Metodología Auditoría de Sistemas

AUDITORÍA DE SISTEMAS DE INFORMACIÓN

METODOLOGÍAS DE

AUDITORÍA DE SISTEMAS

METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN

METODOLOGIA TRADICIONAL: CUESTIONARIO

El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar

La evaluación consiste en identificar la existencia de

unos controles establecidos o estandarizados


El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser

cuantificados y valorados

de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema

sobre la exactitud, integridad y procesamiento de la información

METODOLOGIA basada en la EVALUACIÓN de RIESGOS


ELEMENTOS PRINCIPALES

OBJETIVOS de CONTROL

EVALUACIÓN de RIESGOS

TECNICAS de CONTROL

PRUEBAS INDEPENDIENTES

CONCLUSIONES SUSTENTADAS


OBJETIVO de CONTROL

El objetivo de todo control es la REDUCCIÓN del

RIESGO


(Políticas y Procedimientos)

Por cada objetivo de control/riesgo

potencial se deben identificar las

técnicas de control existentes que deben minimizar el riesgo,

logrando cumplir así, el objetivo de control

TECNICAS de CONTROL


ENTORNO GENERAL de CONTROL

CONTROLES en determinadas APLICACIONES

Procesos de negocio automatizados


CONTROLES de APLICACIÓN

ENTRADA PROCESO

SALIDA


CONTROLES PREVENTIVOS

CONTROLES DETECTIVOS

CONTROLES CORRECTIVOS


PRUEBAS

Permiten obtener evidencia y

verificar la consistencia de los controles existentes y

también medir el riesgo por deficiencia de estos o por su

ausencia


PRUEBAS

de CUMPLIMIENTO

SUSTANTIVAS


TÉCNICAS GENERALES1.ENTREVISTAS

2.REVISIONES de DOCUMENTOS

3.EVALUACION de RIESGOS y CONTROLES

4.MUESTREO ESTADISTICO

5.VERIFICACIONES de CALCULOS

6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS

7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO


Son productos de software que permiten al auditor

OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas

que diseñen

TÉCNICAS ESPECÍFICAS


HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL

1.Software de auditoría o de revisión de productos determinados o plataformas

Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y

su relación con respecto a la seguridad y protección del software y de la información


2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.

Estos productos utilizados habitualmente por los auditores operativos o financieros,

permiten extraer datos concretos o en base a muestras estadísticas

HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL


UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL

de la INSTALACIÓN AUDITADA

Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.

Productos específicos de rendimiento, control, calidad instalados en la plataforma

a auditar: lenguajes de interrogación, software de librerías, depuradores de

software, etc.


SECUENCIA del PROCESO

de una AUDITORÍA de de una AUDITORÍA de SISTEMAS de SISTEMAS de INFORMACIÓNINFORMACIÓN


IDENTIFICACIÓN y EVALUACIÓN de RIESGOS POTENCIALES

OBJETIVO de la AUDITORÍA

DEFINICION del ALCANCE

RECURSOS y TIEMPO

RECOPILACION de INFORMACIÓN BÁSICA

I


REALIZACION de PRUEBAS y OBTENCIÓN de RESULTADOS

PROGRAMA de AUDITORÍA

IDENTIFICACION de ÁREAS CRÍTICAS y CONTROLES FUERTES

PRUEBAS y TÉCNICAS a UTILIZAR

II


INFORME

EVALUACIÓN de RESULTADOS y CONCLUSIONES

CONSIDERACIÓN de OTROS CONTROLES COMPENSATORIOS o

PRUEBAS ADICIONALES

REVISIÓN y CIERRE de PAPELES de TRABAJO

III


EVIDENCIAS, RESULTADOS y CONCLUSIONES

Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría

EVIDENCIAS:PERTINENTES y SUFICIENTES

FEHACIENTES

VERIFICACIÓN de resultados

INTERRELACIÓN con otros resultados


Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada

POR EJEMPLO:

Puede haber limitaciones de recursos, en la realización de pruebas, en la

disponibilidad de la evidencia.........Puede haber controles alternativos que

el auditor no haya detectado..............


Deben incluir

DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA

de solución

CUANTIFICACIÓN del riesgo

CONEXIÓN con objetivo y otras deficiencias


PAPELES de TRABAJO de la Auditoría de SI


Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar

METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de

auditoríaPRUEBAS realizadas y

CRITERIOS utilizados

RESULTADOS de las pruebas


LIMITACIONES en las tareas realizadas

DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y

FALTA de CONSISTENCIA o claridad en las conclusiones


Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos

Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES

Es recomendable obtener junto con la presentación del borrador, una contestación o

confirmación del área auditada /cliente /organización

INFORME


Reglas en la preparación de Informes

• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...

• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......

y • frases con contenido y breves......

Metodología Auditoría de Sistemas

Documents

Transcript of Metodología Auditoría de Sistemas