Proceso de Auditoria de Sistemas

Proceso sistemático, independiente, documentado, para obtener evidencia y evaluarla objetivamente, con el fin de determinar en qué grado se cumplen los criterios de la auditoria.

Sistemático: No aleatorio, metódico, ordenado, las auditorias son una actividad planificada y programada.

Se requieren varios pasos para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos globales y luego desarrollar un programa de auditoria que consta de objetivos de control y procedimientos de auditoria que debe satisfacer esos objetivos.

El proceso de auditoría exige que el auditor de sistemas reúna:

Planificación de Auditoria

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría, así como los riesgos del negocio y control asociado.

Área que debe ser cubierta Durante la Planificación de la Auditoria:

Comprensión del negocio y de su ambiente.

El auditor de sistemas debe tener una comprensión de suficiente del ambiente total que se revisa. Debe incluir una comprensión general de las diversas prácticas comerciales y funciones relacionadas con el tema de la auditoría, así como los tipos de sistemas que se utilizan.

El auditor de sistemas también debe comprender el ambiente normativo en el que opera el negocio. Recorrer las instalaciones del negocio. 

Lectura de material sobre antecedentes que incluyan publicaciones sobre esa industria, memorias e informes financieros. Entrevistas a gerentes claves para comprender los temas comerciales esenciales. Estudio de los informes sobre normas o reglamentos. Revisión de planes estratégicos a largo plazo. Revisión de informes de auditoría anteriores.

Riesgo y materialidad de auditoría.

Se puede definir los riesgos de auditoría como aquellos riesgos de que la información pueda tener errores materiales o que el auditor de sistemas no pueda detectar un error que ha ocurrido.

Los riesgos en auditoría pueden clasificarse de la siguiente manera:

Riesgo Inherente: Cuando un error material no se puede evitar que suceda por que no existen controles compensatorios relacionados que se pueda establecer.

Riesgo de Control: Cuando un error material no puede ser evitado o detectado en forma oportuna por el sistema de control interno.

Riesgo de Detección: Es el riesgo de que el auditor realice pruebas exitosas a partir de un procedimiento inadecuado. El auditor puede llegar a la conclusión de que no existen errores materiales cuando en realidad los hay. La palabra material utilizada

Concada uno de estos componentes o riesgos, se refiere a un error que debe considerarse significativo cuando se lleva a cabo una auditoría.

En una auditoría de sistemas de información, la definición de riesgos materiales depende del tamaño o importancia del ente auditado, así como de otros factores. El auditor de sistemas debe tener una cabal comprensión de estos riesgos de auditoría al planificar. Una auditoría tal vez no detecte cada uno de los potenciales errores en un universo.

Pero, si el tamaño de la muestra es lo suficientemente grande, o se utiliza procedimientos estadísticos adecuados se llega a minimizar la probabilidad del riesgo de detección.

De manera similar al evaluar los controles internos, el auditor de sistemas debe percibir que en un sistema dado se puede detectar un error mínimo, pero ese error combinado con otros, puede convertiré en un error material Evidencia evalúe fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, Y que prepare un informe de auditoría que presente esos temas en forma objetiva a la gerencia

Entre las evaluaciones de los equipos de cómputo se debe de contar con Capacidades, utilización, nuevos proyectos y seguridad física y lógica.

Debemos examinar las áreas críticas y podemos observar

1.     La distribución de carga del mismo.

2.     Establecerá los motivos.

3.     Objetivos.

4.     Alcance recurso que usara.

5.     Definirá la metodología de trabajo.

6.     La duración de Auditoria.

7.     Presentará el plan de trabajo.

8.     Analizara detalladamente cada problema de distintas áreas de trabajo.

Dentro del informe debe contener: motivos de auditoria, objetivos, alcances, estructura orgánica, funcional del área informática, configurar el Hardware y los softwares instalados, el control interno, el resultado de los auditores y el caso práctico.