PROCESOS DE AUDITORIA EN SISTEMAS

PROCEDIMIENTOS DE AUDITORIA SE SISTEMAS

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoría que consta de objetivos de control y procedimientos de auditoría que deben satisfacer esos objetivos. El proceso de auditoría exige que el auditor de sistemas reúna:

PLANIFICACIÓN DE LA AUDITORIA

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoria, así como los riesgos del negocio y control asociado. 

ÁREAS QUE DEBEN SER CUBIERTAS DURANTE LA PLANIFICACIÓN DE LA AUDITORÍA:

a. Comprensión del negocio y de su ambiente.

El auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan. El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Por ejemplo, a un banco se le exigirá requisitos de integridad de sistemas de información y de control que no están presentes en una empresa manufacturera. Los pasos que puede llevar a cabo un auditor de sistemas para obtener una comprensión del negocio son: Recorrer las instalaciones del ente. Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas aferentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditorias anteriores.

b. Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que lainformación pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido. Los riesgos en auditoría pueden clasificarse de la siguiente manera: Riesgo inherente: Cuando un error material no se puede evitarque suceda por que no existen controles compensatorios relacionados que sepuedan establecer. Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno. Riesgo de detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra "material" utilizada concada uno de estos componentes o riesgos, se refiere a un error que debeconsiderarse significativo cuando se lleva a cabo una auditoría. En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado, así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo. Pero, si el tamaño de la muestra es lo suficientemente grande, o se utilizaprocedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección. De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material Evidencia evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, Y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia

para todo el sistema. La materialidad en la auditoría de sistemas debe serconsiderada en términos del impacto potencial total para el ente en lugar de alguna medida basado en lo monetario.

c. Técnicas de evaluación de Riesgos

Al determinar que áreas funcionales o temas de auditoría que deben auditarse, el auditor de sistemas puede enfrentarse ante una gran variedad de temas candidatos a la auditoría, el auditor de sistemas debe evaluar esos riesgos y determinar cuáles de esas áreas de alto riesgo debe ser auditada. Existen cuatro motivos por los quese utiliza la evaluación de riesgos, estos son: Permitir que la gerencia asignerecursos necesarios para la auditoría. Garantizar que se ha obtenido la información pertinente de todos los niveles gerenciales, y garantiza que las actividades de lafunción de auditoría se dirigen correctamente a las áreas de alto riesgo yconstituyen un valor agregado para la gerencia. Constituir la base para laorganización de la auditoría a fin de administrar eficazmente el departamento. Proveer un resumen que describa como el tema individual de auditoría se relaciona con la organización global de la empresa, así como los planes del negocio.

d. Objetivos de controles y objetivos de auditoría

El objetivo de un control es anular un riesgo siguiendo alguna metodología, el objetivo de auditoría es verificar la existencia de estos controles y que estén funcionando de manera eficaz, respetando las políticas de la empresa y los objetivos de la empresa. Así pues, tenemos por ejemplo como objetivos de auditoría de sistemas los siguientes: La información de los sistemas de información deberá estar resguardada de acceso incorrecto y se debe mantener actualizada. Cada una de las transacciones que ocurren en los sistemas es autorizada y es ingresada una sola vez. Los cambios a los programas deben ser debidamente aprobados y probados. Los objetivos de auditoría se consiguen mediante los procedimientos de auditoría.

e. Procedimientos de auditoría.

Algunos ejemplos de procedimientos de auditoría son: Revisión de la documentación de sistemas e identificación de los controles existentes. Entrevistas con los especialistas técnicos a fin de conocer las técnicas y controles aplicados. Utilización de software de manejo de base de datos para examinar el contenido delos archivos de datos. Técnicas de diagramas de flujo para documentar aplicaciones automatizadas.

Desarrollo del programa de auditoría.

 Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:

a. Tema de auditoría:

Donde se identifica el área a ser auditada.

 b. Objetivos de Auditoría:

Donde se indica el propósito del trabajo de auditoría a realizar.

 c. Alcances de auditoría:

Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado.

d. Planificación previa:

Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo, así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.

e. Procedimientos de auditoría:

• Recopilación de datos.

• Identificación de lista de personas a entrevistar.

• Identificación y selección del enfoque del trabajo

 • Identificación y obtención de políticas, normas y directivas.

• Desarrollo de herramientas y metodología para probar y verificar los controles existentes.

• Procedimientos para evaluar los resultados delas pruebas y revisiones.

• Procedimientos de comunicación con la gerencia.

• Procedimientos de seguimiento.

El programa de auditoría se convierte también en una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. Generalmente tiene la siguiente estructura:

Procedimientos de Auditoría Lugar Papeles Trabajo Referencia Hecho Por. Fecha 

Los procedimientos involucran pruebas de cumplimiento o pruebas sustantivas, salde cumplimiento se hacen para verificar que los controles funcionan de acuerdo a las políticas y procedimientos establecidos y las pruebas sustantivas verifican si los controles establecidos por las políticas o procedimientos son eficaces.

Asignación de Recursos de auditoría.

La asignación de recursos para el trabajo de auditoría debe considerar las técnicasde administración de proyectos las cuales tienen los siguientes pasos básicos. Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible. Contrastar la actividad actual con la actividad planificada en el proyecto, debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas. El control se puede llevaren un diagrama de Gantt. Así mismo las hojas de control de tiempo son generalmente como sigue:

Documentación y evidencia de auditoría

1.  Documentación de auditoría (documentos de trabajo)

El Auditor deberá elaborar, de conformidad con la ISAE 3000, la documentación de la auditoría, en la que se incluirá:

·         un registro suficiente y adecuado de la base del informe del auditor; y

·         pruebas de que la auditoría se ha planificado y realizado de conformidad con las ISAs y los requisitos legales y reglamentarios aplicables.

La documentación de auditoría o los documentos de trabajo comprende el registro de los procedimientos de auditoría aplicados, la evidencia de auditoría pertinente obtenida, y las conclusiones alcanzadas por el Auditor. El expediente de auditoría comprende una o más carpetas u otros medios de almacenamiento físico o en formato electrónico, con los registros de los documentos de auditoría o los documentos de trabajo para un determinado encargo.

2 Evidencia de auditoría

El Auditor debe garantizar, de conformidad con la ISAE 3000, que se recaba una evidencia de auditoría en apoyo de la opinión del Auditor y pruebas de que la auditoría se llevó a cabo de conformidad con el Marco internacional para encargos de fiabilidad y las normas internacionales sobre encargos de fiabilidad («ISAE 3000») para encargos de fiabilidad distintos de las auditorías o revisiones de información financiera histórica de la IFAC.

El Auditor deberá recoger una evidencia de auditoría suficiente y adecuada en apoyo de los hallazgos de la auditoría y que le permita llegar a conclusiones razonables sobre las que fundamentar su opinión. El Auditor se basará en su juicio profesional para determinar si la evidencia de auditoría es suficiente y adecuada a la luz de las Condiciones Contractuales.

3   Conservación de la documentación de auditoría (documentos de trabajo)

El Auditor deberá conservar los expedientes y los documentos de trabajo de la auditoría relativos al encargo (incluidos los justificantes de los honorarios y gastos vinculados a la auditoría, como las facturas de hotel, tarjetas de embarque, billetes de transporte, hojas de tiempo trabajado, etc.), para que la Comisión pueda examinarlos, y ello durante un período de 5 años a partir de la fecha del último pago efectuado por la Comisión en favor del Auditor.  La Comisión, previa petición y de conformidad con la legislación vigente en el país en el que se encuentre la Oficina responsable de la auditoría, tendrá acceso a los documentos de auditoría dentro de este período de 5 años.

4   Acceso a los registros y documentos de la Entidad

El Auditor deberá disponer en todo momento de un acceso total e ilimitado a todos los registros y documentos (incluidos los registros contables, los contratos, las actas de las reuniones, los extractos bancarios, las facturas, etc.), a los empleados y a los locales de la Entidad, en la medida en que ello sea posible y relevante para la auditoría del proyecto. Podrá pedir a la Entidad que le ponga en contacto con los bancos (para obtener, por ejemplo, una confirmación bancaria), asesores y demás personas o empresas contratadas por la Entidad.