Escribir
acerca de los métodos de auditoría realizando aportes
significativos en cuanto a la metodología de una auditoria de apoyo
y una auditoria de aplicaciones, pueden colocar ejemplos sobre cada
una de las metodologías.
Para
refrescar conocimientos acerca de la auditoría y los tipos
de auditoría se les invita a observar
este vídeo http://www.youtube.com/watch?v=ohYfs2m84II&feature=related los
cuales nos explican sencillamente estos términos.
Como bien se explica en el material
suministrado por la Ing. Maria Fernanda Moron a los estudiantes de la
asignación de Auditoría y evaluación de sistemas
del Politécnico Santiago Mariño extensión Maracaibo,
se enfocará éste blog en la auditoría informática como
parte del desarrollo profesional de los graduandos además de
establecerse como ayuda y futura referencia a los
interesados en esta apasionante rama de la auditoría.
Se
presenta a continuación un completo vídeo realizado en México en
el cual se explica la calidad aplicada a la auditoría, se discierne
acerca de los conceptos, métodos, técnicas y herramientas de la
auditoría informática.
EL MÉTODO A USAR EN LA AUDITORIA
La
Auditoría es la búsqueda de la verdad, por lo tanto, el método que
debe utilizar para realizar su examen es sin duda el método
científico. El enfoque científico es un método sistemático
de análisis que ayuda a la interpretación y síntesis de aspectos
que necesitan ser investigados. Tanto la investigación como el
análisis abarcan un examen escudriñador de la lógica involucrada,
las necesidades y justificación de la actividad que se investiga.
La
evaluación científica involucra un proceso de medición y
comprobación de los principios y prácticas reconocidas y en las
cuales se busca si es o no el mejor plan, política, sistema o
procedimiento. Obtenida la información necesaria, se evaluará,
a efecto de hacer las sugerencias necesarias a la dirección.
La
auditoría utiliza el método deductivo- inductivo, pues realiza el
examen y evaluación de los hechos empresariales objetos de estudio
partiendo de un conocimiento general de los mismos, para luego
dividirlos en unidades menores que permitan una mejor aproximación a
la realidad que los originó para luego mediante un proceso de
síntesis emitir una opinión profesional. Todo este proceso
requiere de que el auditor utilice una serie de pasos realizados en
forma sistemática, ordenada y lógica que permita luego realizar una
crítica objetiva del hecho o área examinada.
El
método deductivo consiste en derivar aspectos particulares de lo
general, leyes axiomas, teorías, normas etc. en otras palabras es ir
de lo universal a lo específico o particular.
Para
aplicar el método deductivo a la auditoría se necesita:
- Formulación de objetivos generales o específicos del examen a realizar
- Una declaración de las normas de auditoria generalmente aceptadas y principios de contabilidad de general aceptación.
- Un conjunto de procedimientos para guiar el proceso del examen
- Aplicación de normas generales a situaciones específicas
- Formulación de un juicio sobre el sistema examinado tomado en conjunto
1.4.2
MÉTODO INDUCTIVO
El
método inductivo al contrario del deductivo se parte de fenómenos
particulares con incidencia tal que constituyen un
axioma, ley, norma, teoría, es decir parte de lo particular y
va hacia lo universal.
Desde
el punto de vista de la auditoría, se descompone el sistema a
estudiar en las mínimas unidades de estudio, efectuándose el examen
de estas partes mínimas (particulares) para luego mediante un
proceso de síntesis se recompone el todo descompuesto y se emite una
opinión sobre el sistema tomado en conjunto.
Estos
dos métodos se combinan en forma armónica no excluyente. De esta
manera, en forma esquemática se pueden plantear así las fases
generales a seguir en una auditoría:
- Conocimiento general de la organización
- Establecimiento de los objetivos generales del examen
- Evaluación del Control Interno
- Determinación de las áreas sujetas a examen
- Conocimiento específico de cada área a examinar
- Determinación de los objetivos específicos del examen de cada área
- Determinación de los procedimientos de auditoría
- Elaboración de papeles de trabajo
- Obtención y análisis de evidencias
- Informe de auditoría y recomendacionesA continuación se exponen material importante que explica puntualmente la metodología de trabajo en la auditoría informática
Se invita al lector a discutir el contenido del material y a realizar comentarios y preguntas al respecto
Al hablar de la Auditoria Informática debemos conocer antes sobre lo que es la auditoria que no es mas que un proceso mediante el cual, se busca, obtener evidencias de los registros que se emiten en el proceso de calidad, en base a declaraciones de hechos o cualquier información.
ResponderEliminarAhora bien la auditoria informática es el proceso mediante el cual se recoge, agrupa y evalúa todo tipo de evidencias para determinar si un Sistema de Información, trabaja de la manera para la cual fue creado, respetando los parámetros y mantiene la integridad y seguridad de los datos.
Los métodos que se aplican en la auditoria informática son:
* MÉTODO DEDUCTIVO
Este método consiste en la derivación de aspectos particulares partiendo de lo general hasta llegar a lo específico.
Para aplicar el método deductivo a la auditoria se necesita:
* Formulación de objetivos generales o específicos del examen a realizar
* Una declaración de las normas de auditoria generalmente aceptadas y principios de contabilidad de general aceptación.
* Un conjunto de procedimientos para guiar el proceso del examen
* Aplicación de normas generales a situaciones específicas
* Formulación de un juicio sobre el sistema examinado tomado en conjunto
* MÉTODO INDUCTIVO
El método al contrario se parte de los fenómenos desde lo particular y llegando a lo universal, desde el punto de vista de la auditoria se descompone el sistema a estudiar en las mínimas unidades de estudio.
Estos dos métodos se combinan en forma armónica no excluyente. De esta manera, en forma esquemática se pueden plantear así las fases generales a seguir en una auditoria:
* Conocimiento general de la organización
* Establecimiento de los objetivos generales del examen
* Evaluación del Control Interno
* Determinación de las áreas sujetas a examen
* Conocimiento específico de cada área a examinar
* Determinación de los objetivos específicos del examen de cada área
* Determinación de los procedimientos de auditoria
* Elaboración de papeles de trabajo
* Obtención y análisis de evidencias
* Informe de auditoria y recomendaciones
Cuando hablamos de las metodologías que normalmente se emplean en la auditoria informática se pueden agrupar en dos grupos como son:
Existen algunas metodologías de Auditorias de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:
* Estudio preliminar
* Revisión y evaluación de controles y seguridades
* Examen detallado de áreas criticas
* Comunicación de resultados
* Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, entrevistas con los principales funcionarios del PAD.
* Revisión y evaluación de controles y seguridades.- Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.
* Examen detallado de áreas criticas.-Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoria, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.
* Comunicación de resultados.- Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados
El informe debe contener lo siguiente:
Eliminar* Motivos de la Auditoria
* Objetivos
* Alcance
* Estructura Orgánico-Funcional del área Informática
* Configuración del Hardware y Software instalado
* Control Interno
* Resultados de la Auditoria
* Cuantitativas: es la basada en un modelo matemático numérico que ayuda a la realización del trabajo, están diseñadas par producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numérico. Están diseñadas para producir una lista de riesgos que pueden compararse entre si con facilidad por tener asignados unos valores numéricos.
* Cualitativas: Basadas en el criterio y raciocinio humano capaz de definir un proceso de trabajo, para seleccionar en base al experiencia acumulada. Puede excluir riesgos significantes desconocidos (depende de la capacidad del profesional para usar el check-list/guía). Basadas en métodos estadísticos y lógica borrosa, que requiere menos recursos humanos / tiempo que las metodologías cuantitativas.
Sobre el análisis de las técnicas de recolección de datos en la auditoria informática.
Las técnicas de recolección datos es de gran importancia para la realización de las auditorias informáticas ya que son estas las que permiten reunir evidencias para determinar una opinión sobre algo que se investiga sabiendo que para ello tenemos a la mano técnicas que nos permiten lograr la mejor recolección de información posible para la investigación como son: la técnica de verificación ocular, la técnica de verificación verbal, la de verificación documental, técnicas físicas y escritas. Estas técnicas se aplicaran de acuerdo a la investigación que se realice para luego aplicar los pasos necesarios para el análisis de la información.
La función que cumple la evidencia en la auditoria informática es de gran importancia ya que esta es el resultado de la mezclas de distintas pruebas realizadas a lo largo de la investigación con el fin de determinar la correcta función habilidad de un sistema.