Proceso de la auditoría informática

El proceso de la auditoría de informática o auditoría de TI, es decir, consiste en una serie de pasos, el cual nos dará como resultado el informe final de auditoría.

Fases del proceso de la auditoría informática

Fases del proceso de la auditoría informática
Fases del proceso de la auditoría informática

Fase I: Conocimientos del Sistema

1.1. Aspectos Legales y Políticas Internas.

  • Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el marco de referencia para su evaluación.

1.2. Características del Sistema Operativo.

Organigrama del área que participa, seguidamente del manual de funciones de las personas que participan en los procesos del sistema, finalmente los Informes de auditoría realizadas anteriormente.

1.3. Características de la aplicación de computadora

  • Manual técnico de la aplicación del sistema
  • Funcionarios (usuarios) autorizados para administrar la aplicación
  • Equipos utilizados en la aplicación de computadora
  • Seguridad de la aplicación (claves de acceso)
  • Procedimientos para generación, asimismo almacenamiento de los archivos de la aplicación.

Fase II: Análisis de transacciones y recursos

2.1. Definición de las transacciones.

  • Dependiendo del tamaño del sistema, las transacciones se dividen en procesos, seguidamente de subprocesos.
  • En consecuencia, según la importancia de las transacciones permitirá ser asignada con los administradores.

2.2. Análisis de las transacciones

  • Establecer el flujo de los documentos

En esta etapa se hace uso de los flujo gramas ya que facilita la visualización del funcionamiento y recorrido de los procesos.

2.3. Análisis de los recursos

  • Identificar seguidamente de codificar los recursos que participan en el sistema

2.4. Relación entre transacciones y recursos

Fase III: Análisis de riesgos y amenazas

3.1. Identificación de riesgos

  • Daños físicos o destrucción de los recursos
  • Pérdida por fraude o desfalco
  • Extravío de documentos fuente, archivos o informes
  • Robo de dispositivos o medios de almacenamiento
  • Interrupción de las operaciones del negocio
  • Pérdida de integridad de los datos
  • Ineficiencia de operaciones
  • Errores

3.2. Identificación de las amenazas

Amenazas sobre:

  • Los equipos, documentos fuente, finalmente sobre los programas de aplicaciones

3.3. Relación entre recursos/amenazas/riesgos

  • La relación entre estos elementos, en consecuencia deberá establecerse a partir de la observación de los recursos en su ambiente real de funcionamiento.

Fase IV: Análisis de controles

4.1. Codificación de controles

  • Los controles se aplican a los diferentes grupos utilizadores de recursos, a continuación se realiza la identificación de los controles.
  • Por lo tanto, estos deben contener una codificación la cual identifique el grupo al cual pertenece el recurso protegido.

4.2. Relación entre recursos/amenazas/riesgos

  • La relación con los controles debe establecerse para cada tema identificado, por lo tanto para cada tema debe establecerse uno o más controles.

4.3. Análisis de cobertura de los controles requeridos

  • Este análisis tiene como propósito determinar si los controles que el auditor identificó como necesarios proveen una protección adecuada de los recursos.

Fase V: Evaluación de Controles

5.1. Objetivos de la evaluación

  • Verificar la existencia de los controles requeridos, asimismo determinar la operatividad y suficiencia de los controles existentes

5.2. Plan de pruebas de los controles

  • Incluye la selección del tipo de prueba a realizar, por lo tanto se debe solicitarse al área respectiva, todos los elementos necesarios de prueba.

5.3. Pruebas de controles

  • Cada control existente debe ser sometido a prueba

5.4. Análisis de resultados de las pruebas

  • Por lo tanto, los resultados obtenidas de las pruebas de control serán analizados para la toma de decisiones.

Fase VI: Informe de Auditoria

6.1. Informe detallado de recomendaciones

  • En el informe final se tendrá detallado cada hallazgo, seguidamente de su respectiva recomendación

6.2. Evaluación de las respuestas

  • La empresa auditada dará respuestas de los hallazgos encontrados

6.3. Informe resumen para la alta gerencia

Este informe, por lo tanto, debe prepararse una vez obtenidas y analizadas las respuestas de compromiso de las áreas.

  • Introducción: objetivo y contenido del informe de auditoria
  • Objetivos de la auditoría
  • Alcance: cobertura de la evaluación realizada
  • Opinión: con relación a la suficiencia del control interno del sistema evaluado
  • Hallazgos
  • Recomendaciones

Fase VII: Seguimiento de Recomendaciones

7.1. Informes del seguimiento

7.2. Evaluación de los controles implantados

  • Fin de la sesión.
  • Revisión
  • Evaluación
  • Controles y las Medidas de Seguridad que se Aplican a los Recursos de un Sistema de Información
  • Auditoría Informática
  • Objetivos

Deja un comentario