METODOLOGIA DE AUDITORIA EN SISTEMAS
METODOLOGIA DE
AUDITORIA EN SISTEMAS
La metodología a
seguir para planear, ejecutar y efectuar las Auditorías Internas del Sistema
Integrado de gestión con el propósito de verificar si las actividades y los
resultados relacionados con la calidad son conformes con las disposiciones
establecidas e igualmente determinar la eficacia, eficiencia y efectividad del
Sistema de calidad de las Unidades Tecnológicas de Santander.
Una de las tareas más
importantes del departamento de auditoría interna es determinar qué auditar. Su
plan de auditoría debe enfocar sus auditores en las áreas con mayor riesgo y en
áreas en las que usted puede agregar el máximo valor.
Plan
auditor informático e informe de auditoría
Metodologías de
Auditoría Informática× La
metodología usada por el auditor interno debe ser diseñada y desarrollada por
el propio auditor× Se basa en
su grado de experiencia y habilidad× Se deben
crear las metodologías necesarias para auditar los distintos aspectos definidos
en el plan auditor informático Auditoría de Sistemas de Información
Plan Auditor
Informático×Es el esquema
metodológico más importante del auditor informático×Describe
todo sobre esta función y el trabajo que realiza Auditoría de Sistemas de
Información
Partes del Plan
Auditor Informático×Las partes
que lo componen deben ser al menos las siguientes:
• Funciones
• Procedimientos
• Tipos de auditorías
que realiza
• Sistema de
evaluación
• Nivel de exposición
• Lista de
distribución de informes
• Seguimiento de
acciones correctoras
• Plan de trabajo
Auditoría de Sistemas de Información
FUNCIONES • Ubicación
en el organigrama. • Deben describirse las funciones en forma precisa y la
organización interna del departamento, con todos sus recursos Auditoría de
Sistemas de Información
PROCEDIMIENTOS • Para
las distintas tareas de las auditorías • Definición de debilidades, entrega del
informe preliminar, cierre de la auditoría, redacción del informe final, etc.
Auditoría de Sistemas de Información
TIPOS DE AUDITORÍAS
que realiza
• Metodologías y
cuestionarios de las mismas
• Ejemplo: revisión
de la seguridad física, de controles internos, de la aplicación de facturación,
etc.
SISTEMA DE EVALUACIÓN
y los distintos aspectos que evalúa • Se deben definir varios aspectos (gestión
económica, de RH, cumplimiento de normas) • Se debe realizar una evaluación
global de resumen para toda la auditoría (Bien, Regular, Mal, significando la
visión del grado de gravedad) • evaluación determina la fecha de repetición de
la auditoría en el futuro, dependiendo del nivel de exposición encontrado.
Auditoría de Sistemas de Información
NIVEL DE EXPOSICIÓN •
Nos permite definir la fecha de repetición de una auditoría dependiendo de la
evaluación final de la última realizada • Puede significar la suma de factores
como impacto, peso del área, situación de control en el área Auditoría de
Sistemas de Información
LISTA DE DISTRIBUCIÓN
DE INFORMES. • Se define la cantidad de informes con el resultado final de la
auditoría que se van a distribuir Auditoría de Sistemas de Información
SEGUIMIENTO DE
ACCIONES CORRECTIVAS • Dependiendo de las acciones correctivas sugeridas en el
informe final, se realiza un adecuado seguimiento. Auditoría de Sistemas de
Información
PLAN DE TRABAJO • Se
estiman tiempos y se realiza un calendario con horas de trabajo previstas • Se
definen los recursos que se necesitarán Auditoría de Sistemas de Información
guías de auditoría informática
son del tipo cualitativo-subjetivo. Están basadas en profesionales de gran
nivel de experiencia y formación, capaces de dictar recomendaciones técnicas,
operativas y jurídicas Auditoría de Sistemas de Información
FUNCIONES DE LA
AUDITORÍA INFORMÁTICA×Vigilancia y
evaluación mediante dictámenes×Evaluar
eficiencia, costo y seguridad en su más amplia visión (riesgos informáticos)×Operar
según el plan auditor×Utilizar
metodologías del tipo cualitativo Auditoría de Sistemas de Información
Es el reporte que el
auditor provee a las partes interesadas una vez finalizada la auditoría×Establece
el alcance, objetivos, período de cobertura, y la naturaleza y extensión del
trabajo de auditoría realizado.×Identifica la
organización, las partes interesadas y cualquier restricción acerca de su
distribución.×Incluye
resultados, conclusiones, recomendaciones y cualquier reserva o calificación
que el auditor tenga respecto de la auditoría. Auditoría de Sistemas de
Información
Es el medio formal
para comunicar los objetivos de la auditoría, las normas de auditoría
utilizadas, el alcance y resultados, conclusiones y recomendaciones de la auditoría.×
El reporte debe ser objetivo, claro, conciso, constructivo y oportuno.×
Existen esquemas recomendados con los requisitos mínimos aconsejables respecto
a estructura y contenido Auditoría de Sistemas de Información
La evidencia×Es
la base razonable de la opinión del Auditor Informático×Debe
ser: • Relevante • Fiable • Suficiente • Adecuada Auditoría de Sistemas de
Información
Identificación del
Informe2. Identificación del cliente3. Identificación de la entidad auditada
Auditoría de Sistemas de Información
Objetivos de la
auditoría informática • Declaración de los objetivos para identificar
propósito. • Si algún objetivo no fue satisfecho, éste hecho debe notificarse
en el reporte.2. Normativa aplicada y excepciones • Identificación de normas legales
utilizadas, excepciones de uso y el posible impacto de los resultados de la
auditoría Auditoría de Sistemas de Información
Alcance de la
Auditoría • Naturaleza y extensión del trabajo realizado • Identificación del
área de auditoría y el período cubierto • Sistemas de información, aplicaciones
o ambiente revisado • Limitaciones al alcance • Restricciones del auditado
Auditoría de Sistemas de Información
Conclusiones • Es la
evaluación del área auditada • Debe contener uno de los siguientes tipos de
opinión: favorable, con salvedades, desfavorable, denegada • Se deben expresar
recomendaciones para acciones correctivas. Auditoría de Sistemas de Información
Distribución del
Informe× El informe
debe identificar al auditado e indicar la fecha de emisión de éste.×
Especificar cuáles reportes son sólo para información, cuáles destinados a un
grupo como los auditores, panel de directores, gerencia y cuáles son destinados
a personas fuera de la institución (ejemplo, agencias de gobierno).×
El reporte debe también declarar cualquier restricción que haya para su
distribución Auditoría de Sistemas de Información
Comentarios
Publicar un comentario