Auditoria Informatica - CAP. 1 Manual CISA

Cuando se diseña un plan de auditoría, es importante identificar las área de más alto riesgo para determinar las áreas a ser auditadas. Los conjuntos de habilidades del personal de auditoría deberían haberse considerado antes de decidir y de escoger la auditoría. Los pasos de prueba para la auditoría no son tan críticos como identificar las áreas de riesgo, y el tiempo asignado para una auditoría está determinado por las áreas a ser auditadas. Las cuales son primariamente seleccionadas con base en la identificación de los riesgos.

La planeación estratégica pone en movimiento los objetivos corporativos o departamentales. La planeación estratégica está orientada al tiempo y al proyecto, pero debe también tratar y ayudar a determinar prioridades para satisfacer las necesidades del negocio. Revisar los planes estratégicos a largo plazo no alcanzaría los objetivos expresados por las otras opciones.

El auditor de SI es en última instancia responsable ante la alta gerencia y ante el comité de auditoría de la junta directiva. Incluso si el auditor de SI debe discutir los hallazgos con el personal de gerencia de la entidad auditada (opción B), ello se hace únicamente para obtener acuerdo sobre los hallazgos y para desarrollar un curso de acción correctiva. La opción C es incorrecta porque el director de auditoría de SI debe revisar el reporte que el auditor de SI preparó, pero no es la persona que tomará las decisiones respecto a los hallazgos y sus consecuencias potenciales. La opción D es incorrecta porque la responsabilidad de reportar a las autoridades judiciales descansaría en la junta directiva y sus asesores legales.

Cuando se establecen los programas de CSA, los auditores de SI se convierten en profesionales de control interno y en facilitadores de evaluaciones. Los auditores de SI son los facilitadores y el cliente (gerencia y personal) es el participante en el proceso de CSA. Durante un taller de CSA, en vez de que el auditor de SI realice procedimientos detallados de auditoría, debería conducir y orientar a los clientes para evaluar su ambiente. Las opciones B, C y D no deben ser la función del auditor de SI. Estas funciones son más apropiadas para el cliente.

Uno de los principales objetivos de una auditoría es identificar los riesgos potenciales; por lo tanto, el método más proactivo sería identificar y evaluar las prácticas existentes de seguridad que la organización está siguiendo. Un auditor de SI no debe preparar documentación, y si lo hiciera, su independencia estaría en peligro. Dar por terminada la auditoría puede impedir que se logren los objetivos de la auditoría, es decir, la identificación de los riesgos potenciales. Como no hay procedimientos documentados, no hay base contra la cual probar el cumplimiento.

La eficacia de los datos de prueba está determinada por la extensión de la cobertura de todos los controles clave a ser probados. Si los datos de prueba no cubren todas las condiciones válidas y no válidas, hay un riesgo de que la debilidad de control relevante pueda seguir sin ser detectada. Los cambios en el programa, por el período cubierto por la auditoría, pueden haberse efectuado para depurar o para funcionalidades adicionales. Sin embargo, como el método de datos de prueba involucra la prueba de datos para el período de auditoría, los cambios en el programa probado pueden tener un impacto mínimo. Las aplicaciones con la tecnología actual por lo general no son afectadas por las transacciones adicionales. Los datos de prueba son desarrollados por el auditor, sin embargo, no es necesario que el procesamiento sea bajo la supervisión de un auditor, ya que los datos de entrada serán verificados por los datos de salida (outputs).

La opción A toma en consideración tanto la probabilidad como la magnitud del impacto y provee la mejor medida del riesgo para un activo. La opción B provee únicamente la probabilidad de que una amenaza explote una vulnerabilidad en el activo pero no provee la magnitud del posible daño al activo. De manera similar, la opción C, considera solamente la magnitud del daño y no la posibilidad de que una amenaza explote una vulnerabilidad. La opción D define el riesgo sobre una base arbitraria y no es adecuado para un proceso científico de administración del riesgo.

Uno de los factores clave a ser considerados mientras se evalúan los riesgos relacionados con el uso de diversos sistemas de información son las amenazas y las vulnerabilidades que afectan a los activos. Los riesgos relacionados con el uso de activos de información deben ser evaluados aisladamente de los controles instalados. De manera similar, la eficacia de los controles debe ser considerada durante la etapa de mitigación del riesgo y no durante la etapa de evaluación del riesgo. Se debe establecer un mecanismo para monitorear constantemente los riesgos relacionados con los activos durante la función de monitoreo del riesgo que sigue a la etapa de evaluación del riesgo.

Las características del software generalizado de auditoría incluyen cómputos matemáticos, estratificación, análisis estadístico, verificación de secuencia, verificación de duplicados, recálculos. El auditor de SI, usando software generalizado de auditoría, podría diseñar pruebas apropiadas para recalcular la planilla/nómina y, de ese modo, determinar si hubo sobrepagos, y a quiénes fueron efectuados. Los datos de prueba probarían si existen controles que pudieran impedir los sobrepagos, pero no detectarían los errores de cálculo específicos anteriores. Ni una prueba integrada ni un módulo integrado de auditoría detectarían errores para un período anterior.