Fase I: Conocimientos
del Sistema
Fase II:
Análisis de transacciones y
recursos
Fase III: Análisis de riesgos y amenazas
Fase IV: Análisis
de controles
Fase V:
Evaluación de Controles
Fase VI: El
Informe de auditoria
Fase VII: Seguimiento de las Recomendaciones
FASE I: CONOCIMIENTOS DEL SISTEMA
1.1. Aspectos
Legales y Políticas Internas.
Sobre estos
elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.
1.2.Características
del Sistema Operativo.
ü Organigrama
del área que participa en el sistema
ü Manual
de funciones de las personas que participan en los procesos del sistema
ü Informes
de auditoría realizadas anteriormente
1.3.Características
de la aplicación de computadora
ü Manual
técnico de la aplicación del sistema
ü Funcionarios
(usuarios) autorizados para administrar la aplicación
ü Equipos
utilizados en la aplicación de computadora
ü Seguridad
de la aplicación (claves de acceso)
ü Procedimientos
para generación y almacenamiento de los archivos de la aplicación.
FASE II: ANÁLISIS DE TRANSACCIONES Y
RECURSOS
2.1.Definición de
las transacciones.
Dependiendo del
tamaño del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las
transacciones deberá ser asignada con los administradores.
2.2.Análisis de las
transacciones
ü Establecer
el flujo de los documentos
En esta etapa se
hace uso de los flujogramas ya que facilita la visualización del funcionamiento
y recorrido de los procesos.
2.3.Análisis de los
recursos
ü Identificar
y codificar los recursos que participan en el sistemas
2.4.Relación entre
transacciones y recursos
FASE III: ANÁLISIS DE RIESGOS Y AMENAZAS
3.1.Identificación
de riesgos
ü Daños
físicos o destrucción de los recursos
ü Pérdida
por fraude o desfalco
ü Extravío
de documentos fuente, archivos o informes
ü Robo
de dispositivos o medios de almacenamiento
ü Interrupción
de las operaciones del negocio
ü Pérdida
de integridad de los datos
ü Ineficiencia
de operaciones
ü Errores
3.2.Identificación
de las amenazas
ü Amenazas
sobre los equipos:
ü Amenazas
sobre documentos fuente
ü Amenazas
sobre programas de aplicaciones
3.3.Relación entre
recursos/amenazas/riesgos
La relación entre
estos elementos deberá establecerse a partir de la observación de los recursos
en su ambiente real de funcionamiento.
FASE IV: ANÁLISIS DE CONTROLES
4.1. codificación de controles
Los controles se aplican a los diferentes grupos
utilizadores de recursos, luego la identificación de los controles deben
contener una codificación la cual identifique el grupo al cual pertenece el recurso
protegido.
4.2.Relación entre
recursos/amenazas/riesgos
La relación con los
controles debe establecerse para cada tema(Rec/Amz/Rie) identificado. Para cada tema debe establecerse uno o más
controles.
4.3.Análisis de
cobertura de los controles requeridos
Este análisis tiene
como propósito determinar si los controles que el auditor identificó como
necesarios proveen una protección adecuada de los recursos
FASE V: EVALUACIÓN DE CONTROLES
5.1.Objetivos de la
evaluación
ü Verificar
la existencia de los controles requeridos
ü Determinar
la operatividad y suficiencia de los controles existentes
5.2.Plan de pruebas
de los controles
ü Incluye
la selección del tipo de prueba a realizar.
ü Debe
solicitarse al área respectiva, todos los elementos necesarios de prueba.
5.3.Pruebas de
controles
5.4.Análisis de
resultados de las pruebas
FASE VI:
INFORME DE AUDITORIA
Informe detallado de recomendaciones
6.2. Evaluación de las respuestas
6.3. Informe resumen para la alta gerencia
Este informe debe
prepararse una vez obtenidas y analizadas las respuestas de compromiso de la
áreas.
ü Introducción:
objetivo y contenido del informe de
auditoria
ü Objetivos
de la auditoría
ü Alcance:
cobertura de la evaluación realizada
ü Opinión:
con relación a la suficiencia del control interno del sistema evaluado
ü Hallazgos
ü Recomendaciones.
No hay comentarios:
Publicar un comentario