TIPOS Y PLANEACIÓN DE AUDITORÍA

lunes, 28 de junio de 2010 | | | |
TIPOS Y PLANEACIÓN DE AUDITORÍA

Planeación

• La función de auditoría en informática debe generar un plan de proyectos que justifique su trabajo durante cierto tiempo, con parámetros lo más tangibles y mensurables posibles.

• Cada proyecto de AI respalda los objetivos y requerimientos de tres entidades del negocio en alto o bajo grado: Alta Dirección, Auditoria e Informática.

• Es muy importante la comunicación entre la función de auditoría en informática y la alta dirección, así como las direcciones o gerencias de auditoría o informática.

• Para elaborar un plan maestro de auditoría que asegure un apoyo permanente y eficiente, se debe tener en cuenta:

Crear un comité de control y seguimiento

Analizar los proyectos de negocio en forma conjunta.

Establecer fechas de reuniones formales e informales

Planeación de la Auditoria:

La primera norma Relativa a la Ejecución del Trabajo es: "El trabajo debe ser técnicamente planeado y debe ejercerse una supervisión apropiada sobre los asistentes, si los hubiere".

La planificación de la auditoría comprende el desarrollo de una estrategia global con base en el objetivo, alcance del trabajo y la forma en que se espera que responda la organización de la entidad que se proponga examinar.

El alcance con que se lleve a cabo la planificación varía según el tamaño y la complejidad de la entidad, de la experiencia que el auditor tenga de la misma, del conocimiento del tipo de actividad en que el ente se desenvuelve, de la calidad de la organización y del control interno de la entidad

Al planear su trabajo, debe considerar, entre otros asuntos los siguientes:

Planes y Objetivos.

Examinar y discutir con la dirección el estado actual de los planes y objetivos.

Organización.

a) Estudiar la estructura de la organización en el área que se valora.

b) Comparar la estructura presente con la que aparece en la gráfica de organización de la empresa, (si es que la hay).

c) Asegurarse de si se concede o no una plena estimación a los principios de una buena organización, funcionamiento y departamentalización.

Hacer un estudio para ver qué acción (en el caso de requerirse) debe ser emprendida para mejorar la eficacia de políticas y prácticas.

Reglamentos.

Determinar si la compañía se preocupa de cumplir con los reglamentos locales, estatales y federales.

Sistemas y Procedimientos.

Estudiar los sistemas y procedimientos para ver si presentan deficiencias o irregularidades en sus elementos sujetos a examen e idear métodos para lograr mejorías.

Controles.

Determinar si los métodos de control son adecuados y eficaces.

Operaciones.

Evaluar las operaciones con objeto de precisar qué aspectos necesitan de un mejor control, comunicación, coordinación, a efecto de lograr mejores resultados.

Personal.

Estudiar las necesidades generales de personal y su aplicación al trabajo en el área sujeta a evaluación.

Equipo Físico y su Disposición.

Determinar si podrían llevarse a cabo mejorías en la disposición del equipo para una mejor o más amplia utilidad del mismo.

Informe.

Preparar un informe de las deficiencias encontradas y consignar en él los remedios convenientes.

Proceso de la Planeación de la Auditoria

• Definir un conjunto proyectos de evaluación y verificación de políticas, controles y procedimientos inherentes a las áreas administrativas, financieras, operativas, etc. del negocio, con objeto de asegurar el buen manejo y administración de los recursos de la organización.

• En el negocio, los diferentes planes emanados del plan de auditoria son implantados y llevados a cabo en diferentes periodos, de acuerdo con los requerimientos y características del negocio.

• Los negocios deben tener un conjunto de políticas emanadas por la alta dirección que manifiesten la necesidad de contar con una función externa o interna del negocio que asegure la congruencia de todos lo estados financieros y contables con las operaciones y transacciones que se realicen en la empresa.

• Esta función ha de ser un área de control y aseguramiento, entidad independiente y capacitada.

Actividad Responsable de Ejecución Responsable del Seguimiento

Determinación de las áreas por auditar en el negocio Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Elaboración del Plan en Auditoria Informática Coordinador o supervisor de auditoría en informática Director o Gerente de auditoría en Informática

Ejecución del Plan en Auditoría en Informática Director o Gerente de auditoría en Informática Alta Dirección del Negocio

Presentación del Plan a la alta dirección Supervisor o auditores de Informática (externos o internos) Gerente o supervisores de la función de auditoría en informática

• La función de auditoría se ocupa de la planeación, ejecución y seguimiento de las

Políticas, controles y procedimientos establecidos por la alta dirección.

Tareas Básicas del proceso de planeación de auditoría en informática y responsabilidades

Proceso detallado de la planeación de Auditoria Informática

Depende del diagnóstico previo que haga el auditor en informática de la situación que prevalece en cada una de las áreas o servicios de la función de informática.

El diagnóstico de la situación informática previo, deberá ser breve y objetivo.

El objetivo principal es determinar las áreas de mayor riesgo de la función de informática con base a diferentes criterios.

Actividades sugeridas para el proceso

Elaboración, Documentación, Autorización y Difusión Formal del Plan de Auditoría en Informática.

Identificar el nivel de Riesgo de cada uno de los elementos que integran la función de informática (diagnóstico de la situación actual).

Las áreas a ser diagnosticadas pueden variar de acuerdo al tamaño y estructura del negocio.

Algunos Servicios:

Sistemas de Información en operación.

Administración de Hardware y software.

Desarrollo de Sistemas de Información.

Soporte a Usuarios (capacitación, asesoría, etc.)

Administración de Telecomunicaciones.

Investigación y desarrollo tecnológico.

Otros.

Consideraciones a tener en cuenta para efectuar el diagnóstico de la situación actual:

El auditor en informática ha de conocer de manera aceptable los aspectos relativos a auditoría e informática que deben tener cada una de las áreas de Informática.

Se apoyará en la visión de los principales Usuarios del negocio y del responsable de Informática.

Diagnostico de la Situación actual de los SI en Operación.

Manera de llevar el diagnostico:

Obtener una lista de los principales SI y de sus usuarios principales.

Obtener comentarios positivos y negativos de los usuarios de cada SI.

Registrar fallas más comunes del Sistema de computo.

Anotar fecha de liberación de Sistemas y su última auditoría.

Revisar la configuración del equipo donde fue instalado.

Se estudia su integración a otros SI.

Evaluar otros aspectos de interés del auditor.


Debilidades que pueden motivar la Auditoria de un SI

Primero: Que el sistema no haya sido liberado formalmente, lo que ocasiona desconocimiento.

Segundo: Que el sistema nunca haya sido auditado, esto sugiere una auditoria inmediata, intermedia o final.

Clasificación del Nivel de Riesgo que Representa el Uso de Hw y Sw

Los SI y los datos deben ser procesados en un ambiente tecnológico confiable, seguro y eficiente.

Equipos o Paquetes de Sw.

Mantenimiento de la tecnología del Equipo y Sw.

Diversos factores motivan la intensidad de la auditoria de Hw.

Evaluación del nivel de Riesgo que representa el uso inadecuado de Productos y Servicios

Se refiere al grado de conocimiento sobre uso de servicios, Sw y equipos.

Información de apoyo: Organigramas, descripción de puestos y políticas relacionadas a productos y servicios de informática.

Se debe determinar el grado de confianza del usuario con el manejo del sistema, paquetes de Sw y equipos.

Otros Aspectos: Telecomunicaciones, redes, automatización de procesos.

Estos se evalúan en base a estándares internacionales.

Considerar la proyección de uso que piensa darle el negocio a corto, mediano y largo plazo.

Tener en cuenta comentarios de personal especializado en el área.

Clasificación de Riesgos según criterios de la Función de Auditoría en Informática

Cumplimiento de Estándares.

Cumplimiento formal de políticas y procedimientos.

Grado de Satisfacción: Alta Dirección y personal usuario.

Prioridades de la alta dirección.

Prioridades de la función de auditoría en informática.

Otros de interés del auditor.

Elaboración de una matriz de Riesgos

Muestra las áreas de la función de informática susceptibles de auditoría.

Resultados en forma descendente.

Entidades o áreas con mayor y menor riesgo.

Elaboración de un Plan consolidado de Proyectos.

Fechas de inicio y final de cada Auditoria.

Etapas de cada auditoria.

Tareas principales de cada etapa.

Equipo de Trabajo (auditor, representantes, …)

Requerimientos (recursos, apoyo, capacitación, ...)

Revisión de la Matriz de Riesgos

Pronosticar proyectos de auditoría en informática con la gerencia.

Visto bueno antes de presentarlo a la alta dirección.

Se cubren los siguientes Aspectos:

Área por auditar, prioridad, Fechas de inicio y final, involucrados, responsables, fechas de revisión y otros.

Presentación del plan de proyectos a la alta dirección.

Tiene como finalidad:

Conocer los proyectos de auditoría informática.

Verificar contemplación de áreas fundamentales.

Compromiso de la alta dirección con los auditores.

Obtener la aprobación del plan de auditoría en informática por parte de la alta dirección.

Realización de cada proyecto de acuerdo con el plan de Auditoría en Informática.

Ejecución de actividades de seguimiento.

Revisión formal de cada proyecto.

Integración y formalización de Equipos de Trabajo.


Equipos Integrados por:
Gerente (s)  de las áreas usuarias que se evaluarán.
Gerente de la Función de Informática.
Líder del proyecto de la función de AI. Planeación
Proceso de Planeación, pilar de todas las actividades que se ejecutan en la organización

Pérdidas Irreparables - Decepciones

“Planear es una pérdida de tiempo y un recipiente de buenos deseos”.
Si no se planea el trabajo, es lógico pensar que tampoco se planean las anomalías y decepciones que dicho trabajo acarreará.

Problema, proyectos mediano-largo plazo:
 Falta de definición de función, responsabilidad, tiempos ni resultados.
“Dejemos de depender de la buena suerte”
No se vive de buenos deseos sino de metas claras, medibles y factibles.
Principal Beneficio: Poder asegurar, con alto grado de credibilidad, cuánto invertir y cuánto se obtendrá de beneficio; plazos claros y establecidos.
Un proceso formal contiene los siguientes elementos:
Etapas
Tareas
Actividades
Costos/Beneficios
Resultados esperados por actividad, tarea y etapa
Responsables de cada actividad ó tarea
Involucrados ó participantes
Revisiones Formales e informales
Técnicas para ejecutar actividades
Herramientas para realizar las actividades del proyecto
Requisitos mínimos para que la planeación en auditoría informática sea formal, permanente y exitosa:
 Involucramiento directo del auditor en informática en el proceso de planeación estratégica
 Requerimientos
 Tiempos
 Prioridades de cada proyecto
 Compromiso del responsable de auditoría para implementar un esquema de control y seguridad preventivo
y completo.
 Participación en el proceso de planeación de auditoría tradicional, para hacer control y medidas
correctivas. 
 Supresión de la participación:
 Riesgos de no planear la auditoría
 Responsables de tareas inadecuados
 Falta de compromiso de los involucrados en el proyecto
 Aparición de costos imprevistos
 Retrasos en la obtención de beneficios
 Mala calidad en los resultados
 Rotación del personal clave
 Inadecuada segregación de tareas y actividades, Etc. 
 Aprobación formal de la Alta Dirección del informe final de la Auditoría en Informática realizada
Se dará seguimiento oportuno y formal cada una de las recomendaciones contenpladas en el informe
Aplicación de políticas y controles estandarizados internacionalmente.
 Implantación del proceso de planeación de auditoría en informática, permanente. 

 Tipo de proyectos con responsables e involucrados sugeridos



Tipo de Proyectos
Responsables
Involucrados
  Auditoría
Financiera
Auditores internos o externos
Áreas de la empresa
Fiscal
Auditores internos o externos
Áreas de la empresa
Operativa
Auditores internos o externos
Áreas de la empresa
Auditoría en informática
Auditoría a sistemas de información
Auditores en informática internos o auditores externos
Informática, usuarios de los sistemas de información
Auditoría en seguridad
Auditores en informática internos o auditores externos
Informática, áreas usuarios de los recursos de informática
Auditoría en el mantenimiento de Hw y Sw
Auditores en informática internos o auditores externos
Áreas de operación informática y áreas usuarias


Metodología
Planificación 
Concentración de objetivos
Áreas que cubrirá
Personas de la organización que se involucrarán en el proceso de auditoría
Plan de trabajo:
Tareas 
Calendario 
Resultados parciales
Presupuesto
Equipo auditor necesario
Desarrollo de la auditoría
Entrevistas
Cuestionarios
Observación de las situaciones deficientes
Observación de los procedimientos
Fase de diagnóstico
Meditación sin contacto con la empresa auditada
Factor decisivo será la experiencia del equipo auditor
Se deben definir los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución
y mejora
Presentación de conclusiones:
Se han de argumentar y documentar lo suficiente para que no  puedan ser  refutadas durante la
discusión
Es especialmente delicada por el rechazo que puede provocar en la organización auditada. Se
debe esmerar el tacto
En ocasiones serán necesarias tomar decisiones desagradables, pero es misión del auditor
informar a la dirección de la forma más objetiva posible.
Formación del plan de mejoras
Resumen de las deficiencias encontradas
Recogerá las recomendaciones encaminadas a atenuar las deficiencias detectadas
Medidas a corto plazo: mejoras en plazo, calidad, planificación o formación
Medidas a medio plazo: mayor necesidad de recursos, optimización de programas o
documentación y aspectos de diseño
Medidas a largo plazo: cambios en políticas, medios y estructuras del servicio
Toda organización se ordena mediante:
Plan estratégico
Plan táctico
Planes operacionales
Objetivos de la auditoría informática:
Qué planes del CPD están coordinados con los planes generales
Revisar los planes de informática
Contrastar su nivel de realización
Determinar el grado de participación y responsabilidad de directivos y usuarios en la planificación