad del sistema de control interno de la organización y la
calidad en el cumplimiento de las responsabilidades asignadas. Los objetivos
elementales del
control interno son para asegurar:

- La confiabilidad e integridad de la información

- El cumplimiento de las políticas, planes, procedimientos, leyes
y
reglamentos.
- La salvaguarda de los activos.
- El uso eficiente y económico de los recursos.
- El logro de los objetivos y metas establecidos para las
operaciones o programas.
El sistema de información proporciona datos para la toma de decisiones, el
control
y cumplimiento de los requerimientos externos.
La gerencia informática es responsable del establecimiento de los
sistemas diseñados para asegurar el cumplimiento de los
requerimientos tales como políticas, planes, procedimientos y leyes y
reglamentos aplicables. Los auditores son responsables de determinar si los
sistemas son adecuados y efectivos y si las actividades auditadas están
cumpliendo con los requerimientos apropiados. Los auditores deberán
revisar:

La corrección de los métodos de salvaguarda de los activos y verificar la

existencia de esos activos.

Los métodos empleados para salvaguardar los activos de diferentes tipos de

riesgos tales como: robos, incendios, actividades impropias o ilegales, así
como de elementos naturales como terremotos, inundaciones, etc.

Las auditorias relacionadas con el uso económico y eficiente de los

recursos
deberán identificar situaciones tales como:

Subutilización de instalaciones.

Trabajo no productivo.

Procedimientos que no justifican su costo.

Exceso o insuficiencia del personal.

Uso indebido de las instalaciones.

Planeación de la auditoría en informática.
Para hacer una adecuada planeación de la auditoría en informática hay que
seguir una serie de pasos previos que permitan dimensionar el tamaño y
características del área dentro del organismo a auditar, sus sistemas,
organización y equipos.
Dentro de la auditoria en general, la planeación es uno de los casos más
importantes, ya que una inadecuada planeación provocara una serie de
problemas que pueden impedir que se cumpla con la auditoria.
El trabajo de auditoría deberá incluir la planeación de la auditoria, el examen y
la evaluación de la información, la comunicación de los resultados y el
seguimiento.
La planeación debe de ser documentada e incluirá:

- El establecimiento de los objetivos y el alcance del trabajo

- La obtención de información de apoyo sobre las actividades
que se auditaran.
- La determinación de los recursos necesarios para realizar la auditoria.
- El establecimiento de la comunicación necesarias con todos
los que
 estarán involucrados en la auditoria.
- La realización, en la forma más apropiada, de una inspección física para
familiarizarse con las actividades y controles a auditar.
- La preparación por escrito del programa de auditoría.
- La determinación de cómo, cuándo y quien se le comunicaran
los resultados de la auditoria.
- La obtención de la aprobación del plan de trabajo de la auditoria.

Para lograr una adecuada planeación, lo primero que se requiere es

obtener información general sobre la organización y sobre la función de
informática a evaluar. Para ello es preciso hacer una investigación
preliminar y algunas entrevistas previas y con base de esto planear
el programa de trabajo, el cual deberá de incluir tiempos, costos, personal
necesario y documentos auxiliares a solicitar y formular durante el
desarrollo de auditoría. El proceso de planeación comprende el
establecer:

Metas. Se deberán de establecer de tal manera que se pueda lograr su

cumplimiento.

Programas de trabajo de auditoría. Deberán incluir: las actividades que se

van a auditar, cuando serán auditadas, el tiempo estimado requerido,
tomando en consideración el alcance del trabajo de auditoría planeado.

Planes de contratación de personal y presupuesto financiero. Incluyendo

el número de auditores, su conocimiento, su experiencia y las
disciplinas requeridas para realizar su trabajo, deberán contemplarse al
elaborar los programas de trabajo de auditoría.

Informes de actividades.
Revisión Preliminar
El primer paso en el desarrollo de la auditoria, después de la planeación, es la
revisión preliminar del área de informática. El objetivo de la revisión preliminar
es el de obtener la información necesaria para que el auditor pueda tomar la
decisión de cómo proceder en la auditoria. Al terminar la revisión
preliminar el auditor puede proceder en uno de los tres caminos siguientes:

Diseño de la auditoria

Realizar una revisión detallada de los controles internos de los sistemas

Decidir en no confiar en los controles internos del sistema.

La revisión preliminar significa la recolección de evidencias por
medio de entrevistas por el personal de la instalación, la observación de las
actividades en la instalación y la revisión de la documentación
preliminar. Las evidencias se pueden recolectar por medio de cuestionarios
iniciales.
La revisión preliminar elaborada por un auditor interno difiere en la realización
por un auditor externo en tres aspectos. En primer lugar el auditor interno
requiere de menos revisiones y trabajos, especialmente en la parte
gerencial y de organización, ya que él es parte de la organización
y está familiarizado con la misma. En segundo lugar, el auditor externo se
enfoca más en las causas de las perdidas y en los controles necesarios
para justificar sus decisiones; el auditor interno tiene una amplia
perspectiva, la cual incorpora sobre la eficiencia y eficacia con la que se
trabaja. En tercero, si el auditor interno supone ciertas debilidades en los
controles internos, en lugar de proceder directamente con las
pruebas sustantivas, deberá continuar con la fase de revisión
detallada para señalar recomendaciones para mejorar los controles internos.

Revisión Detallada

Los objetivos de la fase detallada son los de obtener la información necesaria

para que el auditor tenga un profundo entendimiento de los controles usados
dentro del área de informática.
Es importante para el auditor identificar las causas de las perdidas
existentes dentro de la instalación y los controles para reducir las
pérdidas y los efectos causados por estas. Al terminar la revisión detallada
el auditor debe de evaluar en qué momento los controles establecidos
reducen las perdidas esperadas a un nivel aceptable. Los métodos de
obtención de información son los mismos que la investigación preliminar, lo
único de difiere es la profundidad con que se obtiene la información y se
evalúa.
En la fase de evaluación detallada es importante para el auditor
identificar las causas de las perdidas existentes dentro de la
instalación y los controles las causas de las perdidas existentes dentro de
la instalación.

Examen y evaluación de la información

Los auditores internos deberán obtener, analizar, interpretar y
documentar la información para apoyar los resultados de la auditoria. El
proceso de examen y evaluación de la información es la siguiente:

Se debe obtener la información de todos los asuntos relacionados con los

objetivos y alcances de la auditoria.

La información deberá de ser suficiente, competente, relevante y útil.

Los procedimientos de auditoría, incluyendo el empleo de las técnicas de

pruebas selectivas y el muestreo estadístico, deberán ser elegidos
con anterioridad, cuando esto sea posible, y ampliarse o modificarse cuando
las circunstancias lo requieran.

El proceso de recabar, analizar, interpretar y documentar la

información deberá supervisarse para proporcionar una seguridad razonable de
que la objetividad del auditor se mantuvo y que las metas de
auditoría se mantienen.

Los documentos de trabajo de la auditoria deberán de ser preparados por los

auditores y revisados por la gerencia de auditoría.
Los auditores deberán de reportar los resultados del trabajo de
auditoría.

Los informes pueden incluir recomendaciones para mejoras potenciales y

reconocer el trabajo satisfactorio y las medidas correctivas. El director
de auditoría en informática deberá de establecer un programa para
seleccionar y desarrollar los recursos, el cual debe contemplar:

Descripciones del puesto por cada nivel de auditoría informática

Selección de individuos calificados y competentes

Entrenamiento y capacitación profesional continua

Evaluación del trabajo de cada uno de los auditores, al menos una vez al año

Asesoría a los auditores en lo referente a su trabajo y a su

desarrollo profesional.

El director de auditoría interna en informática deberá establecer y

mantener un programa de control de calidad para poder evaluar las
operaciones del departamento de auditoría interna. Un programa de
control de calidad deberá incluir los siguientes elementos:

Supervisión. Deberá llevarse a cabo continuamente para asegurarse

de que están trabajando de acuerdo con las normas, políticas y programas de
auditoría informática.

Revisiones Internas. Deberán realizarse periódicamente por el personal del

departamento de auditoría interna para evaluar la calidad del trabajo
de auditoría realizado.

Revisiones Externas. Es para evaluar la calidad de trabajo en auditoria de

información.

Pruebas de Consentimiento

El objetivo de la fase de la prueba de consentimiento es el de determinar si los

controles internos operan como fueran diseñados para operar.
Además de las técnicas manuales de recolección de evidencias, muy
frecuentemente el auditor debe recurrir a técnicas de recolección de
información asistidas por computadoras.
Por ejemplo para evaluar la existencia y confiabilidad de los
controles de un sistema en red, se requerirá el entrar a la red y evaluar
directamente al sistema.

Pruebas de Control del Usuario

Estas pruebas que compensan las deficiencias de los controles
internos se
pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones
hechas directamente con los usuarios.

Pruebas Sustantivas
El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente
que permita al auditor emitir su juicio en las conclusiones acerca de cuándo
puedan ocurrir pérdidas materiales mediante el procesamiento de la
información. Se pueden identificar ocho tipos de pruebas sustantivas:

Pruebas para identificar errores en el procesamiento

Prueba para asegurar la calidad de los datos
Pruebas para identificar la inconsistencia de los datos
Pruebas para comprar con los datos o contadores físicos
Confirmación de datos con fuentes externas
Pruebas para confirmar la adecuada comunicación
Pruebas para determinar la falta de seguridad
Pruebas para determinar problemas de legalidad

El auditor debe de participar en tres estados del sistema:

Durante la fase del diseño del sistema

Durante la fase de operación
Durante la fase posterior a la Auditoria

En general, la opinión del gerente de informática y de la alta gerencia considera

que el que el auditor participe en la fase de diseño disminuye la independencia
del auditor, existen varias formas que esto se puede eliminar:

Aumentando los conocimientos en informática del auditor

Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al
posterior de la auditoria
Crear una sección de auditoría en informática dentro del departamento de
auditoría interna, especializado en auditoría en informática
Obtener mayor soporte de la alta gerencia
Evaluación de los sistemas de acuerdo al riesgo

Algunos sistemas de aplicaciones son de más alto riesgo que otros debido a
que:

Son susceptibles a diferentes tipos de pérdida económica. Fraudes

y desfalcos.

Las fallas pueden afectar grandemente a la organización. Mal

procesamiento de nóminas y esto puede llevar a huelgas.

Interfieren con otros sistemas, los errores generados permean a

otros sistemas.
Daños en la competencia. Algunos sistemas le dan a la organización un nivel
competitivo muy alto dentro de un mercado (sistemas de planeación
estratégica, patentes, derechos de autor. Otros a través de los cuales su
pérdida puede destruir la imagen de la organización).

Investigación Preliminar
El objetivo de este primer contacto es percibir rápidamente las
estructuras fundamentales y diferencias principales entre el organismo
a auditar y otras organizaciones que se hayan investigado. La
investigación preliminar debe de
incorporar fases de evaluación del control gerencial y del control
de las aplicaciones.
La investigación preliminar se debe hacer solicitando y revisando la información
de cada una de las áreas, basándose en los siguientes puntos:
Administración. Se recopila la información para obtener una visión
general el
departamento por medio de observaciones, entrevistas preliminares y solicitud
de documentos para poder definir el objetivo y alcance del departamento.

Para poder analizar y dimensionar la estructura a auditar se debe solicitar:

A nivel organizacional total

A nivel del área de informática
Recursos materiales y técnicos
Sistemas

El éxito de del análisis crítico depende de las siguientes consideraciones:

Estudiar hechos y no opiniones. Investigar causas y no efectos.
Atender razones, no excusas.
No confiar en la memoria, preguntar constantemente.
Criticar objetivamente y a fondo todos los informes y los datos
recabados

Personal Participante
Se deberá considerar las características del personal que habrá de participar
en la auditoria. El personal que intervenga debe de estar calificado, que tenga
un alto sentido de moralidad, al cual se le exija la optimización de recursos
(eficiencia) y se le retribuya o compense justamente por su trabajo.
Para complementar el grupo, como colaboradores directos en la realización
de auditoría, se deben de tener personas con las siguientes características:

Técnico en informática
Conocimientos en administración, contaduría e informática
Experiencia en el área de informática
Experiencia en la operación y análisis de sistemas
Conocimientos en la experiencia de psicología industrial
Conocimientos de S.O., bases de datos, redes, comunicaciones
dependiendo del área.
Conocimiento de los sistemas más importante.