FASES DE LA AUDITORIA INFORMÁTICA
FASES DE LA AUDITORIA
INFORMÁTICA
FASE I: CONOCIMIENTOS DEL SISTEMA
Aspectos
Legales y Políticas Internas: Sobre estos elementos está
construido el sistema de control y por lo tanto constituyen el marco de
referencia para su evaluación.
Características
del Sistema Operativo:
Organigrama
del área que participa en el sistema, Informes de auditoría realizada
anteriormente.
Manual de
funciones de las personas que participan en los procesos del sistema
Informes de
auditoría realizada anteriormente
Características
de la aplicación de computadora:
Manual
técnico de la aplicación del sistema, Equipos utilizados en la aplicación de
computadora.
Funcionarios
(usuarios) autorizados para administrar la aplicación
Equipos
utilizados en la aplicación de computadora
Seguridad
de la aplicación (claves de acceso)
Procedimientos
para generación y almacenamiento de los archivos de la aplicación.
FASE
2: ANÁLISIS DE LAS TRANSACCIONES
Definición
de las transacciones.
Dependiendo del tamaño del sistema, las transacciones
se dividen en procesos y estos en subprocesos.
La importancia de las transacciones deberá ser asignada con los
administradores.
Establecer
el flujo de los documentos.
En esta etapa se hace uso de los flujogramas ya que
facilita la visualización del funcionamiento y recorrido de los procesos.
Identificar
y codificar los recursos que participan en el sistema.
Relación
entre transacciones y recursos.
FASE
III: ANÁLISIS DE RIESGOS Y AMENAZAS
Identificación
de riesgos.
Daños físicos
o destrucción de los recursos.
Pérdida por
fraude o desfalco.
Extravío de documentos fuente, archivos o informes.
Robo de dispositivos o medios de almacenamiento.
Identificación
de las amenazas.
Amenazas sobre los equipos:
Amenazas sobre documentos fuente.
Amenazas sobre programas de aplicaciones.
Relación
entre recursos/amenazas/riesgos.
La relación entre estos elementos deberá establecerse a partir de la
observación de los recursos en su ambiente real de funcionamiento.
FASE
IV: ANÁLISIS DE CONTROLES
Codificación
de controles.
Los controles
se aplican a los diferentes grupos utilizadores de recursos, luego la
identificación de los controles debe contener una codificación la cual
identifique el grupo al cual pertenece el recurso protegido.
Relación
entre recursos/amenazas/riesgos.
La relación con los controles debe establecerse para
cada tema (Rec/Amz/Rie) identificado.
Para cada tema debe establecerse uno o más controles.
Análisis de
cobertura de los controles requeridos.
Este análisis tiene como propósito determinar si los
controles que el auditor identificó como necesarios proveen una protección
adecuada de los recursos.
FASE
V: EVALUACIÓN DE CONTROLES
Objetivos
de la evaluación.
Verificar la existencia de
los controles requeridos.
Determinar la operatividad
y suficiencia de los controles existentes.
Plan de
pruebas de los controles.
Incluye la selección del tipo de prueba a realizar.
Debe solicitarse al área respectiva, todos los
elementos necesarios de prueba.
Pruebas de
controles.
Análisis de
resultados de las pruebas.
FASE
VI: INFORME DE AUDITORIA
Informe
detallado de recomendaciones.
Evaluación
de las respuestas.
Informe
resumen para la alta gerencia.
Este informe debe prepararse una vez obtenidas y
analizadas las respuestas de compromiso de las áreas.
Introducción: Objetivo
y contenido del informe de auditoria
Objetivos de la auditoría
Alcance: Cobertura de la evaluación realizada
Opinión: Con relación a la suficiencia del control
interno del sistema evaluado
Hallazgos.
Recomendaciones.
FASE
VII: SEGUIMIENTO DE RECOMENDACIONES
Informes
del seguimiento.
Evaluación
de los controles implantados.
Comentarios
Publicar un comentario