REVISION PRELIMINAR:
Para la revisión preliminar en el área de informática, un primer paso es el desarrollo de la auditoria después de la etapa de la planeacion, cuyo objetivo de la revisión preliminar es el de obtener la información necesaria para que el auditor pueda proceder en el desarrollo de una auditoria; una vez finalizada la revisión preliminar el auditor puede realizar lo siguiente:
- Se debe hacer un diseño de una auditoria para evitar que en un evento que se presente este problema se de a la falta de competencia técnica.
- Revisión detallada de los controles internos de cada uno de los sistemas
- No confiar en los controles internos del sistema, desde el punto de vista costo – beneficio en realizar pruebas directamente y la duplicidad en los controles del área informática que existan en el área del usuario. El auditor decide cuales de las anteriores descripciones tiene mayor confianza y probar cada uno de ellos.
Se debe tener en cuenta que la revisión preliminar es la recolección de evidencias que se hace por medio de entrevistas al personal encargado de la instalación como también de la observación en cada una de las actividades instaladas y por ultimo la revisión de la documentación. La recolección de evidencias se la puede hacer por entrevistas o documentación narrativa, lo anterior será para la elaboración de un plan de trabajo para el buen desarrollo de la auditoria.
Se encuentra una diferencia entre auditor interno como auditor externo en los siguientes aspectos:
- El auditor interno requiere de menos revisiones y trabajos en lo que respecta en la parte gerencial y de organización, aplica los principio de eficiencia y eficacia con lo que se trabaja.
- El auditor externo se centra en las causas perdidas y en los controles necesarios para una mayor justificación.
- El auditor interno presenta debilidades en los controles como es el de proceder con las pruebas sustantivas y debe continuar con la siguiente etapa o fase de revisión detallada en la que permite hacer recomendaciones para el mejoramiento de los controles internos.
REVISION DETALLADA:
El objetivo en esta fase es le de obtener la información necesaria para que el auditor tenga mayor entendimiento en los controles usados dentro del área de informática; el auditor es quien debe decidir si continua en la elaboración de pruebas de consentimiento con el fin de obtener confianza por medio del sistema de control interno o se procede a la revisión de usuarios, lo que se conoce como pruebas compensatorias o pruebas sustantivas.
En algunos eventos el auditor puede hacer un análisis detallado, en la fase de evaluación detallada es importante para el auditor identificar las causas de las perdidas existentes en la instalación y los controles para reducir las perdidas; una vez terminada la revisión el auditor debe evaluar en que momento los controles reducen las perdidas el método de obtención de información al momento de la evaluación detallada es el mismo utilizado en la investigación preliminar.
Se encuentran diferentes formas para lograr los objetivos que se establece para el auditor externo como interno: el auditor interno debe considerar las causas de las perdidas que afectan la eficiencia y eficacia como también hacer una evaluación porque los controles escogidos son o no suficientes para reducir las perdidas esperadas; se debe hacer también una evaluación si los controles seleccionados son óptimos si provocan un sobre control o si se logra lo esperado usando menos controles o controles menos costosos, si los controles no son satisfactorios se debe señalar las recomendaciones necesarias para mejorar los controles necesarios.
EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN
Los auditores internos deberán relazar diferentes pasos como obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoria.
El proceso es el siguiente:
· Obtener la información de todos los asuntos relacionados son los objetivos de la auditoria.
· La información deberá ser suficiente, competente y relevante para que proporcione bases sólidas en relación con los hallazgos y recomendaciones de la auditoria. La información suficiente significa que está basada en hechos que son adecuados y convincentes para que una persona bien informada pueda llegar a las mismas conclusiones que el auditor. La información competente significa que es confiable y se puede obtener de la mejor manera usando técnicas de auditoria adecuadas. La información relevante apoya los hallazgos y recomendaciones de auditoria.
· Los procedimientos de auditoria, incluyendo el empleo de las técnicas de pruebas selectivas y el muestreo estadístico, deberán ser elegidos con anterioridad cuando esto sea posible y ampliarse o modificarse cuando estos lo requieran.
· El proceso de recabar analizar interpretar y documentar la información deberá supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas se cumplieron.
· Los documentos de trabajo deberán ser preparados por los auditores y revisados por la gerencia de auditoria. En estos se deberá registrar la información obtenida y el análisis realizado y deben apoyar las bases de los hallazgos de auditoria y las recomendaciones que se harán.
Los auditores deberán reportar los resultados. El auditor deberá discutir las conclusiones y recomendaciones en los niveles apropiados de la administración antes de emitir su informe final. Los informes pueden incluir recomendaciones para mejoras potenciales y reconocer el trabajo satisfactorio y medidas correctivas. Los puntos de vista de los auditores respecto a recomendaciones pueden incluirse en el informe de auditoría.
Los auditores internos realizaran el seguimiento de las recomendaciones, para asegurarse de que se tomaron las acciones apropiadas sobre hallazgos de auditoria reportados.
El director de auditoria en informática deberá establecer un programa para seleccionar y desarrollar los recursos, así:
· Descripciones de puestos en cada nivel de la auditoria.
· Selección de individuos calificados.
· Entrenamiento y capacitación profesional para cada uno de los auditores.
· Evaluación del trabajo de cada uno de los auditores por lo menos una vez al año.
· Asesoría a los auditores en lo referente a su trabajo y desarrollo profesional.
La auditoría interna y externa deberá coordinarse para asegurar la adecuada cobertura y para minimizar la duplicidad de esfuerzos. El propósito del departamento de auditoria interna es proporcionar una seguridad razonable de que el trabajo de auditoria está de acuerdo con los normas aplicables.
Un programa de control de calidad deberá incluir:
· Supervisión
· Revisiones internas
· Revisiones externas
La supervisión del trabajo de los auditores en informática deberá llevarse a cabo continuamente para asegurar que se está realizando su trabajo de acuerdo con las normas, políticas y programas de auditoria en informática.
Para evaluar la calidad de del trabajo de auditoria en informática deberán practicarse revisiones externas.
PRUEBAS DE CONSENTIMIENTO
El proceso de la prueba de consentimiento es determinar si los controles internos operan como fueron diseñados para operar. El auditor debe determinar si los controles en realidad existen y si realmente trabajan confiablemente.
Además de las técnicas manuales de recolección es muy frecuente que el auditor recurra a técnicas de recolección de información asistidas por computadora, para determinar la existencia y confiabilidad de los controles. Por ejemplo para determinar la existencia y confiabilidad de los controles de un sistema de red, se requerirá el entrar a la red y evaluar directamente al sistema.
PRUEBAS DE CONTROLES DEL USUARIO
Se puede presentar situaciones en las que el auditor no confié en los controles internos de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informatica. Las pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios.
PRUEBAS SUSTANTIVAS
El objetivo primordial de las pruebas sustantivas es obtener la evidencia suficiente para que el auditor pueda emitir su juicio durante el procesamiento de la información.
Se pueden identificar ocho diferentes pruebas sustantivas:
· Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad
· Pruebas para asegurar la calidad de los datos
· Pruebas para identificar la inconsistencia de los datos
· Pruebas para comparar con los datos o contadores físicos
· Confirmación de datos con fuentes externas
· Pruebas para confirmar la adecuada comunicación
· Pruebas para determinar falta de seguridad
· Pruebas para determinar problemas de legalidad
El auditor debe participar en tres estados del sistema
· Durante la fase de diseño del sistema
· Durante la fase de operación
· Durante la fase posterior a la auditoria
Para realizar una auditoría en informática el auditor necesita dividir los sistemas en una serie de subsistemas para identificar las actividades básicas que se realizan en estos subsistemas, además de hacer una evaluación de estos subsistemas tiene que llegar a una evaluación global sobre la confianza total del sistema.
Los pasos para realizar una auditoría manual son:
Primero se realiza una investigación preliminar del ares de informática, para lograr un entendimiento de cómo está siendo administrada la instalación.
Segundo si el auditor determina confiar en los controles internos del sistema, se realiza una investigación detallada.
Tercero el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos controles que son críticos.
Cuarto se realizan pruebas sustantivas de los procedimientos.
Finalmente el auditor debe dar una opinión.
Después de haber realizado estos pasos el auditor evalúa los controles internos del sistema y decide si debe proceder con pasos alternativos