Auditoria
Debo hacer un trabajo para la asignatura sistemas de información, este consiste en la investigación de los principales procesos para llevar a cabo una auditoria, su objetivo, quienes participan, y de donde se saca toda la información para realizarla, desde ya gracias. Chao.
1 respuesta
Respuesta de kuerti
1
Te comento brevemente punto por punto y te ofrezco los documentos que tengo al respecto: son una monografía chilena, una argentina; lo único que necesito es tu mail para enviártelos.
Paso a comentar:
1) Principales procesos:
Hay un proceso TRADICIONAL (también llamado metodología) que consiste en:
- Planificación estratégica o inicial, en donde se relevan los controles generales a auditar (Control de Operaciones, Control de Aplicaciones, Controles de continuidad de negocios, controles referidos a seguridad informática y controles estructurales) y la matriz de riesgo; en este relevamiento surge la necesidad de hacer más o menos PRUEBAS SUSTANTIVAS y DE CUMPLIMIENTO (si te dan bien los controles generales, harás MENOS pruebas...)
- Ejecución de la auditoría: Consiste en efectuar las matrices de controles y las de prueba que vas a auditar y efectuar las pruebas (sustantivas y/o de cumplimiento, en función de lo que hayas descubierto en la Planificación y lo que te hayas programado en las matrices). Dependiendo de la metolodogía, también se puede dividir esta etapa en PLANIFICAICÓN TÁCTICA (donde se hacen las matrices) y EJECUCIÓN (donde se hacen las pruebas)
- Elaboración del Informe: Consiste en poner estructuradamente los HALLAZGOS que detectaste (yo utilizo la metodología de comentar el HALLAZGO, el RIESGO ASOCIADO y la RECOMENDACIÓN; el riesgo asociado tiene que ver con la MATERIALIDAD (cuan riesgoso es) y el hallazgo con las VULNERABILIDADES detectadas.
Más data en: www.bcra.gov.ar (página del Banco Central de la RA) y ahí buscas la norma "A" 2679 CONAU. También en las monografías que te ofrecí.
2) Objetivo: siempre es verificar la existencia y cumplimiento de controles. Nunca es CONTROLAR.´(Siempre VES el partido, nunca lo jugás)
3) Participantes: Principalmente, la llamada ÁREA AUDITADA (en mi caso, las áreas de sistemas, tecnología o seguridad informática) y los AUDITORES.
4) Fuentes de Información: Son diversas y dependen de cada auditoría; pero se cuentan:
- Organigrama (Apunta a control estructural)
- Reportes de transacciones (apunta a controles de aplicaciones)
- Reportes de programas (también llamada source list). Básicamente, es el código fuente de un programa que se evaluará en una PRUEBA SUSTANTIVA si sospechás que hay algo raro.
- Reportes de Operaciones (apunta a control de operaciones)
Y siempre se completan con (en este orden de preferencia)
- Reportes de terceros (documentos formales sobre el tema a auditar hechos por alguien independiente del tema)
- Observaciones y entrevista realizadas por el auditor
Más data: seguramente encontrarás algo para rellenar el trabajo en: www.isaca.org (ingles)
www.theiia.org (ingles)
Saludos. Espero tu confirmación y - si lo deseas - tu mail así te mando lo que tengo.
Paso a comentar:
1) Principales procesos:
Hay un proceso TRADICIONAL (también llamado metodología) que consiste en:
- Planificación estratégica o inicial, en donde se relevan los controles generales a auditar (Control de Operaciones, Control de Aplicaciones, Controles de continuidad de negocios, controles referidos a seguridad informática y controles estructurales) y la matriz de riesgo; en este relevamiento surge la necesidad de hacer más o menos PRUEBAS SUSTANTIVAS y DE CUMPLIMIENTO (si te dan bien los controles generales, harás MENOS pruebas...)
- Ejecución de la auditoría: Consiste en efectuar las matrices de controles y las de prueba que vas a auditar y efectuar las pruebas (sustantivas y/o de cumplimiento, en función de lo que hayas descubierto en la Planificación y lo que te hayas programado en las matrices). Dependiendo de la metolodogía, también se puede dividir esta etapa en PLANIFICAICÓN TÁCTICA (donde se hacen las matrices) y EJECUCIÓN (donde se hacen las pruebas)
- Elaboración del Informe: Consiste en poner estructuradamente los HALLAZGOS que detectaste (yo utilizo la metodología de comentar el HALLAZGO, el RIESGO ASOCIADO y la RECOMENDACIÓN; el riesgo asociado tiene que ver con la MATERIALIDAD (cuan riesgoso es) y el hallazgo con las VULNERABILIDADES detectadas.
Más data en: www.bcra.gov.ar (página del Banco Central de la RA) y ahí buscas la norma "A" 2679 CONAU. También en las monografías que te ofrecí.
2) Objetivo: siempre es verificar la existencia y cumplimiento de controles. Nunca es CONTROLAR.´(Siempre VES el partido, nunca lo jugás)
3) Participantes: Principalmente, la llamada ÁREA AUDITADA (en mi caso, las áreas de sistemas, tecnología o seguridad informática) y los AUDITORES.
4) Fuentes de Información: Son diversas y dependen de cada auditoría; pero se cuentan:
- Organigrama (Apunta a control estructural)
- Reportes de transacciones (apunta a controles de aplicaciones)
- Reportes de programas (también llamada source list). Básicamente, es el código fuente de un programa que se evaluará en una PRUEBA SUSTANTIVA si sospechás que hay algo raro.
- Reportes de Operaciones (apunta a control de operaciones)
Y siempre se completan con (en este orden de preferencia)
- Reportes de terceros (documentos formales sobre el tema a auditar hechos por alguien independiente del tema)
- Observaciones y entrevista realizadas por el auditor
Más data: seguramente encontrarás algo para rellenar el trabajo en: www.isaca.org (ingles)
www.theiia.org (ingles)
Saludos. Espero tu confirmación y - si lo deseas - tu mail así te mando lo que tengo.
Muchas gracias por la información, aquí va mi e-mail: [email protected], gracias. Chao.
Acabo de enviar los archivos que te comenté a tu mail.
Saludos, y no te olvides de puntuar la pregunta.
Saludos, y no te olvides de puntuar la pregunta.
Te pediría por favor que puntúes la respuesta así la puedo dar por finalizada.
