Proceso de la auditoría de un sistema de información

(Lardent, 2011) propone un modelo de auditoría para los

sistemas de información, el modelo consta de nueve pasos:

1. Planificación de auditoría. El primer paso para realizar una

auditoría es la planeación, en esta fase se decidirá qué
sector será auditado y se decidirá la estrategia a utilizar,
además se recolectara toda la información posible del
sistema a evaluar.
2. Evaluación de riesgos globales. Una vez que se ha
definido el área o sistema a auditar y con toda la información
pertinente se pasa a considerar todos los posibles riesgos
que puedan ocasionarse durante la auditoria.
3. Desarrollo de un programa de auditoría. En este paso se
definirá los pasos a seguir para realizar la auditoria, es decir
la metodología a aplicar.
4. Objetivos y procedimientos. Es importante definir cuáles
serán los objetivos que se buscaran con la realización de la
auditoria, además de una calara estipulación de los
procedimientos a aplicar en la auditoría.
5. Revisión de evidencias. En este paso se analizaran todas
las evidencias que se obtengan del sistema evaluado, se
desarrollaran los procedimientos previamente estipulados
para el manejo y documentación de la evidencia.
6. Localización de fortalezas y debilidades. Una vez que se
halla analizado la evidencia se procederá a determinar las
fortalezas y debilidades que tiene el sistema en su control.
7. Preparación de informe. En este paso se determinara los
puntos a tomar en el informe, así como la forma en que se
elaborara; es importante mencionar que este informe debe
elaborarse de forma clara y sencilla para que pueda ser
comprendido por todo el personal involucrado en el sector
auditado.
8. Preparación de informe de alta gerencia. En la
preparación y desarrollo del informe de alta tenencia se
debe plasmar la información competente para este nivel
jerárquico de la organización.
9. Seguimiento de acciones. Una vez que se han emitido los
reportes de la auditoria correspondiente y finalizada la
misma, se debe llevar un seguimiento de las acciones
correctivas a implementar.
¿Qué es una auditoría?

La definición de auditoría se basa en el examen de algún

proceso, mecanismo o sector, para ver cuál es su rendimiento.
Las auditorías siempre se han considerado como el examen y
control de la situación económica de la empresa, para saber qué
cosas van mal, qué cosas van bien y cómo se puede mejorar en
cualquiera de los puntos clave de la empresa. Auditar, se
entiende así, como someter las cuentas de una empresa a
examen para saber cómo está actualmente la empresa para
saber hacia dónde debe ir a partir de ese momento.
Conclusión
La auditoria en informática es la revisión y la evaluación de los controles, sistemas,
procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participan en el procesamiento de la información, a fin de
que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de
cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los
sistemas de información en general desde sus entradas, procedimientos, controles, archivos,
seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de
información, ya que proporciona los controles necesarios para que los sistemas sean confiables
y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de
centros de información, hardware y software).
 

Pasos para una ejecución de una auditoria de sistema de información

Técnica específica para auditoria de sistema de información:

Procedimientos generales de auditoria
Planificación de auditoria
Evaluación de riesgos globales
Desarrollo de un programa de auditoría ¨[objetivo de control, procedimiento de
auditoría ]
Revisión de evidencia
Evaluación de fortalezas y debilidad de control
Preparación informe de auditoria
Preparación informe de alta gerencia
Seguimiento de acciones correctivas

de aquí en adelante
Planificación de la auditoria: como ocurre en todo proyecto el primer paso de
que debe integrar un proceso de auditoría de sistemas de información es una
planificación adecuada por supuesto que para que la panificación resulte
adecuada debe conocerse con precisión el perfil de los objetivos que se persiguen
con dicha auditoria y los objetivos de control .los objetivo de control son validos
tanto para los sistema manuales como para los computarizados y por lo tanto son
las funciones de control se debe efectuar un proceso de conversación de
objetivos de control interno a procedimiento específicos de auditoría de sistema de
información .
Entre los aspectos que debe considerar el auditor de sistema de información en el
momento d la planificación .son
Conocimiento de negocio y su ambiente: saber qué es lo que se va a revisar y
sobre que se va a opinar; si bien la utilización de computación por parte de la
organización que será auditada no afectara el alcance del conocimiento del
negocio en lo que se refiere a las políticas de registración y la racionalidad de
estos financieros .sin embargo si puede afectar el alcance de los conocimiento del
negocio relacionado con: la identificación de posibles problemas relacionados con
la obtención de evidencias de auditoría .la identificación de posibles problemas de
negocios relacionado con el procedimiento electrónico de datos .la identificación
de áreas que requieren personal con experiencias especial.
Evidencia de auditoría y auditabilidad: es decir debe contar con la existencia
de fuentes verificables de evidencia de auditoría, que son necesarias para probar
los controles o para realizar procedimientos de pruebas de sustanciación. Pero
puede presentarse situaciones relacionadas con el procedimiento electrónico de la
información que originen problemas de audibilidad, los cuales deben considerarse
al formular un plan de auditoría. Estas son :entrada de datos solo legibles por
elemento de la maquina ,información legible por la maquina que solo se retiene
por un periodo limitado ,ausencia de documentos de entrada que dan comienzo al
flujo de transacciones [existe mayor complicación cuando el procedimiento es en
líneas ,sistemas de computación que no se presentan evidencias de que su
puesta en marcha fue precedida de pruebas de programas y de controles sobre
las conversiones de los archivo de datos ,salidas con importe de resumidos
formados por la sumatoria de varios importe parciales ,sin pistas visibles de
auditoría que la relacionen con las transacciones individuales ,
Las revisiones relacionadas con la existencia de fuentes de evidencia debe
llevarse a cabo: si las aplicaciones implementadas de sistema de información
afectan la disponibilidad y naturaleza de las fuentes de evidencias ,si sedan
previsto los controle necesarios a incorporar en los nuevos sistemas que se
encuentran en desarrollo ,lo mismo con respecto a los nuevos controles planeados
para la conversión de los sistemas en evidencia ,si se han planeado
modificaciones delo sistemas de información vigentes ,si se han planeado cambios
de equipos o de programas .

Factores que afectan la complejidad de una auditoria de sistemas de

información.
Factores:- objetivos de auditoría. Situaciones en que la expectativa respecto de
los resultados de la auditoria exceden los requerimientos para detectar errores
relevantes .tales como análisis de eficiencia.-evidencia de auditoría la ausencia de
salidas impresas con detalle de las transacciones o la falta de homogeneidad y
frecuencia en la aplicación de controles – característica de las aplicaciones de
computación :lógica de procedimiento compleja, incluso de fórmulas o cálculos no
explicados con claridad, generación interna de datos que ingresan
automáticamente sin evidencias o otra fase del proceso .-confiabilidad en los
controles .ausencia o debilidad de los controles requeridos por los sistema en
cuanto a responsabilidad del usuario como a los que deberían estar incorporados
a los sistemas -estabilidad de los sistemas de información la ejecución frecuente
de modificaciones a los sistemas en vigencia o introducción de nuevos-grado de
complejidad de los recursos informáticos utilización de tecnología sofisticad
{hardware, software]-Descentralización extendida transferencia de datos entre
múltiples puntos- técnicas de auditoría necesidad de aplicar técnica de auditoría
que incluyan el uso de las computadoras.
Selección del área o aplicación a auditar:
El auditor se puede enfrentar ante las disyuntivas de tener que seleccionar
establecer prioridades con respecto a que área de la auditoria o cual o cual
aplicación comenzar a auditar.
-nivel los activos controlados por el sistema: se refiere a la proporción de los
activos totales controlados por la aplicación.
-Dimensión de aplicación: el tiempo de uso de las maquinas, la magnitud de la
entrada de datos a procesar y de la programación, son también factores a
considerar.
-impacto sobre la toma decisiones .se relaciona con las decisiones que se basan
en información suministrar por los sistemas debe considerarse también, dentro de
la estructura organizacional, el nivel que ocupa el decisor que se apoya en esa
información.
-expectativa de la vida de la aplicación: en el caso d que en una aplicación se
haya tomado la decisión de remplazara por otra a corto plazo, ello significara que
la misma no estará contemplada prioritariamente en los planes de auditoría.
-sensibilidad de la información: se refiere fundamentalmente a datos de entrada, o
bien, a salida de información que debe ser entrada confidencialmente.
Riesgo y materialidad d auditoria: debe entenderse como la posibilidad de que la
información financiera pueda contener errores materiales, o bien, que el auditor de
sistemas de información pueda o no detectar un error que ha ocurrido.
-riesgo inherente: cuando un error se convierte en material es decir cuando se
combina con otros errores encontrados durante la auditoría no existen controles
compensatorios relacionados.
Riesgo de control .se denomina así cuando un error material no puede ser
evitado o detectado a tiempo por el sistema de control interno
-riesgo de detección: el riesgo que se corre cuando el auditor realiza pruebas
exitosas a partir de un procedimiento de pruebas inadecuadas

Procedimiento de control: se aplican el denominado procedimiento general de

control, que debe ser traducido a procedimiento particulares de control d sistemas
de información en el momento de la planificación de una auditoria.
-procedimiento general de control: para garantizar la adecuada autorización de
transacciones y actividades-
Para la utilización de documento y registros que garanticen la correcta registración
de las transacciones.- para salvaguardar el acceso a los activos e instalaciones.
Procedimiento de control de sistema de información.
-para control de organización general
Para acceso lógico y físico a datos y programas
-para aplicaciones de metodologías para el desarrollo de sistemas
-para las funciones del procedimiento de información
-para el control de calidad del procesamiento de datos
Carta de auditoría .el trabajo de auditoría exige el pleno apoyo de los niveles más
altos de las organizaciones .el mismo se traduce mediante dos tipos de
documento, en que esta actividad se denomina carta fundamental y carta
fundamental de proyecto .la carta fundamental define el grado de autoridad , el
alcance y responsabilidad de la función de auditoría .la carta fundamental del
proyecto determina los objetivos de auditoría de cada área o aplicación a auditar
.incluye el cronograma de actividades ,los recursos y areas que abarca el trabajo e
informes o formular .