8/14/2019 Leccion 8.3.1 aud_sistemas
1/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle1
8/14/2019 Leccion 8.3.1 aud_sistemas
2/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle2
PLANEACION Y EJECUCION DE LA AUDITORIAINFORMTICA
3.- ACTIVIDADES A DESARROLLAR
3.1. Conocimiento del Negocio a Auditar3.2. Conocimiento Dpto. de Informtico.
3.3. Clasificacin del rea Auditable
3.4. Generacin y Aplicacin del Plan
TEMASTEMAS
2.- ESTABLECIMIENTO DE OBJETIVOS1.- DEFINICION DE PLANEACIN
8/14/2019 Leccion 8.3.1 aud_sistemas
3/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle3
QUE ES PLANEACIN...?
CUANDO NO SABEMOS A QUEPUERTO NOS DIRIGIMOS, TODOSLOS VIENTOS SON FAVORABLES
SENECASENECA
8/14/2019 Leccion 8.3.1 aud_sistemas
4/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle4
1. DEFINICIN DE PLANEACIN
El plan es responsabilidad del Auditor , aunque su carcter yalcance vara de acuerdo con la naturaleza de la auditora.
La planeacin es un esfuerzo que requiere un proceso intelectual;requiere determinar conscientemente los cursos de accin aseguir y basar las decisiones en propsitos, para desarrollar laAuditora de forma Eficiente y Oportuna.
PARA EL AUDITORLA PLANEACION DEBE PERMITIRDISMENSIONAR EL TAMAO Y CARCTERSTICA DE
LA EMPRESA Y DEL AREA A AUDITAR,DIAGNOSTICAR SU SISTEMA DE INFORMACIN,
CONOCER SU ORGANIZACIN, TECNOLOGAS YSISTEMAS DE COMUNICACIN
8/14/2019 Leccion 8.3.1 aud_sistemas
5/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle5
2. OBJETIVOS
Debe establecerse objetivos para la Auditoria Global yluego para cada una de las unidades auditables al corto ,
mediano y largo plazo.LOS OBJETIVOS DEBERAN ESPECIFICAR
LOS RESULTADOS ESPERADOS DE LAAUDITORIA , ESTOS DEBERAN
DETERMINAR LA DIRECCION DE LOSPLANES PRINCIPALES
8/14/2019 Leccion 8.3.1 aud_sistemas
6/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle6
2. OBJETIVOS (CONTINUACIN)
Los objetivos se pueden definir como los resultadosesperados de la auditora y puede establecer un reto
significativo que sea realmente alcanzable.
RECORDAR: algunas caractersticas de losobjetivos:
Deben ser Medibles, Cuatificables, Razonables,Claros, Coherentes y Estimulantes.
8/14/2019 Leccion 8.3.1 aud_sistemas
7/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle7
3. ACTIVIDADES A DESARROLLAR3.1. Conocimiento del Negocio y de la
Organizacin.
OBJETIVO: Identificar el perfil de la empresa. Identificar los rasgospropios del negocio y las caractersticas propias de la organizacin para
posteriormente determinar el nfasis, la profundidad y frecuencia de la auditora.
ANALISIS EXTERNOAmenazas y Oportunidades enRelacin con el negocio.
Desarrollo Tecnolgico eIncidencia en el Negocio
Tendencias del Mercado
Competencia
ANALISIS INTERNOPlan Estratgico
OrganigramaFunciones y Procedimientos
Fortalezas y Debilidades
Planes de Capacitacin
Entrevistas
8/14/2019 Leccion 8.3.1 aud_sistemas
8/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle8
3.2. Conocimiento del Dpto. Informtico
OBJETIVO: Identificar el respaldo que ofrece el rea de sistemas a laorganizacin. Que aplicaciones manejan, Nivel tecnolgico, con el fin de poderdeterminar el nfasis, la profundidad y frecuencia de la auditora del rea.
METOD
O:
METOD
O:
Inventario de Hardware, Software, Dispositivos deNetworking, Sistemas de Comunicacin.
Inventario de Aplicaciones en Produccin
Inventario de Aplicaciones en Desarrollo
Estructura Organizacional del rea (organigrama,funciones y procedimientos)
Personal, Experiencia del Personal, Planes deCapacitacin.
Planes de Contigencias
8/14/2019 Leccion 8.3.1 aud_sistemas
9/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle9
3.3. Clasificacin del rea Auditable Perspectivade la Aplicacin.
OBJETIVO: Clasificar las aplicaciones, determinar su significatividadcon respecto a la auditora para establecer los procedimientos, periodicidad
ideal.
METOD
O
METOD
O::Incidencia en los estados financieros
Nivel de Riesgos, Nivel de Seguridad
Cambios recientes y cambios esperados
Nivel de dependencia de la organizacin.
Personal involucrados (usuarios, soporte, etc)
Nivel de Capacitacin
8/14/2019 Leccion 8.3.1 aud_sistemas
10/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle10
3.4. Generacin y Aplicacin del Plan deAuditora.
OBJETIVO: Generar el plan (Semestral, Anual) de auditora basadosen la informacin recolectada. Evaluar y negociar recursos necesarios .
METO
DO
METO
DO:
Clarificar componentes de acuerdo a la significatividad yperiodicidad de la Auditora.
Determinar los recursos humanos y tcnicos necesariospara auditar los componentes.
Negociar con la gerencia los Recursos. (humanos- tcnicos)
Afinar el plan a los recursos obtenidos y a los criterios dela gerencia. Capacitacin
8/14/2019 Leccion 8.3.1 aud_sistemas
11/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle11
AUDITORIA DEL AREA AUDITABLEContinuacin del Paso 3.3. Clasificacin
PASOS
:
PASOS
:
PASO 1. Definicin de los objetivos de la Auditora
PASO 2. Conocimiento del rea AuditablePASO 3. Evaluacin de Riesgos Controles
PASO 4. Diseo y Ejecucin de las Pruebas deAuditora.
PASO 5. Evaluacin de ResultadosPASO 6. Conclusiones y Recomendaciones (Informe)
PASO 7.- Seguimiento.
8/14/2019 Leccion 8.3.1 aud_sistemas
12/2826/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle12
PASO 1. DEFINICIN DE LOS OBJETIVOS DELA AUDITORIASe debe precisar el alcance y objeto de la auditora.
Ejemplo: CENTRO DE COMPUTO (Area Auditable)Objetivos:Determinar y verificar la efectividad de los controles de acceso fsicosdel centro de cmputo contable a los puntos remotos internos y externos.
Deteminar la confiabilidad de las comunicaciones en circunstancias
normalesVerificar los procedimientos para las aplicaciones que se desarrollan encoordinacin con el rea.
Determinar la efectividad y cumplimiento de los procedimientos para lageneracin y almacenamiento de copia de respaldo.
8/14/2019 Leccion 8.3.1 aud_sistemas
13/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle13
PASO 2. CONOCIMIENTO DEL AREAAUDITABLEComprender la componente o rea auditable, identificar sus
partes y significatividad , el sistema de control, los riesgosinherentes, su complejidad, el grado de dependencia de los
programas.
Ejemplo: CENTRO DE COMPUTO (Area Auditable)Mtodo:Revisin de; manuales de procedimientos y funciones de los cargos del
rea.Documentacin de las Aplicaciones (Manual usuario, Mantenimiento,Operacin).
Entrevistas y observacion de los procesos manuales, atomticos, etc.
8/14/2019 Leccion 8.3.1 aud_sistemas
14/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle14
PASO 3. EVALUACION DEL CUBRIMIENTO DERIESGOSEvaluar el control sobre las principales causas de cada uno delos riesgos encontrados y detectar las debilidades.
Ejemplo: CENTRO DE COMPUTO (Area Auditable)Mtodo:Detectar las causas, su importancia y controles asociados
Elaborar matrz de riesgo/control informando debilidades encontradasEscoger la(s) pruebas(s) adecuadas(s) para evaluar el funcionamientode cada control.
8/14/2019 Leccion 8.3.1 aud_sistemas
15/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle15
MATRIZ DE RIESGONos permite una compracin del Control vs. el Riesgo y determinar lasdebilidades del Area Auditable- (Ej. rea de Cartera)
ControlRiesgo
Validacin de Datos Bitacora de Acceso Manejo deExcepciones
Copias deRespaldo
Violacin de
Privacidad
A/M (*)
cceso Ilegal (*)
Exactitud a laIntegridad
A/M A M
Debilidades
(*)Punto muyDbil.
No se validaautomticamente laexistencia el nmero deldocumento cancelado, nise verifican las fechas(Expedicin, pagos,vencimientos) para cargarints. De Mora).
No existe Procedimient
Para cancelar cartera.
Se controla laexistencia del usuario,pero no se tienecontrol de acceso a losdatos, si se llevabitcora de ellos.
Se enva la lista acartera, pero ellos nohacen ningnseguimiento porsucursal.
Se guarda una solacopia de seguridad,no hay copia fuerade la organizacin.
Se entrega aSistemas sinprotocolo. No seguarda copia porexistir plena
confianza.
8/14/2019 Leccion 8.3.1 aud_sistemas
16/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle16
PASO 4. DISEO Y EJECUCIN DE PRUEBASVerificar que los controles detectados en el paso 3 funcionen correctamente yse apliquen de manera uniforme
PruebasPruebas de Cumplimiento: Encamindas a evaluar el funcionamiento de
la aplicacin y uniformidad de los controles.
Pruebas Sustantivas: Encaminadas a evaluar un item especficos
De los estados financieros. TIPOS DEPRUEBAS:
-. Datos de Prueba -. Observacin, Entrevista eInvestigacin
-. Seguimiento de Transacciones-. Procedimientos analticos
-. Procesamientos Paralelos -. Anlisis de resultados.
8/14/2019 Leccion 8.3.1 aud_sistemas
17/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle17
PASO 5. EVALUACION DE RESULTADOSAnlisis de los resultados de las pruebas, para determinar la efectividad de loscontroles. Adjuntar evidencia de los resultados de las pruebas
Evaluar, Posibles cambios, innovaciones al sistema de control actual enbusca de :
Cubrir los riesgos que no son tenidos en cuenta actualmente.
Mayor efectividad y economa
Plantear alternativas de implantacin de estos cambios, estimando los
recursos necesarios par asu implantacin y funcionamiento normal yestimativos de los beneficios que se espera recibir.
8/14/2019 Leccion 8.3.1 aud_sistemas
18/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle18
PASO 6. CONCLUSIONES YRECOMENDACIONESElaboracin del Informe de auditora y presentacin a la gerencia
Debe especificar el objetivo y alcance de la auditora asi como elresultado de cada una de las pruebas y la documentacin para sucredibilidad.
Es necesarios hacer nfasis en los riesgos latente, la forma deevitarlos y el costo de hacerlo.
Debe consignarse adems el costo de no corregir los problemas
encontrados
8/14/2019 Leccion 8.3.1 aud_sistemas
19/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle19
PASO 7. SEGUIMIENTOSe debe acordar con la Gerencia
Si la decisin de la gerencia es seguir las recomendaciones de auditora,para completar el proceso se deber asesorar la implantacin de ellas yevaluarla una vez empiecen a funcionar
En caso de que el usuario no desee la colaboracin de auditorase deber esperar el tiempo estimado para que estasmodificaciones entren en vigencia y proceder a evaluarlas.
Si este paso no se ejecuta la labor de auditora se puedeconsiderar sobrante para la organizacin.
8/14/2019 Leccion 8.3.1 aud_sistemas
20/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle20
FIN
GRACIAS
8/14/2019 Leccion 8.3.1 aud_sistemas
21/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle21
TIPOS DE PRUEBASCaptulo Diseo y Ejecucin de Pruebas Paso 4
La OBSERVACINde la Ejecucin de los Procesos Manuales y/o la Aplicacin de los
Controles sirve para Evaluar si, durante el perodo de la pueba, la operacin delcontrol es Efectiva y aplicada a todas las transacciones.
Se complementa esta prueba mediante la ENTREVISTA con los empleados obser-
vados, quienes deberan dar informacin sobre las excepciones, la efectividad y
Uniformidad de los controles fuera del perodo de prueba.
Adicionalmente INVESTIGARlos documentos relacionados con el Sistema da evi
dencia sobre la facilidad de aplicacin y continuidad de los criterios de control.
Son valiosos la documentacin del usuario de operaciones, de mantenimiento.
OBSERVACIN, ENTREVISTA E INVESTIGACIN
8/14/2019 Leccion 8.3.1 aud_sistemas
22/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle22
Continuacin Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
.Generar Transacciones o Tomar Transacciones producidas durante el normal funciona-
Miento del sistema evaluado y seguir su flujo, o a travs de ste.
Se debe incluir transacciones anormales y fraudulentas, sin previo aviso a los usuarios.
SEGUIMIENTO DE TRANSACCIONES
8/14/2019 Leccion 8.3.1 aud_sistemas
23/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle23
Continuacin Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
Tomar Muestras de los archivos magnticos y comparar con los documentos que
Los respaldan y viceversa
COMPARACIN DE DOCUMENTOS CON ARCHIVOSMAGNTICOS
8/14/2019 Leccion 8.3.1 aud_sistemas
24/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle24
Continuacin Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
Pretende evaluar la especificacin contra el cdigo de (algunos de) los programas
que componen el sistema incrementa la confiabilidad en el sistema. Se debe
Complementar con la comparacin entre el cdigo objeto y el cdigo ejecutable
En produccin de estos programas.
Para otros controles computarizados se debe adecuar el anlisis.
ANALISIS DE PROGRAMAS Y CONTROLESCOMPUTARIZADOS
8/14/2019 Leccion 8.3.1 aud_sistemas
25/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle25
Continuacin Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
Ejecutar con datos reales, ficticios y de auditoras anteriores, todas las
Alternativas posibles y casos anormales.
DATOS DE PRUEBAS
8/14/2019 Leccion 8.3.1 aud_sistemas
26/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle26
Continuacin Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
Tienen por objeto verificar la razonabilidad de la informacin y examinar los
Registros y/o transacciones que se salen del comportamiento normal.
PROCEDIMIENTOS ANALTICOS
LIMITES DENORMALIDAD
RECUPERACION DEDATOS
ANALISIS DEINFORMACIN
La Razonabilidad puede estardeterminadad por:
Recuperar Datos Mediante el Usode:
Analizar la Informacin Mediante :
Comparacin Software de Auditora Inf. De ExcepcionesPromedios Software para recuperacin
de Informc.Clasif. de Datos
Tendencias Utilitarios Elabor. De Programas
Clculos Hojas Electrnicas
8/14/2019 Leccion 8.3.1 aud_sistemas
27/28
26/12/09 Prof. Omar Javier Solano Rodrguez - Auditora en Informtica- Univalle27
Continuacin de Tipos de Pruebas -Captulo Diseo yEjecucin de Pruebas Paso 4
La repeticin Manual o Computarizad de las funciones de procesamiento de
Transacciones Reales o Ficticias sirven para comprobar la efectividad de los
Controles de las Funciones de Procesamiento.
PROCESAMIENTO PARALELO
8/14/2019 Leccion 8.3.1 aud_sistemas
28/28
26/12/09 Prof Om r J vier Sol no Rodrgue Auditor en Informtic Univ lle28
PLANEACIN(Norma Internacional de Auditora)El Auditor deber Planear su trabajo de modo que la auditora sea desarrollada
de una manera efectiva.
Planeacin significa desarrollar una estrategia general y un enfoque detalladopara la naturaleza, oportunidad y alcance esperados de la auditora.
El auditor planea desarrollar la auditora de forma eficiente y oportuna.*La planeacin consiste en decidir previamente losprocedimientos que han de emplearse, la extensin que seles dar a las pruebas, la oportunidad para su aplicacin,
los papeles de trabajo que se emplearn para evidenciar losresultados y las personas que ejecutarn el trabajo.*
*Conceptos tomados del Manual de Auditora y RevisoraFiscal- Edicin 2.001- Yanel Blanco Luna- Pag. 408 - 461