Actividad 15 plan auditor informatico e informe de auditoría

7,156 views

Published on

Published in: Education
  • Be the first to comment

Actividad 15 plan auditor informatico e informe de auditoría

  1. 1. Metodologías de Auditoría Informática La metodología usada por el auditor interno debe ser diseñada y desarrollada por el propio auditor Se basa en su grado de experiencia y habilidad Se deben crear las metodologías necesarias para auditar los distintos aspectos definidos en el plan auditor informático Auditoría de Sistemas de Información
  2. 2. Plan Auditor InformáticoEs el esquema metodológico más importante del auditor informáticoDescribe todo sobre esta función y el trabajo que realiza Auditoría de Sistemas de Información
  3. 3. Partes del Plan Auditor InformáticoLas partes que lo componen deben ser al menos las siguientes: • Funciones • Procedimientos • Tipos de auditorías que realiza • Sistema de evaluación • Nivel de exposición • Lista de distribución de informes • Seguimiento de acciones correctoras • Plan de trabajo Auditoría de Sistemas de Información
  4. 4. Partes del Plan Auditor InformáticoFUNCIONES • Ubicación en el organigrama. • Deben describirse las funciones en forma precisa y la organización interna del departamento, con todos sus recursos Auditoría de Sistemas de Información
  5. 5. Partes del Plan Auditor InformáticoPROCEDIMIENTOS • Para las distintas tareas de las auditorías • Definición de debilidades, entrega del informe preliminar, cierre de la auditoría, redacción del informe final, etc. Auditoría de Sistemas de Información
  6. 6. Partes del Plan Auditor InformáticoTIPOS DE AUDITORÍAS que realiza • Metodologías y cuestionarios de las mismas • Ejemplo: revisión de la seguridad física, de controles internos, de la aplicación de facturación, etc. • Existen tres tipos, según el alcance:  Full o Completa de un área Limitada a un aspecto Comprobación de acciones correctivas de auditorías anteriores (Corrective Action Review) Auditoría de Sistemas de Información
  7. 7. Partes del Plan Auditor Informático SISTEMA DE EVALUACIÓN y los distintos aspectos que evalúa • Se deben definir varios aspectos (gestión económica, de RH, cumplimiento de normas) • Se debe realizar una evaluación global de resumen para toda la auditoría (Bien, Regular, Mal, significando la visión del grado de gravedad) • evaluación determina la fecha de repetición de la auditoría en el futuro, dependiendo del nivel de exposición encontrado. Auditoría de Sistemas de Información
  8. 8. Partes del Plan Auditor InformáticoNIVEL DE EXPOSICIÓN • Nos permite definir la fecha de repetición de una auditoría dependiendo de la evaluación final de la última realizada • Puede significar la suma de factores como impacto, peso del área, situación de control en el área Auditoría de Sistemas de Información
  9. 9. Partes del Plan Auditor InformáticoLISTA DE DISTRIBUCIÓN DE INFORMES. • Se define la cantidad de informes con el resultado final de la auditoría que se van a distribuir Auditoría de Sistemas de Información
  10. 10. Partes del Plan Auditor InformáticoSEGUIMIENTO DE ACCIONES CORRECTIVAS • Dependiendo de las acciones correctivas sugeridas en el informe final, se realiza un adecuado seguimiento. Auditoría de Sistemas de Información
  11. 11. Partes del Plan Auditor InformáticoPLAN DE TRABAJO • Se estiman tiempos y se realiza un calendario con horas de trabajo previstas • Se definen los recursos que se necesitarán Auditoría de Sistemas de Información
  12. 12. Las metodologías de auditoría informáticason del tipo cualitativo-subjetivo. Estánbasadas en profesionales de gran nivel deexperiencia y formación, capaces de dictarrecomendaciones técnicas, operativas yjurídicas Auditoría de Sistemas de Información
  13. 13. FUNCIONES DE LA AUDITORÍA INFORMÁTICAVigilancia y evaluación mediante dictámenesEvaluar eficiencia, costo y seguridad en su más amplia visión (riesgos informáticos)Operar según el plan auditorUtilizar metodologías del tipo cualitativo Auditoría de Sistemas de Información
  14. 14. El Informe de AuditoríaEs el reporte que el auditor provee a las partes interesadas una vez finalizada la auditoríaEstablece el alcance, objetivos, período de cobertura, y la naturaleza y extensión del trabajo de auditoría realizado.Identifica la organización, las partes interesadas y cualquier restricción acerca de su distribución.Incluye resultados, conclusiones, recomendaciones y cualquier reserva o calificación que el auditor tenga respecto de la auditoría. Auditoría de Sistemas de Información
  15. 15. El Informe de Auditoría Es el medio formal para comunicar los objetivos de la auditoría, las normas de auditoría utilizadas, el alcance y resultados, conclusiones y recomendaciones de la auditoría. El reporte debe ser objetivo, claro, conciso, constructivo y oportuno. Existen esquemas recomendados con los requisitos mínimos aconsejables respecto a estructura y contenido Auditoría de Sistemas de Información
  16. 16. La evidenciaEs la base razonable de la opinión del Auditor InformáticoDebe ser: • Relevante • Fiable • Suficiente • Adecuada Auditoría de Sistemas de Información
  17. 17. El Informe de Auditoría1. Identificación del Informe2. Identificación del cliente3. Identificación de la entidad auditada Auditoría de Sistemas de Información
  18. 18. El Informe de Auditoría1. Objetivos de la auditoría informática • Declaración de los objetivos para identificar propósito. • Si algún objetivo no fue satisfecho, éste hecho debe notificarse en el reporte.2. Normativa aplicada y excepciones • Identificación de normas legales utilizadas, excepciones de uso y el posible impacto de los resultados de la auditoría Auditoría de Sistemas de Información
  19. 19. El Informe de Auditoría1. Alcance de la Auditoría • Naturaleza y extensión del trabajo realizado • Identificación del área de auditoría y el período cubierto • Sistemas de información, aplicaciones o ambiente revisado • Limitaciones al alcance • Restricciones del auditado Auditoría de Sistemas de Información
  20. 20. El Informe de Auditoría1. Conclusiones • Es la evaluación del área auditada • Debe contener uno de los siguientes tipos de opinión: favorable, con salvedades, desfavorable, denegada • Se deben expresar recomendaciones para acciones correctivas. Auditoría de Sistemas de Información
  21. 21. Distribución del Informe El informe debe identificar al auditado e indicar la fecha de emisión de éste. Especificar cuáles reportes son sólo para información, cuáles destinados a un grupo como los auditores, panel de directores, gerencia y cuáles son destinados a personas fuera de la institución (ejemplo, agencias de gobierno). El reporte debe también declarar cualquier restricción que haya para su distribución Auditoría de Sistemas de Información

×