3.

1-Planear el trabajo a realizar2-Comprension de la Aplicacin3-Evaluar los controles existentes4-Planeacion y diseo de pruebas de Auditoria5-Ejecutar pruebas de auditoria6-Evaluar resultados de pruebas de auditoria7-Informar los resultados de las pruebas de Auditoria.8-Seguimiento y asesora para la implantacin de recomendaciones3.Etapas de la Metodologa de Auditoria de las Aplicaciones en Funcionamiento1Lo primero es definir una estrategia de auditoria que conduzca al logro de unos objetivos concretos para satisfacer las expectativas de la gerencia en el menor tiempo posible. La mejor estrategia es aquella que se disea de acuerdo con normas y principios de auditoria de aceptacin general.Para proyectar la estrategia se elabora un plan de trabajo que consta de dos puntos:1-El documento de la planeacin de la Auditoria2-Un cronograma de Actividades (Grafico de Gantt)1-PLANEAR EL TRABAJO A REALIZAR22El documento de planeacin el cual se entrega un modelo a continuacin y debe ser diligenciado por el supervisor del trabajo de la forma como se explica en paginas anexas al modelo.1-PLANEAR EL TRABAJO A REALIZAR3En esta etapa se determinan caractersticas tcnicas y operativas de la aplicacin objeto de auditoria y su importancia para los objetivos y metas de la organizacin.En formularios diseados para tal fin (el cual se entrega modelo) se registra y organiza informacin sobre:1-Objetivos, alcance y tamao2-Estructura y tecnologa3-Satisfaccion de usuarios4-Esfuerzo de auditoria necesario.2-COMPRENSION DE LA APLICACION4Cmo se obtiene esta informacin?El auditor necesita entrevistar al personal de sistemas encargado de la aplicacin y a los usuarios.Los formatos pueden ser entregados con anticipacin a los funcionarios, para que los diligencien y los devuelvan al auditor antes de las entrevistas.Que otra informacin se necesita?El auditor debe obtener los grficos de la organizacin de la empresa y de la direccin de informtica, para precisar como estn distribuidas las funciones y responsabilidades para el manejo de la aplicacin en cada centro de procesamiento donde este instalada.2-COMPRENSION DE LA APLICACION5Si es la primera vez que se audita la aplicacin, la informacin obtenida se organiza en un archivo de papeles de trabajo denominado Archivo permanente o expediente continuo de la aplicacin. En caso contrario, el trabajo consiste en revisar y actualizar el archivo existente con los cambios que se han efectuado a la aplicacin desde la ultima auditoria. Se entrega una gua para elaborar este archivo.2-COMPRENSION DE LA APLICACION6Adems se deber obtener la siguiente informacin:Dependencias involucradas en el manejo de la aplicacinInventario de documentos fuentesInventario de documentos que produceNormas legales e institucionales que rigen el funcionamiento de la aplicacinInterfaces de la aplicacin con otros sistemasProcesos manuales y automatizados que realiza la aplicacinPerfil tcnico de la aplicacinPersonal clave para el manejo de la aplicacinInventario de manuales de documentacin existenteInformacin sobre fraudes que se haya presentado.72-COMPRENSION DE LA APLICACIONEsta etapa tiene como propsito evaluar los procedimientos y practicas de control establecidos por la organizacin, en los trece (13) escenarios de riesgo de las aplicaciones en funcionamiento.En la practica, esta evaluacin se realiza a las actividades de la aplicacin que se desarrollan en los centros de procesamiento, la fuentes de la informacin y las dependencias que utilizan los resultados producidos por el computador y en los enlaces entre estas unidades funcionales.83.EVALUAR LOS CONTROLES EXISTENTESEvaluar los controle existentes significa emitir una opinin respecto a si estos son suficientes y efectivos para reducir la probabilidad de ocurrencia de situaciones indeseables y/o minimizar el impacto de las que no pueden evitarse. Por lo tanto esta etapa se debe en primer lugar determinar los riesgos inherentes a la aplicacin y luego determinar si los controles son apropiados.93.EVALUAR LOS CONTROLES EXISTENTESEste tema ya se vio en clases anteriores103.1.Conceptos sobre riesgos, causas del riesgo, situaciones de riesgo y efecto de las causas del riesgoSe hace para cada uno de los escenarios de riesgo de la aplicacin objeto de la auditoria, empleando una de las dos alternativas siguientes:1-Utilizando el mtodo de anlisis de riesgo, y 2-Con base en Cheklists113.1.1.Metodologia para evaluar los controles existentesPasos a seguir:Identificar universo de transacciones de la aplicacinIdentificar actividades sujetas a control.Identificar controles existentes, debilidades. de control y situaciones de riesgo.Elaborar planillas de anlisis de riesgoEmitir diagnostico y recomendaciones de emergencia.123.1.1.1 Por el mtodo de anlisis de riesgoConsiste en identificar los tipos de operaciones que se realizan para actualizar y /o dar mantenimiento a los archivos de la aplicacin, en el departamento de sistemas y en las reas que generan la informacin.Por Ejemplo para una aplicacin del departamento de personal que genera, entre otras, las siguientes transacciones para el sistema: Ingresos, retiros, aumento de sueldos y horas extras.13

1.Identificar universo de transacciones de la aplicacin

Consiste en elaborar una lista de las actividades manuales y automatizadas que se realizan con las transacciones de actualizacin y/o mantenimiento en los trece (13) escenarios de riesgo de la aplicacin (o en los que apliquen para la aplicacin). Para evitar la omisin de actividades importantes, es necesario revisar el recorrido o flujo de la transaccin, desde su origen hasta la utilizacin, archivo y reemplazo de los resultados del procesamiento. Para cada una de las transacciones debe identificarse ASC en la entrada, el procesamiento y las salidas de la aplicacin.

142.Identificar actividades sujetas a controlEsta lista se elabora en un formulario como el siguiente: IDENTIFICACION DE ACTIVIDADES SUJETAS A CONTROL (ASC)APLICACIN:_____________________________________________TRANSACCION___________________________________________ACTIVIDADESSUJETAS A CONTROL________________________ 1. 2. 3. 4. 5.

152.Identificar actividades sujetas a controlPara cada una de las transacciones de actualizacin y/o mantenimiento se elaboran flujogramas de control en los centros para mostrar el flujo de la transaccin, se combinan las reas y las dependencias involucradas y los documentos, archivos de datos de computador y lneas de comunicacin portadoras de la informacin.163.Identificar Controles existentes, Situaciones de riesgo y debilidades de controlSobre los flujogramas se identifican:Los controles existentes con un triangulo sin sombrear y un cdigo numrico.Las debilidades de control, con un triangulo sombreado y un cdigo numrico.Las situaciones de riesgo con un rectngulo y un cdigo numrico173.Identificar Controles existentes, Situaciones de riesgo y debilidades de controlEn hojas separadas del flujograma, como las que se indican a continuacin se describen los controles existentes, las debilidades de control y las situaciones de riesgo identificadas.A cada una de estas variables se le asigna el numero secuencial que ser la referencia cruzada con el flujograma.183.Identificar Controles existentes, Situaciones de riesgo y debilidades de control IDENTIFICACION DE CONTROLES EXISTENTESAPLICACIN:___________________________________TRANSACCION________________________________CONTROLES EXISTENTES: 1. 2. 3. 4. 5.

193.Identificar Controles existentes, Situaciones de riesgo y debilidades de controlIDENTIFICACION DE DEBILIDADES DE CONTROLAPLICACIN:____________________________TRANSACCION________________________________DEBILIDADES EXISTENTES: 1. 2. 3. 4. 5.

203.Identificar Controles existentes, Situaciones de riesgo y debilidades de controlIDENTIFICACION DE SITUACIONES DE RIESGOAPLICACIN:____________________________TRANSACCION____________________________SITUACIONES DE RIESGO: 1. 2. 3. 4. 5.

213.Identificar Controles existentes, Situaciones de riesgo y debilidades de control