Proceso de auditoría de la tecnología de la información

Proceso de auditoría de la tecnología de la información:

Generally Accepted Auditing Standards (GAAS)

En 1947, el Instituto americano de Contables públicos certificados (AICPA) adoptó GAAS para establecer estándares para auditorías. Los estándares cubren las tres categorías siguientes:

Descripción de proceso de auditoría de la tecnología de la información

El auditor debe planear y conducir la auditoría para asegurar que su riesgo de auditoría (el riesgo de alcanzar una conclusión incorrecta basada en las conclusiones de auditoría) se limite con un nivel aceptable. Para eliminar la posibilidad de tasar el riesgo de auditoría demasiado bajo el auditor debería realizar los pasos siguientes:

El entendimiento de la organización y su ambiente es usado para tasar el riesgo de la declaración falsa/debilidad material y poner el alcance de la auditoría. El entendimiento del auditor debería incluir la información sobre la naturaleza de la entidad, dirección, gobierno, objetivos y estrategias y procesos de negocio.

El auditor debe evaluar los riesgos comerciales de una organización (amenazas para la capacidad de la organización de conseguir sus objetivos). Los riesgos comerciales de una organización se pueden levantar o cambiar debido a nuevo personal, sistemas de información nuevos o reestructurados, reestructuración corporativa y rápido crecimiento para llamar a unos cuantos.

Una vez que el auditor ha evaluado la respuesta de la organización a los riesgos tasados, el auditor debería obtener entonces pruebas de las acciones de la dirección hacia aquellos riesgos. La respuesta de la organización (o carecen de eso) a cualquier riesgo comercial afectará el nivel tasado del auditor del riesgo de auditoría.

Basado en el conocimiento obtenido en la evaluación de las respuestas de la organización a riesgos comerciales, el auditor entonces tasa el riesgo de declaraciones falsas materiales y determina procedimientos de auditoría específicos que están necesarios basado en esa evaluación de riesgos.

A este nivel, el auditor debería determinar si las evaluaciones de riesgos eran apropiadas y si las pruebas suficientes se obtuvieron. El auditor publicará un informe de auditoría no calificado o calificado basado en sus conclusiones. </ol>

Fases de ESTO revisan

El proceso de auditoría se puede dividir abajo en las fases de auditoría siguientes:

Establezca los términos del compromiso

Esto permitirá que el auditor ponga el alcance y los objetivos de la relación entre el auditor y la organización. La carta de compromiso se debería dirigir a la responsabilidad (alcance, independencia, deliverables), autoridad (el derecho del acceso a la información), y responsabilidad (los derechos de los auditee, fecha de finalización concordada) del auditor.

Preliminary Review

Esta fase de la auditoría permite que el auditor junte la información organizativa como una base para crear su plan de auditoría. La revisión preliminar identificará estrategia de una organización y responsabilidades de manejar y controlar aplicaciones del ordenador. Un auditor puede proveer un en profundidad la descripción del sistema de contabilidad de una organización para establecer qué aplicaciones son económicamente significativas en esta fase. La obtención de datos generales sobre la compañía, la identificación de áreas de aplicación financieras y la preparación de un plan de auditoría pueden conseguir esto.

Establezca materialidad y tase riesgos

A fin de planear la auditoría, un juicio preliminar sobre materialidad y evaluación de los riesgos comerciales del cliente se hace poner el alcance de la auditoría.

Planee la auditoría

La planificación apropiada de la auditoría asegurará que la auditoría se conduzca en una manera eficaz y eficiente. Desarrollando el plan de auditoría, el auditor debería tener en cuenta los resultados de su entendimiento de la organización y los resultados del proceso de evaluación de riesgos.

Considere control interno

Para desarrollar su entendimiento de mandos internos, el auditor debería considerar la información de auditorías anteriores, la evaluación de riesgo inherente, juicios sobre la materialidad y la complejidad de operaciones de la organización y sistemas.

Una vez que el auditor desarrolla su entendimiento de los mandos internos de una organización, serán capaces de tasar el nivel de su riesgo de control (el riesgo una debilidad material no se prevendrá o descubierta por mandos internos).

Realice procedimientos de auditoría

Los procedimientos de auditoría se desarrollan basados en el entendimiento del auditor de la organización y su ambiente. Un enfoque de auditoría sustancial se usa revisando el sistema de información de una organización.

Publique el informe de auditoría

Una vez que los procedimientos de auditoría se han realizado y los resultados se han evaluado, el auditor publicará un informe de auditoría no calificado o calificado basado en sus conclusiones.

Planificación de la auditoría

ES Estándar 050 (Planificación) estados, “ESTO el auditor debería planear los sistemas de información revisa la cobertura para dirigirse a los objetivos de auditoría y cumplir con leyes aplicables y normas de auditoría profesionales.”

Una de las primeras tareas que un auditor debe hacer planeando la auditoría es desarrollar un presupuesto trabajador. ESTO gerente de auditoría debe saber las capacidades del personal de auditoría asignado al proyecto. Además del tiempo planeado el presupuesto tenía que realizar la auditoría, ESTO el gerente de auditoría también debería planear el presupuesto el tiempo tenía que entrenar al personal de auditoría (de ser necesario) y permitir el tiempo con cualquier objetivo de corrección de errores.

Planeando la auditoría, el auditor decide que nivel del riesgo de auditoría (el riesgo de alcanzar una conclusión incorrecta basada en las conclusiones de auditoría) él o ella quieren aceptar. Más eficaz y extenso el trabajo de auditoría es, menos el riesgo que una debilidad vaya pasada por alto y el auditor publicará un informe inadecuado. El riesgo de auditoría es dependiente a los niveles tasados de los auditores del riesgo inherente (la susceptibilidad de un área de auditoría al error que podría ser material, suponiendo que no haya ningunos mandos internos relacionados), controle el riesgo (el riesgo una debilidad material no se prevendrá o descubierta por mandos internos), y riesgo de descubrimiento (las pruebas del sustantivo del riesgo no descubrirán un error que podría ser material). Estos riesgos se determinan cuando el auditor realiza una evaluación de riesgos de la organización.

Además, a fin de evaluar si ESTO revisa ha tenido éxito, el auditor debe identificar primero el alcance intencionado y los objetivos de la auditoría probar las aseveraciones de la dirección en sus sistemas de información. Para encontrar los objetivos de auditoría y asegurar que los recursos de auditoría se usen eficazmente, el auditor tendrá que establecer niveles de la materialidad. El auditor debería considerar tanto aspectos cualitativos como cuantitativos en la determinación de la materialidad. Una evaluación de riesgo se debería hacer proporcionar el aseguramiento razonable que todos los artículos materiales serán suficientemente cubiertos durante el trabajo de auditoría. Esta evaluación debería identificar áreas con el relativamente alto riesgo de la existencia de problemas materiales.

Materialidad

En la evaluación de la materialidad, ESTO el auditor debería considerar:

Estableciendo la materialidad, el auditor puede revisar artículos no financieros como controles de acceso físicos, controles de acceso lógicos y sistemas para la dirección del personal, fabricando el control, el diseño, el control de calidad y la generación de la contraseña.

Planeando el trabajo de auditoría para encontrar los objetivos de auditoría, el auditor debería identificar objetivos de control relevantes y determinar, basado en la materialidad, qué mandos se deberían examinar. Los objetivos de control internos son colocados por la dirección e identifica lo que la dirección se esfuerza por conseguir a través de sus mandos internos.

Donde las operaciones financieras no se tratan, lo siguiente identifica algunas medidas que el auditor debería considerar tasando la materialidad:

Evaluación de riesgos

Un riesgo está cualquier acontecimiento o acción, generada internamente o por fuera, que impide a una organización conseguir sus objetivos y/o objetivos. Los riesgos afectan objetivos de control en las áreas de integridad de datos y exactitud, oportunidad de la información para la toma de decisiones, capacidad de tener acceso al sistema y la confidencialidad/intimidad de la información, llamar a unos cuantos. La evaluación de riesgos permite que el auditor determine el alcance de la auditoría y tase el nivel de riesgo de auditoría y riesgo de error (el riesgo de errores que ocurren en el área revisada). Además, la evaluación de riesgos ayudará en la planificación de decisiones como:

Documentación de evaluación de riesgos

Una vez que el nivel tasado del riesgo se ha determinado, el auditor debería documentar lo siguiente en sus papel de trabajo:

El plan de auditoría

Los detalles del plan de auditoría los objetivos de auditoría y pasos que el auditor debe tomar para asegurar todas las cuestiones importantes en la auditoría son cubiertos. El plan de auditoría incluye:

El objetivo del plan de auditoría es asistir al auditor en la conducción de una auditoría eficaz y eficiente.

Planificación de nota

Una nota de planificación perfila para el auditee el tono y el curso de la acción ESTO que el gerente de auditoría planea tomar. Los contornos de la nota para el auditee las áreas dentro de la auditoría el auditor planea pasar la mayor parte de su tiempo, y da al auditee la oportunidad de expresar cualquier preocupación.

Evaluación de mandos internos

COSO define el control interno como, “un proceso, bajo la influencia de junta directiva de una entidad, dirección y otro personal, que se diseña para proporcionar el aseguramiento razonable en la eficacia y la eficacia de operaciones, fiabilidad del informe financiero y la conformidad de leyes aplicables y normas”. El auditor evalúa la estructura de control de la organización entendiendo los cinco componentes de control interrelacionados de la organización. Incluyen:

Proporciona la fundación a los otros componentes. Cerca tales factores como la filosofía de la dirección y haciendo funcionar el estilo. </li>

Consiste en identificación del riesgo y análisis. </li>

Consiste en las políticas y procedimientos que aseguran que los empleados realicen las direcciones de la dirección. Los tipos de actividades de control que una organización debe poner en práctica son mandos preventivos (los mandos tuvieron la intención de parar un error de ocurrir), mandos policíacos (los mandos tuvieron la intención de descubrir si un error ha ocurrido), y mandos que mitigan (actividades de control que pueden mitigar los riesgos asociados con un control clave que no funciona con eficacia). </li>

Asegura que la organización obtenga la información pertinente, y luego la comunique en todas partes de la organización. </li>

El repaso de la salida generada por actividades de control y la conducción de evaluaciones especiales. </li>

</ol>

Además del entendimiento de los componentes de control de la organización, el auditor también debe evaluar los mandos de Aplicación y General de la organización. hay tres riesgo de auditoría componenets que son el riesgo de control, el riesgo de descubrimiento y el riesgo inherente.

Mandos generales

Los mandos generales están relacionados con el ambiente del proceso de información total y tiene un efecto grande en las operaciones del ordenador de la organización. Los tipos de mandos generales incluyen:

Mandos de aplicación

Los mandos de aplicación se aplican al procesamiento de aplicaciones de la contabilidad individuales y ayuda aseguran el completo y la exactitud de procesamiento de la transacción, autorización y validez. Los tipos de mandos de aplicación incluyen:

Los mandos de aplicación pueden ser puestos en peligro por los riesgos de aplicación siguientes:

Pruebas de mandos

Las pruebas de mandos son procedimientos de auditoría realizados para evaluar la eficacia del diseño o de la operación de un control interno. Las pruebas de mandos dirigidos hacia el diseño del control se concentran en evaluar si el control apropiadamente se diseña para prevenir debilidades materiales. Las pruebas de mandos dirigidos hacia la operación del control se concentran en tasar cómo el control se aplicó, el consecuencia con el cual se aplicó, y quien lo aplicó. Además de investigación con el personal apropiado y observación de la aplicación del control, ESTO el foco principal del auditor cuando las pruebas de los mandos deben hacer un nuevo rendimiento de la aplicación del control ellos mismos.

Procedimientos de auditoría

Prueba de auditoría

La prueba de auditoría es la aplicación de un procedimiento de auditoría a menos del 100% de la población para permitir a ESTO al auditor para evaluar pruebas de auditoría dentro de una clase de transacciones para la formación de una conclusión acerca de la población. Diseñando la talla y la estructura de una muestra de auditoría, ESTO el auditor debería considerar que los objetivos de auditoría determinaron planeando la auditoría, la naturaleza de la población y los métodos de selección y prueba.

Selección de la muestra

El auditor debería seleccionar los artículos de la muestra de tal modo que son representativos de la población. Los métodos de selección de prueba el más comúnmente usados son:

La selección del tamaño de la muestra es afectada por el nivel de probar el riesgo que ESTO auditor quiera aceptar. La prueba del riesgo es el riesgo la conclusión del auditor puede ser diferente de la conclusión que sería no alcanzarse

alcanzado si la población entera se sujetara al mismo procedimiento de auditoría. Los dos tipos de probar el riesgo son:

</ol>

Una vez que los artículos de la muestra se han seleccionado para probarse, el auditor puede comenzar las pruebas de auditoría usando el Ordenador Asistieron a Técnicas de Revisión (CAATs), de que hablarán dentro de poco.

Evaluación y documentación de muestras

El rendimiento y la evaluación de una muestra se deben dirigir a las cuestiones siguientes:

El auditor debe documentar en sus papel de trabajo los objetivos de prueba y el proceso de prueba usado. Los papeles de trabajo deberían incluir la fuente de la población, el método de prueba parámetros usados, que prueban, artículos seleccionados, los detalles de las pruebas de auditoría realizadas, y conclusiones alcanzadas.

El ordenador asistió a técnicas de revisión (CAATs)

CAATs son usados para probar mandos de aplicación así como realizar pruebas sustanciales sobre artículos de la muestra. Los tipos de CAATs incluyen:

Pruebas

A través del uso de CAATs, el auditor será capaz de obtener pruebas para apoyar sus conclusiones finales desarrolladas en la auditoría. Pruebas de auditoría deberían ser suficientes, confiables, relevantes, y útiles para el auditor para formar una opinión y apoyar sus conclusiones y conclusiones. Si el auditor no puede formar una opinión basada en pruebas de auditoría obtenidas, el auditor debería obtener entonces pruebas de auditoría adicionales.

Los procedimientos solían enterarse de que pruebas de auditoría varían según el sistema de información revisado. El auditor debería seleccionar el procedimiento más apropiado del objetivo de auditoría. Los procedimientos siguientes se deberían considerar:

Pruebas de auditoría juntadas por el auditor se deberían documentar y organizarse para apoyar conclusiones del auditor y conclusiones. Finalmente, cuando un auditor cree que pruebas de auditoría suficientes no se pueden obtener, el auditor debería revelar este hecho como una limitación del alcance dentro del informe de auditoría.

Completar la auditoría

Antes de elegir el informe de auditoría apropiado, el auditor debe considerar las cuestiones siguientes:

</ol>

Los procedimientos de auditoría usados para examinar para acontecimientos subsecuentes incluyen la petición de la dirección si algún ajuste extraño a sus sistemas de información se ha hecho durante el período de acontecimientos subsecuente (después de que la finalización de la auditoría, pero antes de que el informe de auditoría se publique), o la obtención de una carta de representación de la dirección.

La conclusión del auditor y las conclusiones, que están basadas en pruebas documentadas, deben ser objetivas, mensurables, completas, y relevantes. Las conclusiones se revelan a la dirección en declaraciones formales, típicamente un informe de auditoría. Cualquier recomendación se debe proporcionar a cada descubrimiento de auditoría para el informe de ser útil para la dirección.

Reportaje

ES la Norma de auditoría 070 (Reportaje) estados,

“ESTO auditor debería proporcionar un informe en una forma apropiada, después de la finalización de la auditoría. El informe debería declarar el alcance, objetivos, el período de la cobertura, y la naturaleza, cronometraje y grado del trabajo de auditoría realizado. El informe debería declarar las conclusiones, conclusiones, y recomendaciones y cualquier reserva, calificaciones o limitaciones del alcance que auditor tiene con respecto a la auditoría.”

Tipos de las opiniones de los auditores

Hay cuatro tipo de opiniones que el auditor puede expresar en su informe, según circunstancias:

Documentación de auditoría

Los papeles de trabajo (documentación de auditoría) son la colección formal de notas de auditores, documentos, organigramas, correspondencia, resultados de observaciones, proyectos y resultados de pruebas, el plan de auditoría, los minutos de las reuniones, automatizó archivos, ficheros de datos o resultados de aplicación

Recursos

</ol>



Buscar