Ejemplos de informe de auditoria informática
Enviado por Programa Chuletas y clasificado en Economía
Escrito el en español con un tamaño de 12,8 KB
AUDITORÍA Informática
Metodología de Auditoría Informática
- Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)
- Realizar el Estudio Inicial del entorno a auditar
- Determinar los Recursos necesarios para realizar la auditoría
- Elaborar el Plan de Trabajo
- Realizar las Actividades de Auditoría
- Realizar el Informe Final
- Carta de Presentación y Carta de Manifestaciones.
1. Alcance y Objetivos de la A.I.: Alcance
- Entorno y límites en que se realizará la A.I.
- HASTA DÓNDE SE LLEGA
- Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:
- Funciones (Seguridad, Dirección, etc.)
- Materias (S.O., BD, etc.)
- Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.)
- Su no definición pondrá en peligro el éxito de la A.I.
- Limitaciones: QUÉ DEJA DE AUDITARSE
- Principalmente en materias que pueden suponerse incluidas
Objetivos
- Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos
- Objetivos específicos
- Necesidad de auditar una materia de gran especialización
- Contrastar algún informe interno con el que resulte del externo
- Evaluación del funcionamiento de áreas informáticas en un determinado departamento
- Aumentos de seguridad y fiabilidad
- Aumento de calidad
- Disminución de costes o plazos
- Objetivos generales (comunes a toda A.I.)
- Operatividad de los S.I.
- Controles Generales de la Gestión Informática
- Operatividad
- Funcionamiento, aunque sea mínimo, de la organización y sus máquinas (PCs, mainframes)
- Conseguida a escala general y parcial (p.E. Cajero y líneas)
- Conseguida a través de:
Controles Técnicos Generales (p.E. CPD diferentes)
Sistema operativo y software de base funcionan simultáneamente con aplicaciones
Hw y Sw compatibles
Controles Técnicos Específicos
Espacio en disco
Período de utilización de BD comunes
- Controles Generales de la Gestión Informática
- Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa
Normas Generales de la Instalación Informática
Procedimientos Generales y Específicos del Departamento de Informática (p.E. Una aplicación no pasa a Explotación sin su correspondiente Documentación)
- Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa
- Interlocutores
- Personas con poder de decisión y validación dentro de la empresa
- Personas a las que va dirigido el informe
2. Estudio Inicial
- Examinar situación general de funciones y actividades generales de la informática
- Conocimiento de:
- Organización: Estructura organizativa del Departamento de Informática a auditar
- Entorno de Operación: Entorno de trabajo
- Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada
Bases de Datos
Ficheros
Organización
- Estructura organizativa del Departamento de Informática a auditar.
- Organigrama: estructura informática de la organización a auditar
- Departamentos: describir sus funciones
- Relaciones Jerárquicas y funcionales
- 1 Empleado con dos Jefes
- Flujos de Información, tanto horizontales y oblicuas como extradepartamentales y verticales
- Canales alternativos que denotan lagunas en la estructura y organigrama, o bien por simpatías
- Número de Puestos de Trabajo
- Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función
- Número de Personas por Puesto de Trabajo
- Distribución de recursos ineficiente
- Necesidad de reorganización
Entorno Operativo
- Referencia del entorno de trabajo en el que el auditor va a trabajar
- Situación Geográfica
- Diferentes CPDs, con responsables y mismos estándares de trabajo
- Arquitectura y Configuración Hardware y Software
- Configuración de diferentes CPDs compatible y estén intercomunicados
- Inventario Hardware y Software
- CPUs, procesadores, PCs, periféricos, etc.
- Software básico, software interno y software comprado
- Comunicaciones y Redes de Comunicación
- Líneas de Comunicación
- Acceso a red pública e intranet
Aplicaciones Informáticas
- Procedimientos Informáticos realizados en la empresa
- Volumen, Antigüedad y Complejidad de las aplicaciones
- Periodicidad de ejecuciones de carga de trabajo
- Metodología de desarrollo de aplicaciones
- Documentación de aplicaciones
- Mantenimiento es el 70% de recursos
- Cantidad y Complejidad de Bases de Datos y Ficheros
- Tamaño y carácterísticas de BD y Ficheros
- Número de Accesos a BD y Ficheros
- Frecuencia de Actualización
3. Recursos de la A.I.
- A partir del Estudio Inicial, se determinan los recursos humanos y materiales
- Recursos Materiales
- Proporcionados por cliente en su mayoría
- Software: paquetes de auditoría del equipo auditor, compiladores
- Hardware: PCs, impresoras, líneas de comunicación
- Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría
- Recursos Humanos
- Cantidad depende del alcance de la auditoría
- Perfil depende de la materia a auditar
4. Plan y Asignación de Trabajos
- Calendario de actividades a realizar aprobado por responsables de área y de auditoría
- Aspectos a tener en cuenta:
- Plan por grandes áreas: Elaboración más compleja y costosa que implica superior calidad, más tiempo total y mayores recursos
- Plan por áreas específicas: Resultado obtenido más rápidamente y con menor calidad
- Auditoría de toda la Informática o Parcial: determinación del número de auditores y especialistas
- Planificación de la Auditoría (Guía ISACA)
- Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc.
- Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento
- Evaluación interna del control, mediante pruebas de cumplimiento de los controles
5. Actividades de la A.I.: Técnicas
- Revisión
- Análisis de la información obtenida (principalmente a través de cuestionarios y entrevistas) y de la propia
- Entrevistas
- Con método prestablecido y preparación
- Gran elaboración de preguntas, orden
- Desencadena en checklist: cuestionario minucioso, ordenado y estructurado por materias
- Simulación
- Muestreos
Herramientas
- Cuestionario general
- Cuestionario-Checklist
- Simuladores (generadores de datos)
- Paquetes de Auditoría (generadores de programas)
- Rastrear los caminos de los datos
- Utilizados principalmente en auditorías no informáticas
- Paquetes de parametrización de librerías
Actividades de la A.I.
- Movilización
- Mantener reuníón de planificación inicial para:
Determinar el proceso más eficaz-rentable de obtención de información
Determinar el uso de especialistas / herramientas sectoriales
- Entorno de Control
- Registrar y evaluar el entorno de control de la empresa
- Información del negocio/sector
- Planificar la utilización de tecnología
- Obtener comprensión del negocio, estructura, riesgos
- Discutir preocupaciones, necesidades, expectativas
- Información sobre los sistemas y el entorno informático
- Evaluando los controles de supervisión
- Estrategia de auditoría
- Reuníón de planificación
- Preparar los programas de auditoría
- Para las áreas de auditoría, analizando riesgos de error y fraudes identificados
- Preparar un plan de tareas
- Calendario e información a entregar del cliente
- Plan de tareas, con asignación de tiempos
- Roles y responsabilidades de miembros del equipo auditor y estrategia para comunicación para revisar, asignar tareas y acordar objetivos
- Establecer medidas para supervisar el progreso, incluyendo reuniones periódicas
- Comunicación del plan
- Informar a los miembros del equipo
- Presentar al cliente el plan de auditoría
- Ejecución
- Documentar, evaluar y probar controles de supervisión de las aplicaciones
- Informar al cliente sobre estado del trabajo y conclusiones alcanzadas
- Otros procedimientos de auditoría
- Informes finales
- Revisión
- Completar los pasos y tareas del trabajo
- Finalización
- Completar y revisar el tratamiento informático. Responder a excepciones
- Aspecto críticos importantes han sido resueltos, documentados y comunicados al cliente y al equipo
- Carta de manifestaciones del cliente
- Firma del auditor
- Información al cliente
- Comunicar las debilidades significativas de control interno y las recomendaciones oportunas
- Evaluaciones
- Calidad del servicio en relación con las expectativas del cliente
6. Informe Final: Guía ISACA
- Relación con los Estándares
- Estándar 070.010: Contenido e Impreso del Informe
- El Informe de Auditoría indica:
Alcance
Objetivos
Período de cobertura
Naturaleza y extensión del trabajo de auditoría
Organización
Destinatarios del informe
Restricciones
Hallazgos
Conclusiones
Recomendaciones
- Necesidad de la guía
- Describir prácticas recomendadas para preparar un informe de auditoría
- Realización del informe
- Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno
Apropiado a los destinatarios
Identificar organización auditada
Incluye título, firma y fecha
- Objetivos (lo que trata de cumplir la auditoría)
- Alcance: naturaleza, tiempo y extensión del trabajo de auditoría
Área funcional
Período de auditoría
Sistemas de información, aplicaciones o entornos auditados
- Realización del Informe (continuación)
- Restricción sobre su distribución
- Hallazgos significativos de la auditoría (causas y riesgos)
- Conclusión: evaluación del auditor sobre el área auditada
- Recomendaciones, para realizar acciones correctivas
- Presentación: lógica y organizada
- Estar a tiempo para fomentar las acciones correctivas puntualmente
- Consideraciones de eventos subsiguientes
Fraude descubierto después de la auditoría
Incendio después de la revisión de controles
- Ética y estándares profesionales
- Actividades subsiguientes
- Petición de contestación, que incluya las acciones correctivas como resultado del informe
7. Otra Documentación
- Carta de Presentación del Informe Final
- Resumen en 3 ó 4 folios del contenido del informe final
- Incluye fecha, naturaleza, objetivos y alcance de la auditoría
- Cuantifica la importancia de las áreas analizadas
- Proporciona una conclusión general, concretando las áreas de gran debilidad
- Presentar las debilidades en orden de importancia
- Carta de Manifestaciones
- La Dirección de la empresa auditada confirma que se han mostrado transparente y han proporcionado toda la información necesaria para la auditoría
- En papel con membrete de la empresa auditada
- Firman los responsables de los áreas relacionados con la auditoría: Presidente, Consejero Delegado, Director General