Ejemplos de informe de auditoria informática

Enviado por Programa Chuletas y clasificado en Economía

Escrito el en español con un tamaño de 12,8 KB

 

AUDITORÍA Informática

  • Metodología de Auditoría Informática

  1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)
  2. Realizar el Estudio Inicial del entorno a auditar
  3. Determinar los Recursos necesarios para realizar la auditoría
  4. Elaborar el Plan de Trabajo
  5. Realizar las Actividades de Auditoría
  6. Realizar el Informe Final
  7. Carta de Presentación y Carta de Manifestaciones.

1. Alcance y Objetivos de la A.I.: Alcance

  • Entorno y límites en que se realizará la A.I.
  • HASTA DÓNDE SE LLEGA
  • Acuerdo por escrito (entre auditor y cliente) cuando se incluyen áreas no informáticas o cuando la empresa tiene varias sedes, de:
    • Funciones (Seguridad, Dirección, etc.)
    • Materias (S.O., BD, etc.)
    • Departamentos o Áreas Organizativas (Explotación, Sistemas, Comunicaciones, etc.)
  • Su no definición pondrá en peligro el éxito de la A.I.
  • Limitaciones: QUÉ DEJA DE AUDITARSE
    • Principalmente en materias que pueden suponerse incluidas

Objetivos

  • Auditor debe comprender con exactitud los deseos y pretensiones del cliente, para cumplir con los objetivos
  • Objetivos específicos
    • Necesidad de auditar una materia de gran especialización
    • Contrastar algún informe interno con el que resulte del externo
    • Evaluación del funcionamiento de áreas informáticas en un determinado departamento
    • Aumentos de seguridad y fiabilidad
    • Aumento de calidad
    • Disminución de costes o plazos
  • Objetivos generales (comunes a toda A.I.)
    • Operatividad de los S.I.
    • Controles Generales de la Gestión Informática
  • Operatividad
    • Funcionamiento, aunque sea mínimo, de la organización y sus máquinas (PCs, mainframes)
    • Conseguida a escala general y parcial (p.E. Cajero y líneas)
    • Conseguida a través de:

Controles Técnicos Generales (p.E. CPD diferentes)

Sistema operativo y software de base funcionan simultáneamente con aplicaciones

Hw y Sw compatibles

Controles Técnicos Específicos

Espacio en disco

Período de utilización de BD comunes

  • Controles Generales de la Gestión Informática
    • Verificar normas del Departamento de Informática y observar su consistencia con las del resto de la empresa

Normas Generales de la Instalación Informática

Procedimientos Generales y Específicos del Departamento de Informática (p.E. Una aplicación no pasa a Explotación sin su correspondiente Documentación)

  • Comprobar que no existen contradicciones con normas y procedimientos generales de la empresa
  • Interlocutores
    • Personas con poder de decisión y validación dentro de la empresa
    • Personas a las que va dirigido el informe

2. Estudio Inicial

  • Examinar situación general de funciones y actividades generales de la informática
  • Conocimiento de:
    • Organización: Estructura organizativa del Departamento de Informática a auditar
    • Entorno de Operación: Entorno de trabajo
    • Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada

Bases de Datos

Ficheros

Organización

  • Estructura organizativa del Departamento de Informática a auditar.
  • Organigrama: estructura informática de la organización a auditar
  • Departamentos: describir sus funciones
  • Relaciones Jerárquicas y funcionales
    • 1 Empleado con dos Jefes
  • Flujos de Información, tanto horizontales y oblicuas como extradepartamentales y verticales
    • Canales alternativos que denotan lagunas en la estructura y organigrama, o bien por simpatías
  • Número de Puestos de Trabajo
    • Nombres de los puestos de trabajo corresponden a funciones distintas: Deficiencias en estructura si varios nombres con 1 función
  • Número de Personas por Puesto de Trabajo
    • Distribución de recursos ineficiente
    • Necesidad de reorganización

Entorno Operativo

  • Referencia del entorno de trabajo en el que el auditor va a trabajar
  • Situación Geográfica
    • Diferentes CPDs, con responsables y mismos estándares de trabajo
  • Arquitectura y Configuración Hardware y Software
    • Configuración de diferentes CPDs compatible y estén intercomunicados
  • Inventario Hardware y Software
    • CPUs, procesadores, PCs, periféricos, etc.
    • Software básico, software interno y software comprado
  • Comunicaciones y Redes de Comunicación
    • Líneas de Comunicación
    • Acceso a red pública e intranet

 Aplicaciones Informáticas

  • Procedimientos Informáticos realizados en la empresa
  • Volumen, Antigüedad y Complejidad de las aplicaciones
    • Periodicidad de ejecuciones de carga de trabajo
  • Metodología de desarrollo de aplicaciones
  • Documentación de aplicaciones
    • Mantenimiento es el 70% de recursos
  • Cantidad y Complejidad de Bases de Datos y Ficheros
    • Tamaño y carácterísticas de BD y Ficheros
    • Número de Accesos a BD y Ficheros
    • Frecuencia de Actualización

3. Recursos de la A.I.

  • A partir del Estudio Inicial, se determinan los recursos humanos y materiales
  • Recursos Materiales
    • Proporcionados por cliente en su mayoría
    • Software: paquetes de auditoría del equipo auditor, compiladores
    • Hardware: PCs, impresoras, líneas de comunicación
    • Determinación de incremento de carga del auditado y consenso en fechas y duración de actividades de auditoría
  • Recursos Humanos
    • Cantidad depende del alcance de la auditoría
    • Perfil depende de la materia a auditar

4. Plan y Asignación de Trabajos

  • Calendario de actividades a realizar aprobado por responsables de área y de auditoría
  • Aspectos a tener en cuenta:
    • Plan por grandes áreas: Elaboración más compleja y costosa que implica superior calidad, más tiempo total y mayores recursos
    • Plan por áreas específicas: Resultado obtenido más rápidamente y con menor calidad
    • Auditoría de toda la Informática o Parcial: determinación del número de auditores y especialistas       
  • Planificación de la Auditoría (Guía ISACA)
    • Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc.
    • Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento
    • Evaluación interna del control, mediante pruebas de cumplimiento de los controles

5. Actividades de la A.I.: Técnicas

  • Revisión
    • Análisis de la información obtenida (principalmente a través de cuestionarios y entrevistas) y de la propia
  • Entrevistas
    • Con método prestablecido y preparación
    • Gran elaboración de preguntas, orden
    • Desencadena en checklist: cuestionario minucioso, ordenado y estructurado por materias
  • Simulación
  • Muestreos

Herramientas

  • Cuestionario general
  • Cuestionario-Checklist
  • Simuladores (generadores de datos)
  • Paquetes de Auditoría (generadores de programas)
    • Rastrear los caminos de los datos
    • Utilizados principalmente en auditorías no informáticas
    • Paquetes de parametrización de librerías

 Actividades de la A.I.

  • Movilización
    • Mantener reuníón de planificación inicial para:

Determinar el proceso más eficaz-rentable de obtención de información

Determinar el uso de especialistas / herramientas sectoriales

  • Entorno de Control
    • Registrar y evaluar el entorno de control de la empresa
  • Información del negocio/sector
    • Planificar la utilización de tecnología
    • Obtener comprensión del negocio, estructura, riesgos
    • Discutir preocupaciones, necesidades, expectativas
  • Información sobre los sistemas y el entorno informático
    • Evaluando los controles de supervisión
  • Estrategia de auditoría
    • Reuníón de planificación
  • Preparar los programas de auditoría
    • Para las áreas de auditoría, analizando riesgos de error y fraudes identificados
  • Preparar un plan de tareas
    • Calendario e información a entregar del cliente
    • Plan de tareas, con asignación de tiempos
    • Roles y responsabilidades de miembros del equipo auditor y estrategia para comunicación para revisar, asignar tareas y acordar objetivos
    • Establecer medidas para supervisar el progreso, incluyendo reuniones periódicas
  • Comunicación del plan
    • Informar a los miembros del equipo
    • Presentar al cliente el plan de auditoría
  • Ejecución
    • Documentar, evaluar y probar controles de supervisión de las aplicaciones
    • Informar al cliente sobre estado del trabajo y conclusiones alcanzadas
  • Otros procedimientos de auditoría
    • Informes finales
  • Revisión
    • Completar los pasos y tareas del trabajo
  • Finalización
    • Completar y revisar el tratamiento informático. Responder a excepciones
    • Aspecto críticos importantes han sido resueltos, documentados y comunicados al cliente y al equipo
    • Carta de manifestaciones del cliente
    • Firma del auditor
  • Información al cliente
    • Comunicar las debilidades significativas de control interno y las recomendaciones oportunas
  • Evaluaciones
    • Calidad del servicio en relación con las expectativas del cliente

6. Informe Final: Guía ISACA

  • Relación con los Estándares
    • Estándar 070.010: Contenido e Impreso del Informe
    • El Informe de Auditoría indica:

Alcance

Objetivos

Período de cobertura

Naturaleza y extensión del trabajo de auditoría

Organización

Destinatarios del informe

Restricciones

Hallazgos

Conclusiones

Recomendaciones

  • Necesidad de la guía
    • Describir prácticas recomendadas para preparar un informe de auditoría
  • Realización del informe
    • Estilo y Contenido: Objetivo, claro, conciso, constructivo y oportuno

Apropiado a los destinatarios

Identificar organización auditada

Incluye título, firma y fecha

  • Objetivos (lo que trata de cumplir la auditoría)
    • Alcance: naturaleza, tiempo y extensión del trabajo de auditoría

Área funcional

Período de auditoría

Sistemas de información, aplicaciones o entornos auditados

  • Realización del Informe (continuación)
    • Restricción sobre su distribución
    • Hallazgos significativos de la auditoría (causas y riesgos)
    • Conclusión: evaluación del auditor sobre el área auditada
    • Recomendaciones, para realizar acciones correctivas
    • Presentación: lógica y organizada
    • Estar a tiempo para fomentar las acciones correctivas puntualmente
    • Consideraciones de eventos subsiguientes

Fraude descubierto después de la auditoría

Incendio después de la revisión de controles

  • Ética y estándares profesionales
  • Actividades subsiguientes
    • Petición de contestación, que incluya las acciones correctivas como resultado del informe

7. Otra Documentación

  • Carta de Presentación del Informe Final
    • Resumen en 3 ó 4 folios del contenido del informe final
    • Incluye fecha, naturaleza, objetivos y alcance de la auditoría
    • Cuantifica la importancia de las áreas analizadas
    • Proporciona una conclusión general, concretando las áreas de gran debilidad
    • Presentar las debilidades en orden de importancia
  • Carta de Manifestaciones
    • La Dirección de la empresa auditada confirma que se han mostrado transparente y han proporcionado toda la información necesaria para la auditoría
    • En papel con membrete de la empresa auditada
    • Firman los responsables de los áreas relacionados con la auditoría: Presidente, Consejero Delegado, Director General

Entradas relacionadas: