Planeación de La Auditoría

PLANEACIÓN DE LA
AUDITORÍA INFORMÁTICA
PLANEACIÓN DE LA AUDITORÍA
Objetivos
• Conocer las diferentes fases que comprende la auditoría en informática.
• Comprender la importancia de la planeación de la auditoría.
• Definir las principales caracterirsticas qye requiere el personal que
participa en una auditoría.
Generalidades
La auditoría en informática es el proceso de recolección y evaluación de evidencias

para determinar cuándo son salvaguardados los activos de los sistemas
informáticos, de qué manera se mantiene la integridad, confinfidencualidad y
disponibilidad de los mismos.
Las normas de auditoría interna
comprenden:
Actividades auditadas y objetividad del auditor
Conocimientos técnicos actualizados y experiencia
Alcance del trabajo
Desarrollo de las responsabilidades asignadas

FASES DE LA AUDITORIA
Examen y
Revisión Revisión
Planeación evaluación de la
preliminar detallada
información
Pruebas de Evaluación de los

Pruebas
controles de sistemas de
sustantivas
usuarios acuerdo al riesgo
1. PLANEACIÓN
La planeación deberá ser documentada e incluirá:
• Establecimiento de los objetivos y alcance del trabajo

• Obtención de Información de apoyo sobre las actividades a realizar
• Determinar los recursos necesarios para realizar la auditoría
• Comunicación necesaria con los involucrados
• Preparación del programa de auditoría
• Comunicación de resultados (cómo, cuándo, y a quién)
• Aprobación del plan de trabajo de la auditoria.
1. PLANEACIÓN
Aspectos relevantes a evaluar:

Área administrativas
Sistemas y procedimientos
Equipos del área de TI
Evaluación de procesos de los sistemas de información, B/D,Redes, telcom,

Software y Hardware
Seguridad y confidencialidad de la información
Aspectos legales de los Sistemas de Información

2. REVISIÓN PRELIMINAR
El primer paso en el desarrollo de la auditoría, despues de la

planeación, es la revisión preliminar del área de TI.
Objetivos de la revisión preliminar:

Obtener la información necesaria para que el auditor pueda tomar la decisión
de como proceder en la auditoría.
Recolección de evidencias por medio de entrevistas, observación de las

actividades, y revisión preliminar de documentos con el fin de elaborar un plan
de trabajo.
2. REVISIÓN PRELIMINAR
Al terminar la revisión preliminar el auditor puede

proceder en uno de los siguientes caminos:
Diseño de la auditoria: Puede haber problemas

debido a la falta de competencia técnica.
Realizar una revisión detallada de los controles

internos de los sistemas.
Decidir el no confiar en los controles internos del

sistema.
3. REVISIÓN DETALLADA
• Obtener la información necesaria para entender los controles

usados dentro del área de TI.
• Es importante que el auditor pueda identificar las causas de las
pérdidas y los efectos causados por éstas, al terminar la revisión
detallada el auditor debe evaluar en que momento los controles
establecidos reducen las pérdidas esperadas a un nivel
aceptable.
4. PROCESO DE EXAMEN Y
EVALUACIÓN DE LA INFORMACIÓN
• Obtener todos los asuntos relacionados con los objetivos y alcances de la
auditoria.
• Información: suficientemente competente, relevante y útil para que proporcione

base sólida en relación con los hallazgos y recomendaciones de la auditoria.
• Los procedimientos de auditoria incluyendo el empleo de las técnicas de pruebas

selectivas y el muestreo debe ampliarse y modificarse cuando las situaciones lo
requieran.
• El proceso de recabar, interpretar la información debe supervisarse para

proporcionar una seguridad razonable de que la objetividad del auditor se
mantuvo.
• Los documentos de trabajo de auditoria deben ser preparados por los auditores
y revisados por la gerencia de auditoria.
5. PRUEBAS DE
CONSENTIMIENTO
• Su objetivo es observar si los controles internos operan como
fueron diseñados para operar.
• El auditor debe determinar si los controles declarados en
realidad existen y si realmente trabajan confiablemente.
Ejemplo:
Determinar si los controles internos operan como fueron diseñados para
operar. El auditor debe determinar si los controles declarados en realidad
existen y si en realidad trabajan confiables.
6. PRUEBAS SUSTANTIVAS
Su objetivo es tener evidencia suficiente que permita al auditor emitir su juicio en las
consideraciones sobre cuando ocurrir pérdidas materiales durante el procesamiento de la
información y se pueden identificar 8 diferentes pruebas sustantivas.
Pruebas para identificar errores en el procesamiento o falta de seguridad
• Pruebas para asegurar la calidad de los datos
• Pruebas para identificar la inconsistencia de los datos
• Pruebas para comparar los datos
• Confirmación de los datos con fuentes externas
• Pruebas para confirmar la adecuada comunicación
• Pruebas para determinar la falta de seguridad
• Pruebas para determinar problemas de legalidad

6. PRUEBAS SUSTANTIVAS
• Debemos cuestionarnos el beneficio de tener un excesivo control o bien evaluar el beneficio

marginal de tener mayor control contra el costo que representa éste. Para ello es necesario
evaluar el costo por falla del sistema, y sus respectivas repercusiones para determinar el
grado de riesgo y confianza necesarios contra el costo de implantación de controles y el
costo de recuperación de la información.
El auditor debe participar en tres estados del sistema:
• Durante la fase de diseño del sistema

• Durante la fase de operación
• Durante la fase posterior a la auditoría
• El auditor necesita dividir los sistemas en una serie de subsistemas, identificando los
componentes que realizan las actividades básicas de cada subsistema, hasta llegar a
una evaluación global sobre la confianza en todo el sistema.
EVALUACIÓN DE LOS SISTEMAS
DE ACUERDO AL RIESGO
Riesgo por pérdida de información o bien que el sistema sea usado
por personal ajeno a la organización. Algunos sistemas de aplicaciones
son de más alto riesgo que otros debido a que:
• Son susceptibles a diferentes tipos de pérdidas económicas

• El auditor debe de poner especial atención a aquellos sistemas que requieren
un adecuado control financiero
• Interrelación con otros sistemas
• Sistemas de tecnología de punta o avanzada; esto si los sistemas utilizan
tecnología avanzada o de punta sobre la cual la organización tenga poca
experiencia o respaldo
• Sistemas de alto costo
INVESTIGACIÓN PRELIMINAR
• Percibir rápidamente las estructuras fundamentales y

diferencias principales entre el organismo a auditar
• Incorpora las fases:
• Evaluación del control gerencial: entender la organización, las políticas y
prácticas gerenciales
• Control de aplicaciones: entender los controles ejercidos sobre las transacciones
que fluyen a través del sistema
• Comprende una visita al organismo, al área de informática,

y los equipos de cómputo
PERSONAL PARTICIPANTE
• Depende de las dimensiones de la organización, sistemas y equipos
• Personal debidamente capacitado, alto sentido de moralidad
• Presentar la carta o convenio de servicios profesionales y el plan de trabajo: es un

compromiso que el auditor dirige a su cliente para su conformación de aceptación.
Algunas características:
• Formación recibida y conocimientos técnicos.
• Conocimientos de administración y finanzas.
• Experiencia en el área de informática.
• Experiencia en operación y análisis de sistemas.
• Conocimientos de los sistemas operativos, base de datos, redes y comunicaciones
dependiendo del área y características del auditor.
• Conocimiento de los sistemas más importantes.
COMENTARIOS

Planeación de La Auditoría

Cargado por

Copyright:

Formatos disponibles

Planeación de La Auditoría

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Planeación de La Auditoría

Cargado por

Copyright:

Formatos disponibles

PLANEACIÓN DE LA

La auditoría en informática es el proceso de recolección y evaluación de evidencias

Actividades auditadas y objetividad del auditor

Conocimientos técnicos actualizados y experiencia

Alcance del trabajo

Desarrollo de las responsabilidades asignadas

Pruebas de Evaluación de los

La planeación deberá ser documentada e incluirá:

• Establecimiento de los objetivos y alcance del trabajo

Aspectos relevantes a evaluar:

Equipos del área de TI

Evaluación de procesos de los sistemas de información, B/D,Redes, telcom,

Seguridad y confidencialidad de la información

Aspectos legales de los Sistemas de Información

El primer paso en el desarrollo de la auditoría, despues de la

Objetivos de la revisión preliminar:

Recolección de evidencias por medio de entrevistas, observación de las

Al terminar la revisión preliminar el auditor puede

Diseño de la auditoria: Puede haber problemas

Realizar una revisión detallada de los controles

Decidir el no confiar en los controles internos del

• Obtener la información necesaria para entender los controles

• Información: suficientemente competente, relevante y útil para que proporcione

• Los procedimientos de auditoria incluyendo el empleo de las técnicas de pruebas

• El proceso de recabar, interpretar la información debe supervisarse para

Pruebas para identificar errores en el procesamiento o falta de seguridad

• Pruebas para asegurar la calidad de los datos

• Pruebas para identificar la inconsistencia de los datos

• Pruebas para comparar los datos

• Confirmación de los datos con fuentes externas

• Pruebas para confirmar la adecuada comunicación

• Pruebas para determinar la falta de seguridad

• Pruebas para determinar problemas de legalidad

• Debemos cuestionarnos el beneficio de tener un excesivo control o bien evaluar el beneficio

El auditor debe participar en tres estados del sistema:

• Durante la fase de diseño del sistema

• Son susceptibles a diferentes tipos de pérdidas económicas

• Percibir rápidamente las estructuras fundamentales y

• Comprende una visita al organismo, al área de informática,

• Depende de las dimensiones de la organización, sistemas y equipos

• Personal debidamente capacitado, alto sentido de moralidad

• Presentar la carta o convenio de servicios profesionales y el plan de trabajo: es un

También podría gustarte