Fase I: Conocimientos del
Sistema
Aspectos Legales y Políticas Internas.
Sobre estos elementos está construido el sistema de control y por lo
tanto constituyen el marco de referencia para su evaluación.
Características
del Sistema Operativo.
ü Organigrama
del área que participa en el sistema
ü Manual de
funciones de las personas que participan en los procesos del sistema
ü Informes
de auditoría realizadas anteriormente
Características
de la aplicación de computadora
ü Manual
técnico de la aplicación del sistema
ü Funcionarios
(usuarios) autorizados para administrar la aplicación
ü Equipos
utilizados en la aplicación de computadora
ü Seguridad
de la aplicación (claves de acceso)
ü Procedimientos
para generación y almacenamiento de los archivos de la aplicación.
Fase II: Análisis de
transacciones y recursos
Definición
de las transacciones.
Dependiendo del tamaño del sistema, las transacciones se dividen en
procesos y estos en subprocesos. La
importancia de las transacciones deberá ser asignada con los administradores.
Análisis
de las transacciones
ü Establecer
el flujo de los documentos
En esta etapa se hace uso de los flujo gramas ya que facilita la
visualización del funcionamiento y recorrido de los procesos.
Análisis
de los recursos
ü Identificar
y codificar los recursos que participan en el sistemas
Relación entre transacciones y recursos
Fase III: Análisis de riesgos y
amenazas
Identificación de riesgos
ü Daños
físicos o destrucción de los recursos
ü Pérdida
por fraude o desfalco
ü Extravío
de documentos fuente, archivos o informes
ü Robo de
dispositivos o medios de almacenamiento
ü Interrupción
de las operaciones del negocio
ü Pérdida de
integridad de los datos
ü Ineficiencia
de operaciones
ü Errores
Identificación
de las amenazas
ü Amenazas
sobre los equipos:
ü Amenazas
sobre documentos fuente
ü Amenazas
sobre programas de aplicaciones
Relación entre recursos/amenazas/riesgos
La relación entre estos elementos deberá establecerse a partir de la
observación de los recursos en su ambiente real de funcionamiento.
Fase IV: Análisis de controles
Codificación
de controles
Los controles se aplican a los
diferentes grupos utilizadores de recursos, luego la identificación de los
controles deben contener una codificación la cual identifique el grupo al cual
pertenece el recurso protegido.
Relación entre recursos/amenazas/riesgos
La relación con los controles debe establecerse para cada tema
(Rec/Amz/Rie) identificado. Para cada
tema debe establecerse uno o más controles
Análisis de cobertura de los controles requeridos
Este análisis tiene como propósito determinar si los controles que el
auditor identificó como necesarios proveen una protección adecuada de los
recursos.
Fase V: Evaluación de
Controles
Objetivos
de la evaluación
ü Verificar la existencia de los
controles requeridos
ü Determinar la operatividad y
suficiencia de los controles existentes
Plan de
pruebas de los controles
ü Incluye la selección del tipo de
prueba a realizar.
ü Debe solicitarse al área respectiva,
todos los elementos necesarios de prueba.
Pruebas
de controles
Fase VI: Informe de Auditoria
Informe
detallado de recomendaciones
. Evaluación de las respuestas
Informe resumen para la alta
gerencia
Este
informe debe prepararse una vez obtenidas y analizadas las respuestas de
compromiso de las áreas.
ü Introducción: objetivo y contenido del informe de auditoria
ü Objetivos de la auditoría
ü Alcance: cobertura de la evaluación
realizada
ü Opinión: con relación a la
suficiencia del control interno del sistema evaluado
ü Hallazgos
Fase VII: Seguimiento de Recomendaciones
Informes del seguimiento
Evaluación de los
controles implantados
