Professional Documents
Culture Documents
Page 1 of 4
CISA
Seminarios Asociados
CobiT
Links Guas de Auditora Home Standares
25/06/03
Page 2 of 4
siguientes: Establecer los objetivos de auditora de los CAAT Determinar accesibilidad y disponibilidad de los sistemas de informacin, los programas/sistemas y datos de la organizacin. Definir los procedimientos a seguir (por ejemplo: una muestra estadstica, reclculo, confirmacin, etc). Definir los requerimientos de output. Determinar los requerimientos de recursos Documentar los costos y los beneficios esperados Obtener acceso a las facilidades de los sistemas de informacin de la organizacin, sus programas/sistemas y sus datos. Documentar los CAATs a utilizar incluyendo los objetivos, flujogramas de alto nivel y las instrucciones a ejecutar . Acuerdo con el cliente (auditado) Los archivos de datos, tanto como los archivos de operacin detallados (transaccionales, por ejemplo), a menudo son guardados slo por un perodo corto, por lo tanto, el auditor de sistemas de informacin debe arreglar que estos archivos sean guardados por el marco de tiempo de la auditora. Organizar el acceso a los sistemas de informacin de la organizacin, programas/sistemas y datos con anticipacin para minimizar el efecto en el ambiente productivo de la organizacin. El auditor de sistemas de informacin debe evaluar el efecto que los cambios a los programas/sistemas de produccin puedan tener en el uso de los CAAT. Cuando el auditor de sistemas de informacin lo hace, debe considerar el efecto de estos cambios en la integridad y utilidad de los CAATs, tanto como la integridad de los programas/sistemas y los datos utilizados por el auditor de sistemas de informacin. Probando los CAATs El auditor de sistemas de informacin debe obtener una garanta razonable de la integridad, confiabilidad, utilidad y seguridad de los CAATs por medio de una planificacin, diseo, prueba, procesamiento y revisin adecuados de la documentacin. Esto debe ser hecho antes de depender de los CAATs. La naturaleza, el tiempo y extensin de las pruebas depende de la disponibilidad y la estabilidad de los CAATs. La seguridad de los datos y de los CAATs Los CAATs pueden ser utilizados para extraer informacin de programas/sistemas y datos de produccin confidenciales. El auditor de sistemas de informacin debe salvaguardar la informacin de los programas/sistemas y los datos de produccin con un nivel apropiado de confidencialidad y seguridad. Al hacerlo el auditor debe considerar el nivel de confidencialidad y seguridad que exige la organizacin a la cual pertenecen los datos. El auditor de sistemas de informacin debe utilizar y documentar los resultados de los procedimientos aplicados para asegurar la integridad, confiabilidad, utilidad y seguridad permanentes de los CAATs. Por ejemplo, debe incluir una revisin del mantenimiento de los programas y controles de los cambios de programa de auditora para determinar que slo se hacen los cambios autorizados al CAAT. Cuando los CAAT estn en un ambiente que no est bajo el control del auditor de sistemas de informacin. Un nivel de control apropiado debe ser implementado para identificar los cambios a los CAAT. Cuando se hacen cambios a los CAAT el auditor de sistemas de informacin debe asegurarse de su integridad, confiabilidad, utilidad y seguridad por medio de una planificacin, diseo, prueba, procesamiento y revisin apropiados de la documentacin, antes de confiar en ellos. 3. Realizacin de la auditora 3.1. Recolectar evidencia de la auditora El uso de los CAAT debe ser controlado por el auditor de sistemas de informacin para asegurar razonablemente que se cumple con los objetivos de la auditora y las especificaciones detalladas de los CAAT . El auditor debe: Realizar una conciliacin de los totales de control; Realizar una revisin independiente de la lgica de los CAAT Realizar una revisin de los controles generales de los sistemas de informacin de la organizacin que puedan contribuir a la integridad de los CAAT (por ejemplo: controles de los cambios en los programas y el acceso a los archivos de sistema, programa y/o datos). 3.2. El software de auditora generalizado Cuando el auditor de sistema de informacin utiliza el software de auditora generalizado para acceder a los datos de produccin, se debe tomar las medidas apropiadas para proteger la integridad de los datos de la organizacin. Adems, el auditor de sistemas de informacin tendr que estar involucrado en el diseo del sistema y las tcnicas que se utilizaron para el desarrollo y mantencin de los programas/sistemas de aplicacin de la organizacin.
25/06/03
Page 3 of 4
3.3. Software utilitario Cuando el auditor de sistemas de informacin utiliza el software utilitario debe confirmar que no tuvieron lugar ninguna intervencin no planificada durante el procesamiento y que ste software ha sido obtenido desde la biblioteca de sistema apropiado, mediante una revisin del log de la consola del sistema o de la informacin de contabilidad del sistema. El auditor de sistemas de informacin tambin debe tomar las medidas apropiadas para proteger la integridad del sistema y programas de la organizacin, puesto que estos utilitarios podran fcilmente daar el sistema y sus archivos. 3.4. Datos de prueba Cuando el auditor de sistemas de informacin utiliza los datos de prueba debe estar consiente de que pueden existir ciertos puntos potenciales de errores en el procesamiento; dado que sta tcnica no evala los datos de produccin en su ambiente real. El auditor de sistemas de informacin tambin debe estar consiente de que el anlisis de los datos de prueba pueden resultar extremadamente complejos y extensos, dependiendo de el nmero de operaciones procesadas, el nmero de programas sujetos a pruebas y la complejidad de los programas/sistemas. 3.5. Localizacin y maping del software de aplicacin Cuando el auditor de sistemas de informacin utiliza el software de aplicacin para sus pruebas CAT, debe confirmar que el programa fuente que est evaluando es lo mismo que se utiliza actualmente en produccin. El auditor de sistemas de informacin debe estar consiente de que el software de aplicacin slo indica el potencial de un proceso errneo, no evala los datos de produccin en su ambiente real. Los sistemas de auditora especializados Cuando el auditor de sistemas de informacin utiliza los sistemas de auditora especializados debe conocer profundamente las operaciones del sistema par confirmar que las sendas de decisin seguidas son apropiadas para el ambiente/situacin de auditora. 4. La documentacin de los CAATs Papeles de trabajo Una descripcin del trabajo realizado, seguimiento y las conclusiones acerca de los resultados de los CAATs deben estar registrados en los papeles de trabajo de la auditora. Las conclusiones acerca del funcionamiento del sistema de informacin y de la confiabilidad de los datos deben estar registrados en los papeles de trabajo de la auditora. El proceso paso a paso de los CAAT debe estar documentado adecuadamente para permitir que el proceso se mantenga y se repita por otro auditor de sistemas de informacin. Especficamente los papeles de trabajo deben contener la documentacin suficiente para describir la aplicacin de los CAAT incluyendo los detalles que se mencionan en los prrafos siguientes. Planificacin La documentacin debe incluir lo siguiente: Los objetivos de los CAAT Los CAAT a utilizar Los controles a implementar El personal involucrado, el tiempo que tomar y los costos. Ejecucin La documentacin debe incluir: Los procedimientos de la preparacin y la prueba de los CAAT y los controles relacionados. Los detalles de las pruebas realizadas por los CAAT Los detalles de los input (ejemplo: los datos utilizados, esquema de archivos), el procesamiento (ejemplo: los flujogramas de alto nivel de los CAAT, la lgica) y los outputs (ejemplo: archivos log, reportes). Evidencia de auditora La documentacin debe incluir lo siguiente: El output producido Una descripcin del trabajo de anlisis de auditora que se realiz para el output. Resultado de la auditora Conclusiones de la auditora Otros La documentacin debe incluir lo siguiente: Las recomendaciones de la auditora 5. Informe/Reporte Descripcin de los CAAT
25/06/03
Page 4 of 4
La seccin del informe donde se tratan los objetivos, la extensin y metodologa debe incluir una clara descripcin de los CAAT utilizados. Esta descripcin no debe ser muy detallada, pero debe proporcionar una buena visin general al lector. La descripcin de los CAAT utilizados tambin debe ser incluida en el informe donde se discute el hallazgo especfico relacionado con el uso de los CAAT. Si se puede aplicar la descripcin de los CAAT a varios hallazgos o si es demasiado detallado debe ser descrito brevemente en la seccin del informe donde se tratan los objetivos, extensin y metodologa y una referencia anexa para el lector, con una descripcin ms detallada. 6. Fecha efectiva 6.1. Esta pauta es efectiva para todos los auditores de los sistemas de informacin que comiencen durante o despus (de la fecha de emisin).
copyright 1999 Isaca Chile A.G. -Todos los derechos reservados This page is designed by : PHF
25/06/03