sábado, 25 de septiembre de 2010

RESUMEN CAPITULO I ISACA

CAPITULO I
EL PROCESO DE AUDITRÍA DE SISTEMAS DE INFORMACIÓN



RESUMEN
Auditoría de SI incluye procedimientos y una exhaustiva metodología que permite se realice una auditoría sobre el área de TI.
TAREAS
Desarrollar e implementar una estrategia de auditoría de TI basada en los riesgos de la organización.
Planear auditorías específicas
Llevar a cabo auditorías en conformidad con los estándares
Comunicar los hallazgos emergentes, los riesgos potenciales y los resultados
Asesorar sobre la implementación de la administración de riesgos y las prácticas de control
DECLARACIONES DE CONOCIMIENTO
Conocimiento de los Estándares, Directrices y Procedimientos de auditoría de SI
Conocimiento de prácticas y técnicas de auditoría de SI
Conocimiento de técnicas para recopilar infamación
Conocimiento de los objetivos de control
Conocimiento de evaluación de los riesgos
Conocimiento de técnicas de planeación y de administración de la auditoría
Conocimiento reporte y comunicación
Conocimiento de autoevaluación del control
Conocimiento de técnicas de auditoría continúa

ADMINISTRACION DE LA FUNCION DE AUDITORÍA DE SI
La función de auditoría asegure que las tareas realizadas cumplan los objetivos de la función de auditoría, mientras se preserva la independencia y la competencia de la auditoría.
ORGANIZACION DE LA FUNCION DE AUDITORÍA DE SI
La auditoría de SI puede ser parte de la auditoría interna como un grupo independiente o integrado dentro de una auditoría financiera. El este estatuto debería establecer claramente la responsabilidad y los objetivos de la dirección para la función de auditoría de SI y la delegación de autoridad. Este documento debería describir la autoridad, alcance y responsabilidades generales de la función de auditoría.
La función de auditoría interna debe ser independiente, y reportarse a un Comité de auditoría, o al nivel más alto de la gerencia
ADMINISTRACION DE LOS RECURSOS DE AUDITORÍA DE SI
Es importante que los auditores de SI mantengan su competencia por medio de la actualización de sus habilidades actuales y obtengan capacitación sobre nuevas técnicas de auditoría y áreas tecnológicas
PLANEACION DE LA AUDITORÍA
Planeación Anual
La planeación a corto plazo toma en cuenta los aspectos que serán cubiertos durante el año, la planeación a largo plazo son auditoría que tomarán en cuenta aspectos relacionado con el riesgo debido a los cambios en la dirección estratégica de TI de la organización, El análisis de los aspectos relevantes a corto plazo deben hacerse por lo menos una vez al año.
Asignación de auditoría Individual
Cada tarea individual de auditoría debe ser planeada adecuadamente. Al planear una auditoría de SI debe tener un entendimiento general del ambiente a revisar.
Para realizar la planeación de la auditoría, se deben realizar los pasos siguientes:
1.- Un entendimiento de la misión, los objetivos, el propósito y los procesos del negocio
2.- Identificar contenidos como políticas, estándares y procedimientos de la organización
3.- Realizar un análisis de riesgos para diseñar el plan de auditoría
4.- Llevar a cabo una revisión de los controles internos relacionados con Tl.
5.- Establecer el alcance y los objetivos de la auditoría.
ó.- Desarrollar el enfoque .de la auditoría
7.- Asignar recursos humanos a la auditoría
8.- Dirigir la logística del trabajo de auditoría

Los pasos que un auditor de SI podría tomar para lograr el entendimiento del negocio incluyen:
1.- Recorrido de las instalaciones
2.-Lectura de antecedentes
3.- Revisión del negocio y de los planes estratégicos de TI a largo plaza
4.-Entrevistas a los gerentes clave para entender ponderadores del negocio
5.-Revision de informes
6.- Identificar las regulaciones específicas aplicables a TI
7.-Identificar las funciones de TI o las actividades relacionadas que han sido contratadas externamente
EI auditor de SI que prepare el plan debería considerar los requerimientos del proyecto de auditoría, recursos de personal y otras limitaciones.
EFECTO DE LAS LEYES Y REGULACIONES SOBRE LA PLANIFICACIÓN DE AUDITORÍA DE SI
Toda organización deberá cumplir con un número de requerimientos gubernamentales de controles de los sistemas computarizados. Se debe prestar atención a los marcos regulatorios muy estrictos.
Existen dos áreas principales de interés: los requerimientos legales (Leyes, acuerdos regulatorios y contractuales) aplicables a la auditoría o a la auditoría de los requerimientos legales, aplicables al auditado y a sus sistemas. Los asuntos legales también impactan las operaciones del negocio de las organizaciones en términos de cumplimiento con regulaciones.
Los siguientes son pasos que seguirá un auditor de SI para determinar el nivel de cumplimiento de una organización con los requerimientos extremos:
Identificar los requerimientos gubernamentales u otros externos relevantes que se refieran a:
·         Datos electrónicos, datos personales, derechos de autor, comercio electrónico, firmas digitales, etc.
·         Prácticas y controles de sistemas computarizados
·         La manera en que se almacenan las computadoras, los programas y los datos
·         Documentar las leyes y regulaciones pertinentes
·         Determinar si hay procedimientos instalados para asegurar que los contratos o acuerdos con proveedores externos de servicios de TI reflejan cualquier requerimiento legal relacionado con las responsabilidades.

ESTANDARES Y DIRECTRICES DE ISACA PARA LA ALJDITORÍA DE SI
MARCO DE ESTANDARES DE ISACA PARA LA AUDITORÍA DE SI
EI marco de los Estándares de auditoría de SI de ISACA presenta múltiples niveles
·         Los Estándares definen los requerimientos obligatorios para la  auditoría y para los informes de auditoría de SI.
·         Las directrices brindan una guía para aplicar los Estándares de auditoría de SI
·         Los Procedimientos ofrecen ejemplos de procedimientos que debe seguir un auditor de SI en una asignación de auditoría.

ESTÁNDARES DE AUDITORIA
Estatuto de Auditoría:
·         El propósito y obligaciones de rendir cuentas de la función de auditoría de sistema de información deberían estar debidamente documentados en un contrato
·         El estatus de auditoría o contrato debería ser establecido y aprobado por un nivel apropiado dentro de las organizaciones
Independencia
·         Independencia profesional
·         Independencia organizacional
Ética y Estándares Profesionales
·         Acatar los códigos de ética establecidos
Competencia profesional
·         EI auditor de SI debería ser profesionalmente competente para realizar el trabajo de auditoría y estar en constante capacitación.
Planeación
·         EI auditor de SI debería planear el alcance de la auditoría de sistemas de información tomando en cuenta las objetivas de la auditoría
Ejecución del Trabajo de Auditoria:
·         Supervisión - El personal de auditoria de sistemas de infamación debería ser supervisado para proveer una certeza que los objetivos de la auditoria están alcanzados
·         Evidencia - En el curso de la auditoria, el auditor de SI debería obtener evidencia suficiente para lograr los objetivos de la auditoria.
·         Documentación - EI proceso de auditoria debería estar documentado
Informe
El auditor de SI debería proveer un informe, en un formato apropiado
EI informe de auditoría debería establecer el alcance
EI informe del auditor de SI debería estar firmado, fechado y ser distribuido
Actividades de Seguimiento
·         El auditor de SI debería solicitar y evaluar la información relevante para determinar si la dirección ha tornado las acciones apropiadas.
Irregularidades y Actos ilícitos
Si el auditor de SI identifica una irregularidad o actos ilícitos debería comunicar estos asuntos oportunamente al nivel apropiado de dirección.
Gobierno de Tl
El auditor de SI debería revisar y evaluar si la función de SI está alineada con la visión, misión, valores, objetivos y estrategias de la organización.
Uso de la evaluación de riesgos en la planeación de auditoria:
·         EI auditor de SI debería usar enfoque apropiado de evaluación de riesgos
·         AI planear las revisiones individuales, el auditor de Sl debería identificar y evaluar los riesgos relevantes



Usar el trabajo de Otros expertos
·         EI auditor de SI debería, donde sea apropiado, considerar usar el trabajo de otros expertos para la auditoria.
Evidencia de auditoria
·         EI auditor de SI debiera obtener evidencia suficiente y apropiada de auditoria para extraer conclusiones sobre las cuales basar los resultados de auditoría.
DIRECTRICES DE ISACA PARA AUDITORIA DE SI
EI objetivo de las Directrices de ISACA para la auditoria de SI es proveer información adicional sobre como cumplir con los Estándares de ISACA para la Auditoria de SI. EI auditor de SI debiera considerarlos para determinar cómo implementar los estándares
·         Usar el juicio profesional para aplicarlos
·         Poder justificar cualquier diferencia
PROCEDIMIENTOS DE ISACA PARA AUDITORIA DE SI
Para determinar si algún procedimiento específico es apropiado, el auditor de SI debe aplicar su propio juicio profesional a la situación particular
ANALISIS DE RIESGOS
EI análisis de riesgos es parte de la planeación de auditoria y ayuda a identificar los riesgos y las vulnerabilidades para que el auditor pueda determinar los controles necesarios para mitigarlo. Los riesgos del negocio son la probabilidad de aquellas amenazas que pueden tener un impacto negativo sobre los activos, procesos u objetivos de un negocio u organización.
EI proceso de evaluación del riesgo comienza identificando los objetivos del negocio, los activos de información que son clave para lograr los objetivos de la organización. Luego, durante la fase de mitigación de riesgos, se identifican los controles que son contramedidas para la mitigación de riesgos, La evaluación de contramedidas debería realizarse mediante un análisis de costo beneficio. La fase final es el monitoreo de los niveles de desempeño de los riesgos administrados
CONTROLES INTERNOS
Los controles internos son desarrollados para proveer una certeza razonable de que se alcanzaran los objetivos de negocie de una organización y que los eventos de riesgo no deseados sean evitados detectados y corregidos.
Los elementos de control que deberían ser considerados al evaluar la fortaleza de un control están clasificados como preventivos, detectivos y correctivos de acuerdo a su naturaleza.



OBJETIVOS DEL CONTROL INTERNO
Los objetivos de control interno son declaraciones del resultado deseado  a ser alcanzado con la implementación de actividades de control
Por ejemplo los objetivos de control incluyen:
Salvaguarda de los activos de TI
Cumplimiento can las políticas corporativas y requerimientos legales
Confidencialidad
Exactitud e integridad los dato
Confiabilidad de los procesos

OBJETIVOS DE CONTROL DE SI
Los objetivos de control de SI pueden incluir:
·         Salvaguarda de activos. La información en los sistemas automatizados están protegidas contra accesos inadecuados y se la mantiene actualizada.
·         Asegurar la integridad de los ambientes de sistemas operativos en general, incluyendo la administración y operaciones de la red
·         Aseguramiento de la disponibilidad de los servicios de TI desarrollando planes de continuidad del negocio y de recuperación de desastres

EJECUCION DE UNA AUDITORIA DE SI
La auditoría puede definirse como un proceso sistemático por el cual un equipo o una persona competente e independiente obtienen y evalúa objetivamente la evidencia respecto a las afirmaciones acerca de un proceso con el fin de formarse una opinión e informar sobre el grado de cumplimiento.
EI proceso de auditoria requiere que el auditor de SI recolecte evidencia a través de pruebas de auditoria. Evalué las fortalezas y debilidades de los controles basándose en la evidencia reunida y prepare un informe de auditoría que presente en una forma objetiva dichos asuntos a la gerencia.
Las restricciones del auditado pueden incluir:
·         Reciente rotación o no disponibilidad de empleado
·         Infracción de las fechas tope
·         Ausencia general de conocimientos o de documentación
CLASIFICACIÓN DE LAS AUDITORIAS
Auditorías financieras
Auditorías operativas
Auditorías integradas
Auditorías administrativas
Auditorías de SI
Auditorías especializadas
Auditorías forenses

PROGRAMAS DE AUDITORIA
Los procedimientos generales de auditoria son los pasos básicos en la ejecución de una auditoria y habitualmente incluyen:
·         Obtención y documentación del conocimiento sobre el objeto de la auditoria
·         Evaluación de riesgos y planeación general de la auditoria y cronograma
·         Planeación detallada de auditoria
·         Verificación y evaluación de corrección de los controles diseñados para cumplir los objetivos de control.
·         Pruebas sustantivas (que confirmen la exactitud de la información)
·         Informe





METODOLOGIA DE AUDITORIA
Una metodología de auditoria es un conjunto de procedimientos documentados de auditoria diseñados para alcanzar los objetivos de auditoria planeados




DETECCION DE FRAUDES
Con respecto a la prevención de fraudes, el auditor de SI debe estar consciente de los requerimientos legales potenciales que conciernen a la implementación de procedimientos específicos de detección de fraude y el reporte a las autoridades.
AUDITORIA BASADA EN EL RIESGO
Este método se usa para evaluar riesgos y para apoyar la decisión del auditor de SI de realizar ya sean pruebas de cumplimiento o pruebas sustantivas. Es importante enfatizar que el método de auditoria basado en riesgos apoya eficientemente al auditor a determinar la naturaleza y la extensión de las pruebas.


Riesgo y Materialidad de la Auditoria
El riesgo de auditoria puede ser definido como el riesgo que la información pueda contener errores materiales que pueden pasar sin ser detectados durante el curso de la auditoria
EI riesgo de auditoría se puede categorizar como:
Riesgo inherente
Riesgo de control
Riesgo de detección
Riesgo general de auditoría
EVALUACION Y TRATAMIENTO DEL RIESGO
Evaluación de los Riesgos de Seguridad
Las evaluaciones del riesgo deben identificar, cuantificar y categorizar los riesgos contra criterios para aceptación del riesgo y objetivos relevantes para la organización. EI alcance de una evaluación del riesgo puede ser bien toda la organización, parte de la organización, un sistema de información individual, componentes específicos del sistema.
Tratar los Riesgos de Seguridad
Cada uno de los riesgos identificados en la evaluación del riesgo necesita ser tratado.
Las posibles opciones para tratamiento del riesgo incluyen:
·         Aplicar los controles apropiados para reducir los riesgos
·         Aceptar los riesgos objetivamente y las condición que los mismos satisfagan claramente la política y los criterios de la organización para aceptación de riesgos
·         Evitar los riesgos no permitiendo acciones que causarían que ocurrieran los riesgos
·         Transferir los riesgos asociadas a otras partes, e.g. aseguradores o proveedores.

TECNICAS DE EVALUACIÓN DE RIESGOS
Estas van desde clasificaciones sencillas de alto, media y bajo, en base al juicio profesional del auditor de SI, hasta cálculos complejos y aparentemente científicos para proveer una clasificación numérica del riesgo.
OBJETIVOS DE LA AUDITORIA
Los objetivos de auditoria se refieren a las metas específicas que deben cumplirse par parte de la auditoria. Los objetivos de auditoria se enfocan a menudo en validar que existen controles internos para minimizar los riesgos del negocio, y que estos funcionen como se esperan.
EVIDENCIA
La evidencia es cualquier información usada por el auditor de SI para determinar si la cantidad a los datos que están siendo auditados cumplen con los criterios u objetivos establecidos, y soporta las conclusiones de auditoria.
Los determinantes para evaluar la confiabilidad de la evidencia de auditoria incluyen:
·         Independencia del proveedor de la evidencia
·         Credenciales de la persona que suministra la información o evidencia
·         Objetividad de la evidencia
·         Tiempo de disponibilidad de la evidencia



Las siguientes son técnicas para la recopilación de evidencia:
Revisión de las estructuras organizacionales de los Sistemas de Información
Revisión de las políticas y procedimientos de SI
Revisión de los estándares de SI
Revisión de 18 documentación de SI –
Entrevistas al Personal Apropiado
ENTREVISTAS Y OBSERVACION AL PERSONAL EN EL DESEMPENO DE SUS FUNCIONES
La Observación al personal en el desempeño de sus funciones ayuda a un auditor de SI a identificar:
Funciones reales
Procesos Procedimientos reales
Concientización sobre seguridad
Líneas de reporte

MUESTREO

El muestreo es usado cuando las consideraciones de tiempo y de costo impiden una verificación total de todas las transacciones o eventos en una población definida previamente.
Los dos enfoques generales para muestreo de auditoria son:
-Muestreo Estadístico es un enfoque objetivo para determinar el tamaño y los criterios de selección de la muestra.
Muestreo no estadístico (al que a menudo se hace referencia como muestreo de criterio), el método de muestreo, el número de elementos que serán examinados de una población (tamaño de la muestra) y cuales elementos seleccionar son determinados en base al juicio del auditor.
El muestreo de atributos se refiere a tres tipos diferentes pero relacionados de muestreo proporcional:
Muestreo de Atributos
Muestreo parar o seguir
Muestreo de Descubrimiento

EI muestreo de variables se refiere a un número de tipos diferentes de modelos de muestreo cuantitativo
Promedio Estratificado por Unidad
Promedio No Estratificado por Unidad
Promedio No Estratificado por Unidad

Para realizar un muestreo de atributos de variables, es necesario entender los términos de muestreo estadístico:

Coeficiente de confianza
Nivel de riesgo
Precisión
Tasa de error esperado
Media de la muestra
Desviación estándar de la muestra
Tasa tolerable de error
Desviación estándar de la población

TÉCNICAS DE AUDITORIA ASISTIDAS POR COMPUTADORA

Las CAA Ts son herramientas importantes para el auditor de SI para recolectar información de estos ambientes. Cuando los sistemas tienen diferentes entornos de hardware y de software, diferente estructura de datos, formatos de registro, funciones de procesamiento, etc., es casi imposible para los auditores recopilar evidencia sin una herramienta de software para recolectar y analizar los registros.

Las CAATs incluyen muchos tipos de herramientas y técnicas, tales como software generalizado de auditoria (GA5), software utilitario, datos de prueba, rastreo y mapeo de software de aplicación y sistemas expertos.

EI GAS se refiere al software  que tiene la capacidad de leer y acceder a datos directamente de diversas plataformas de base de datos, sistemas de archivos planos y formatos ASCII. GAS provee al auditor de SI de un medio independiente para obtener el acceso a datos para su análisis y la habilidad para usar software de alto nivel para resolución de problemas, que ejecuta funciones sobre los archivos de datos.



EVALUACION DE LAS FORTALEZAS Y DEBILIDADES

EI auditor de SI debe evaluar las fortalezas y debilidades de los controles evaluados y luego determinar s i son efectivos para cumplir los objetivos de control establecidos como parte del proceso de planeación de la auditoria.

Se utiliza una matriz de control para determinar el nivel apropiado de los controles. Los tipos conocidos de error que pueden ocurrir en el área bajo revisión, se colocan en el eje superior y los controles conocidos para detectar o para corregir los errores, en el eje lateral. Luego, usando un método de categorización, se llena la matriz con las medidas apropiadas. Cuando se haya completado, la matriz ilustrara las áreas donde los controles son débiles o faltan.

EI auditor de SI puede encontrar que no todos los procedimientos de control están establecidos pero debería evaluar la totalidad de los controles considerando las fortalezas y las debilidades de los procedimientos de control.

COMUNICACIÓN DE LOS RESULTADOS DE LA AUDITORIA
Durante la entrevista final, el auditor de SI debería:
-Asegurarse de que los hechos presentados en el informe estén correctos.
-Asegurarse de que las recomendaciones sean realistas y eficientes desde el punto de vista de los costos, y si no lo fueran, buscar alternativas negociando con la gerencia del auditado
-Sugerir fechas de implementación para las recomendaciones acordadas.

Las técnicas de presentación podrían incluir las siguientes:
Resumen Ejecutivo - Un informe conciso y fácil de leer, que presenta los hallazgos a la dirección en una forma comprensible. Los resúmenes ejecutivos deberían minimizar el uso de terminología compleja, Los hallazgos y las recomendaciones deberían ser comunicados desde una perspectiva de negocio. Los anexos detallados pueden ser de naturaleza más técnica ya que la dirección de operaciones requerirá el detalle para corregir las situaciones que se informan.

Presentación Visual- Esto puede incluir transparencias, diapositivas gráficas de computadora



Estructura y Contenido de un informe de Auditoria

Los informes de auditoría son el producto final del trabajo de auditoria de SI. Son usados por el auditor de SI para reportar a la dirección sus hallazgos y recomendaciones. El formato exacto de un informe de auditoría varía en cada organización. Los componentes básicos de un informe de auditoría y comunica los hallazgos de auditoria a la dirección.

-Una buena práctica es incluir hallazgos de auditoria en anexos separados.
-La conclusión y la opinión generales del auditor de SI respecto a si los controles y procedimientos examinados durante la auditoría son los adecuados, y los riesgos potenciales reales identificados como consecuencia de las deficiencias detectadas.
-Las reservas o calificaciones del auditor de SI con relación a la auditoría. Estas pueden declarar que se encontrón que los con troles o procedimientos examinados son adecuados o inadecuados. -EI balance del informe de auditoría deberá respaldar dicha conclusión y toda la evidencia recopilada durante la auditoria
-Los hallazgos destacados y las recomendaciones de la auditoria. EI auditor de SI decidiría incluir o no los hallazgos específicos en un informe de auditoría.
-Generalmente el auditor de SI deberá preocuparse de proveer un informe balanceado, que describa no solamente los aspectos negativos en términos de hallazgos sino también comentarios constructivos sobre procesos y controles en perfeccionamiento


ACCIONES DE LA GERENCIA PARA IMPLEMENTAR LAS RECOMENDACIONES

Para determinar si la dirección ha emprendido las acciones correctivas apropiadas. Los Auditores de SI deberían tener un programa de seguimiento para determinar si se han implementado las acciones correctivas acordadas.





DOCUMENTACION DE LA AUDITORÍA

La documentación de auditoria debe incluir, como mínima, un registro de:
La planeación y preparación del alcance y objetivos de la auditoría
La descripción y/o recorridos en el área de auditoría vista
El programa de auditoria
Los pasos de auditoria realizados y la evidencia de auditoria recopilada
El uso de servicios de otros auditores y expertos
Los hallazgos, conclusiones y recomendaciones de auditoria
La documentación de auditoria relacionada con la identificación y fechas de documentos
Se recomienda que la documentación incluya: una copia del informe emitido como resultado del trabajo de auditoria.

AUTOEVALUACION DEL CONTROL (Control Self-Assessment)
La autoevaluación del control (CSA) puede definirse como una técnica de la dirección que asegura a los accionistas, clientes y otros que el sistema de control interno del negocio es confiable. También asegura que los empleados estén conscientes de los riesgos del negocio y que realicen revisiones proactivas periódicas de los controles. Esta es una metodología usada para revisar los objetivos clave del negocio.
En la práctica, CSA es una serie de herramientas que abarcan desde simples cuestionarios hasta talleres de facilitación diseñados para recopilar información sobre la organización, solicitándola a los que tienen conocimientos de trabajo cotidiano de un área así como también a sus directivos.

OBJETIVOS DE CSA
EI objetivo primario es apalancar la función de auditoria interna cambiando algunas de las responsabilidades de monitoreo de control a las áreas funcionales.

LOS BENEFICIOS DE CSA
-Detección temprana de riesgos
-Contrales internos más efectivos y mejorados
-Creación de equipos cohesivos a través de la participación de los empleados
-Desarrollo de un sentido de propiedad de los contrales en los empleados y en los dueños del proceso y reducción de su resistencia a controlar las iniciativas de mejoramiento
-Mayor conciencia de los empleados sobre los objetivos organizacionales y mayor conocimiento sobre los riesgos y contrales internos
-Mayor comunicación entre los mandos operativos y la alta dirección
-Empleados altamente motivados
-Proceso mejorado de calificación en auditorias
-Reducción en el costo del control
-Mayor seguridad para los accionistas y clientes
DESVENTAJAS DE CSA
Podría confundirse como un remplazo de la función de auditoria
Se Ir considera como una carga de trabajo adicional (por ejemplo, un informe más a ser presentado a la dirección)
No implementar las mejoras sugeridas podría dañar la moral de los empleados
La falta de motivación puede limitar la efectividad en la detección de controles débiles.


EI ROL DEL AUDITOR EN CSA

Se considera que el rol del auditor en CSA ha mejorado cuando los departamentos de auditoría se involucran en el programa de CSA. Cuando se establecen estos programas, los auditores se convierten en profesionales del control interno y facilitadores de evaluación. Su valor en esta función es evidente cuando la dirección asume la responsabilidad y se considera dueña de los sistemas de control interno bajo su autoridad a través de mejoras del proceso en sus estructuras de control, incluyendo un componente activo de monitoreo.

CAMBIOS EMERGENTES EN EL PROCESO DE AUDITORIA DE SI

EI proceso de auditoría de SI debe cambiar constantemente para mantenerse al paso de las innovaciones en la tecnología. Los nuevas temas para encarar estos cambios emergentes incluyen áreas tales como papeles de trabajo automatizados, auditoria integrada y auditoria continua.

PAPELES DE TRABAJO AUTOMATIZADOS
A pesar que los auditores a menudo usan paquetes de automatización de oficina tales como procesadores de texto u hojas de cálculo, cada vez más se están implementando paquetes estándar para papeles de trabajo en departamentos de auditoria de medianos a grandes y están demostrando ser útiles y apropiados para facilitar el trabajo de auditoria.

AUDITORIA INTEGRADA
La auditoría integrada puede definirse como el proceso por el cual se combinan las disciplinas apropiadas de auditoria para evaluar los controles internos clave de una operación, un proceso o una entidad.
El proceso integrado de auditoria típicamente incluye:
-Identificación de los riesgos que enfrenta la organización para el área que está siendo auditada
-Identificación de los controles clave relevantes
-Revisión y comprensión del diseño de los controles clave
-Comprobación de que los controles clave están respaldados por el sistema de Tl
-Comprobación de que los controles de la dirección son efectivos
-Un informe u opinión combinada sobre riesgos, diseño y debilidades de los controles

AUDITORIA CONTINÚA
El carácter distintivo de la auditoria continua es el corto lapso de tiempo entre los hechos a ser auditados, la recopilación de evidencia y el informe de auditoría. La auditoría continua involucra una gran cantidad de trabajo porque la compañía que practica la auditoria continua no provee un informe al final de un trimestre, sino que proveerá informes financieros con mayor frecuencia.
Auditoria continua en si es una metodología que permite a auditores independientes proveer certeza escrita sobre un asunto usando una serie de informes de auditoría emitidos simultáneamente, en un periodo corto de tiempo después de que han ocurrido los eventos subyacentes al asunto.
Los prerrequisitos para que la auditoría continua tenga éxito incluyen:
-Un alto grade de automatización
-Un proceso automatizado y altamente confiable para producir información sobre un asunto tan pronto hayan ocurrido los eventos subyacentes al asunto durante los mismos.
-Activadores de alarma para informar oportunamente fallas de control
Implementación de herramientas de auditoria altamente automatizadas que requieren que el auditor de SI participe en la configuración de los parámetros
-La rápida y oportuna emisión de informes automatizados de auditoria
-Auditores de SI técnicamente competentes
-Disponibilidad de fuentes confiables de evidencia
-Adherencia a las directrices sobre materialidad
-Un cambio de mentalidad para que los auditores de SI adopten el informe continuo
-Evaluación de los factores de costo
La implementación de auditoria continua involucra muchos factores; sin embargo, la tarea no es imposible. Existe un deseo creciente de proveer auditoria de información en un ambiente de tiempo real



CONCLUSION

El proceso de auditoría de sistema de información esta subdivido de tal manera que se lleve una secuencia de pasos lógicos, que van a partir de
-Planteamiento donde se tiene que plantear el escenario, el cual debe contener los objetivos, tareas a realizar.
-La parte de la administración de las funciones de la auditoria en la cual se hace la organización de las funciones, la planeación de la auditoria entre lo que se encuentra la planeación anual y las asignaciones individuales.
-El apego a las normas establecidas para la auditoria que son los estándares, directrices y procedimientos
-El análisis de riesgos donde se generan los controles para mitigar los riesgos
-Controles internos se generan para proveer una certeza razonable con la cual se lograran los objetivos
-Ejecución de una auditoria, conlleva a la metodología de las mismas, la detección de fraudes, la evaluación de riesgos, la obtención de las evidencias, la evaluación de las fortalezas y debilidades, la comunicación de los resultados, las acciones recomendadas para la implementación de las recomendaciones y por último la documentación de la auditoria.
Cuanto más esfuerzo se ponga en las fases primarias de una auditoria, más claro serán las acciones que se tiene que llevar para hacer una buena auditoria, es muy importante mencionar, que el documento donde se entrega el informe final no hay establecido un formato especifico, pero se tienen que segur una serie de recomendaciones que tiene la finalidad de integrar un documento estructurado, en el cual se muestran los resultados obtenidos, con la documentación técnica que genere la auditoria se recomienda entregarla en anexos, ya que los documentos que informan el resultado de la auditoria deben tener un lenguaje que entienda la parte gerencial. Una parte muy importante y que consiste en establecer mecanismos para que la parte gerencial efectivamente tome las recomendaciones generadas por la auditoria y las lleve acabo.