Es el
primer paso para realizar una auditoría en sistemas computacionales es definir
las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada
planeación de estas.
Identificar el Origen de la auditoría
Un paso
fundamental para iniciar una planificación de una auditoria en el área de
sistemas es identificar el origen de la auditoria; lo principal es saber porque
surge la necesidad de realizar una auditoría.
Las
auditorias pueden surgir por:
ü Solicitud interna
ü Solicitud externa
ü Emergencia o condiciones especiales
ü Realizar una visita preliminar al área que será
evaluada
ü Visita preliminar de arranque
Contacto
inicial con funcionarios y empleados del área Metodología para realizar
auditorías de sistemas computacionales Método Del griego Methodos, de meta, con
y Odos, Vía. Método razonable de obrar y hablar. Modo prescrito para ejecutar
una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo
establecido.
Metodología
Conjunto
de métodos que se siguen en una investigación científica o en una exposición
doctrinal.
Planeación
Es el
proceso de decidir de antemano qué se hará y de qué manera. Incluye determinar
la misión global, identificar los resultados claves y fijar objetivos
específicos, así como políticas para el desarrollo, programas y procedimientos
para alcanzarlos.
Plan
“El plan
es un método detallado, formulado de antemano, para hacer algo” .
AUDITORÍA INFORMÁTICA
Es un
proceso formal ejecutado por los especialistas del área de auditoría y de
informática, el cual se orienta a la verificación y aseguramiento de que las
políticas y procedimientos establecidos para el manejo y uso adecuado de la TI
en la organización se lleven a cabo de una manera oportuna y eficiente. Marco
conceptual de la metodología para realizar auditoría de sistemas
computacionales Identificación preliminar de la problemática de sistemas
Lo que se
pretende con esta identificación preliminar de las posibles dificultades que
hay en los sistemas de la empresa, es que el auditor tenga un panorama
anticipado del comportamiento de dichos sistemas, aunque éste sea de carácter
muy somero de dudosa confiabilidad.
Prever los objetivos iniciales de la auditoría
Otro
aspecto que también se puede obtener de esta visita al área que será auditada.
Calcular los recursos y personas necesarias para
la auditoría
Otro
beneficio de esta visita preliminar al área que será auditada, es la
posibilidad de calcular tanto el tipo como la cantidad de recursos que serán
necesarios para llevar a cabo la evaluación, contemplando los recursos de
carácter humano, informático, material, técnico y económico.
ü Determinar los puntos que serán evaluados en la
auditoría
ü Recursos económicos
ü Elegir los Tipos de Auditoría que serán
Utilizados
Evidentemente
es difícil establecer un tipo de auditoría que se pueda aplicar uniformemente
en la evaluación de los sistemas de una empresa, ya que en mucho dependerá de
los objetivos que se busca satisfacer con la auditoria de sistemas, así como
del tópico que será analizado, y desde que punto de vista lo evaluara el
auditor. Metodología para realizar auditorías de sistemas computacionales
Personal para la auditoría de Sistemas
Es el
personal especializado en auditorias de sistemas, el cual aplica sus
conocimientos, habilidades y experiencia en las diferentes disciplinas de ala
auditoria, utilizando para ello las técnicas, procedimientos, métodos de
evaluación, herramientas e instrumentos de revisión especializada y tradicional
para la evaluación de sistemas.
ü Elaborar Planes, Programas y Presupuestos para
Realizar la Auditoría
ü Elaborar el Documento Formal de los Planes de
Trabajo para la Auditoría
Es la
elaboración específica y escrupulosa de los planes formales de trabajo para la
auditoria de sistemas. Estos planes se presentan en un documento oficial
llamado plan de auditoría de sistemas, el cual contiene todos los aspectos
relacionados con la realización de la auditoria.
Elaborar el Documento Formal de los Programas de
Auditoría
En este
documento se anotan, las preferencias en forma grafica, todas las etapas,
eventos y actividades, que se realizarán durante la auditara; además, se anota
el periodo de duración de cada etapa una de las partes en que se dividió el
trabajo de evaluación.
Elabora los Presupuestos para la Auditoría
Este
presupuesto es parte integral, ya que contempla los recursos que se utilizarán
en el plan y programa de trabajo, solo que se agregan los costos y el tiempo
que se utilizarán estos recursos durante la evaluación. Metodologías para
realizar auditorias computacionales Elaborar la Guía de Auditoría
Éste es un
documento de carácter formal, en el cual se anotan todos los puntos que deberán
ser evaluados, ya sea del centro de cómputo, del sistema de evaluación, de la
gestión informática o de cualquiera de los aspectos del área de sistemas.
También se anotan la técnica y la forma en que será evaluado cada punto, así
como su ponderación o peso específico.
Diseñar los Cuestionarios
El encargado
de la auditoría será el responsable de elaborar y autorizar los cuestionarios,
de acuerdo a las necesidades y características de la entidad.
Diseñar los Formularios para Encuestas
El auditor
debe definir los tipos de encuestas que utilizará, sus características y os
formularios de preguntas que utilizará en su auditoría, a fin de obtener las
opiniones de los auditados en relación con los sistemas computacionales, sus
servicios, satisfacción de la función informática y muchos otros tópicos de opinión
útiles para su evaluación.
Diseñar los métodos e instrumentos de muestreo
En su
recopilación, el auditor no puede ni debe recopilar toda la información
disponible en el área de sistemas.
Diseñar las pruebas para la evaluación
Parte
importante de la planeación de la auditoría, en esta etapa se determinan, lo
más claramente posible, el tipo de pruebas, su alcance e intensidad, sus
características y especificaciones, de acuerdo con las necesidades de la
auditoría y las características de los sistemas. Metodologías para Realizar
Auditorias de Sistemas Computacionales Ejecución de la Auditoría de sistemas
computacionales Realizar las acciones programadas para la auditoria
De acuerdo
con el programa de auditoría, cada auditor tiene que realizar las actividades que
le corresponden conforme fueron diseñadas, en la cronología que le fue asignada
a cada una, y de acuerdo con los tiempos y recursos que corresponde utilizar,
el propósito es ejecutar los eventos programados y alcanzar el objetivo de la
auditoria.
Aplicar los instrumentos y herramientas para la
auditoria
Aquí lo
importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno
a uno, los instrumentos y herramientas elegidos para llevar a cabo la
evaluación, ya sea mediante la recopilación y análisis de la información, la
observación, las pruebas y simulaciones de los sistemas, o mediante cualquier
otro instrumentos de los que diseñaron previamente para esta revisión.
Elaborar el dictamen preliminar y presentarlo a
discusión
Una vez
que el auditor determino las desviaciones encontradas durante la evaluación,
debe elaborar un documento que contenga todas las desviaciones detectadas, o lo
puede elaborar con cada una de las desviaciones por separado, de acuerdo a las
necesidades de la empresa.
Integrar el legajo de papeles de auditoria
El auditor
tiene la obligación de conservar en el llamado legajo de papeles de la
auditoria cada uno de los instrumentos aplicados en la evaluación, con el
propósito de sustentar, llegado el caso, las observaciones reportadas.
Ejecución de la Auditoría de Sistemas Computacionales Dictamen de la auditoria
de sistemas computacionales
El último
paso es emitir el dictamen, el cual es el resultado final de la auditoria de
sistemas de sistemas computacionales, para ello presentamos los siguientes
pasos:
ü La información y elaborar un informe de
situaciones detectadas
ü Elaborara el dictamen final
ü Presentar el informe de auditoria
ü Analizar los papeles de trabajo
ü El auditor debe hacer un estudio de los papeles
de trabajo resultantes de la auditoria, con el propósito de detectar las
posibles desviaciones en la operación normal del área o sistema computacional
que se está auditando.
ü Señalar las situaciones encontradas
ü El auditor debe plasmar en forma específica y lo
más concretamente posible las desviaciones encontradas en la operación del
sistema o en el área que está evaluando y, y si es posible debe, señalar las
causas que la generaron.
ü Realizar las modificaciones necesarias
Después de
que el auditor haya comentado ampliamente las desviaciones con los
involucrados, deberá ratificar las desviaciones y, de ser necesario, elaborara
las correcciones que sean pertinentes, modificando el borrador, las causas o
las posibles soluciones. También podría elaborar nuevamente el borrador del
informe, e incluso lo podría comentar nuevamente si fuera necesario. Ejecución
de la Auditoría de Sistemas Computacionales Elaborar el dictamen final
El auditor
debe terminar de elaborar el informe de auditoría de sistemas y complementarlo
con el dictamen final (opinión del auditor), y después de presentarlos a los
directivos del área de sistemas auditada para que conozcan la situación actual
de dicha área, antes de presentarlo al responsable de la empresa
Analizar la información y elaborar un documento de
desviaciones detectadas
Elaborar informe y el dictamen formales
Después de
analizar los informes anteriores (el borrador oficial comentado), el auditor
debe elaborar, de manera formal, el informe de las desviaciones encontradas,
especificándolas por área, por servicio o por cualquier otro formato de
presentación.
Elaboración del dictamen formal
En esta
fase son fundamentales la experiencia, los conocimientos y la capacidad del
auditor para elaborar, lo mas profesionalmente posible, el dictamen de la auditoria
y el informe de las desviaciones encontradas durante la revisión. Integración
del informe de auditoría
Es de suma
importancia destacar que el dictamen y el informe final de la auditoria deben
ser elaborados perfectamente y no deben tener error alguno. También deben
contener, de la manera más clara y correcta, las desviaciones detectadas en la
evaluación.
Presentación de informe de auditoría
Es la
reunión plenaria con el nivel más alto directivo, para entregarle en mano el
dictamen de la auditoría realizada; en este caso ya no existen comentarios ni
aclaraciones sobre el informe, solo es la lectura o entrega física del dictamen
y el informe final de la auditoria. Esta presentación es de carácter formal y
protocolario. Ejecución de la Auditoría de Sistemas Computacionales
METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS
COMPUTACIONALES
Se pueden
desarrollar una serie de actividades y técnicas que nos pueden ayudar a
realizar la auditoria de información:
Inventario
físico:
Es el
proceso de identificación y categorización de los recursos de información de
una forma sistemática. De esta forma, se proporciona una fotografía de lo que
la organización posee en términos de recursos de información en un momento
determinado.
Masificación
de la información (Infamar): Constituye una forma gráfica de representar los
recursos de información que hay en la organización y las interrelaciones entre
éstos. El mapa de recursos indica hasta qué punto los recursos de información
son básicos, de qué modo se encuentran posicionados (geográficamente,
departamentalmente, desde un punto de vista técnico), cómo interactúan, quién
los utiliza, quién es el responsable, etc.
Análisis de las necesidades de información.
Tiene como finalidad principal determinar qué
información requieren los empleados y la dirección de la organización para
desarrollar sus papeles y alcanzar los objetivos. Gráficos de procesos y flujos
de trabajo. Los gráficos de procesos junto con los flujos de trabajo pueden constituir una buena herramienta de
trabajo en el ámbito de las auditorias de la información.
Procesos de control y verificación.
En una auditoria de la información, se deben
establecer también los procesos de control y verificación. El resultado de
estos procesos puede consistir en un informe o, incluso, un certificado que
confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que
tener presente que el mapa de recursos de información, o mapa documental, puede
constituir uno de los principales resultados del proceso de la auditoria de
información. En el caso del mapa documental, éste detalla qué documentos se
encuentran dentro de la organización, a qué tipo de funciones se encuentran
vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos
documentos, en qué soporte están disponibles, dónde y cómo se encuentran
accesibles y qué relación o nivel de integración tienen con el resto de los
sistemas de información de la organización. También se establece la
localización de todos los documentos dentro de los estándares y los
procedimientos de la organización, así como su valor para el conocimiento
corporativo
PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS
COMPUTACIONES
A lo largo
de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes
de lo realizado, no solo como recordatorio fundado de su actuación con las
necesarias matizaciones para emitir el
informe, sino como medio de demostrar, en cualquier momento, la amplitud y la
evidencia de los hechos, y poder expresar los procedimientos de auditoría
utilizados, así como la interpretación dada en cada caso a los hechos, con las
conclusiones obtenidas. Estas pruebas, deben ser conservadas en lugar
protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o
equipo de auditores. No deberán destruirse antes de que haya transcurrido el
tiempo que establecen las obligaciones derivadas de las leyes y de las
necesidades de la práctica profesional. Su destrucción o pérdida, así como la
difusión no autorizada, acarrearía responsabilidad para el auditor.
Estructura
de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al
conjunto de documentos preparados por un auditor, que le permite disponer de
una información y de pruebas efectuadas durante su actuación profesional en la
empresa, así como las decisiones tomadas para formar su opinión.
Su misión
es ayudar en la planificación y la ejecución de la auditoría, ayudar en la
supervisión y revisión de la misma y suministrar evidencia del trabajo llevado
a cabo para respaldar la opinión del auditor.
Han de ser
detallados y completos los papales de trabajo y deben estar diseñados para
presentar la información requerida de forma clara y plena de significado. Estos
deben elaborarse en el momento en que se realiza el trabajo y son propiedad del
auditor, quien debe adoptar las medidas oportunas para garantizar su custodia
sin peligro y su confidencialidad. En cuanto a los objetivos de los papeles de
trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo
realizado y de soporte de las conclusiones del mismo. - Presentar informes a
las partes interesadas.
-
Facilitar los medios para organizar, controlar, administrar y supervisar el
trabajo ejecutado en las oficinas del cliente.
-
Facilitar la continuidad del trabajo en el caso de que un área deba ser
terminada por persona distinta de la que la inició.
-
Facilitar la labor de revisiones posteriores y servir para la información y
evaluación personal.
TIPOS DE PAPELES DE TRABAJO.
En función
de la fuente de la que procedan los papeles de trabajo, éstos se podrán
clasificar en tres grupos:
• Preparados por la entidad auditada. Se trata de
toda aquella documentación que la empresa
pone al servicio del auditor para que pueda llevar a cabo su trabajo:
estados financieros, memoria, escritura, contratos, acuerdos.
• Confirmaciones de terceros. Una parte del
trabajo de auditoría consiste en la verificación de los saldos que aparecen en
el balance de situación a auditar. c) Preparados por el auditor. Este último
grupo estará formado por toda la documentación elaborada por el propio auditor
a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones,
detalles de los diferentes capítulos de los estados financieros, cuentas,
transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de
trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados
todos los documentos utilizados en la actuación profesional, así como cuantas
informaciones se consideren de interés, tanto para el presente como para el
futuro.
• Se pueden distinguir dos tipos de archivos:
expediente de ejercicio y permanente. El contenido de este archivo se refiere a
documentos y papeles de trabajo cuya vigencia se limita al período de
realización de la auditoría.
• primera
corresponde a la descripción, y las otras cinco a un criterio de evaluación
descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).
MATRIZ DOFA:
Es un acrónimo de Debilidades, Oportunidades,
Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por
separado en cuanto a su presencia interna y a la influencia que la empresa
recibe del exterior. El fundamento para la aplicación de la matriz DOFA en una
auditoria de sistemas computacionales, es que mediante la misma se pueden
estudiar las influencias que afectan el comportamiento del área de sistemas
computacionales de una empresa, tanto las quien recibe de su ambiente interior
como exterior, ya sean de la propia empresa o de sus proveedores,
desarrolladores o del entrono donde este establecida.
TECNICAS ESPECIALES DE AUDITORIA DE SISTEMAS
COMPUTACIONALES
Diagramas
del círculo de evaluación. Herramienta de apoyo para la evaluación de los
sistemas computacionales. Para valorar visualmente: El comportamiento de los
sistemas que están siendo auditados. Su cumplimiento Sus limitaciones. Durante
las diferentes etapas: Estudio Preliminar, Análisis del Sistema, Diseño
Conceptual, Diseño Detallado, Programación, Pruebas, Implantación. Diagramas
del círculo de evaluación. ¿Que Podemos Evaluar Con Esta Herramienta? Seguridad
en el área de sistemas computacionales. Evaluación administrativa del área de
sistemas.
ü Evaluación de los sistemas computacionales
Seguridad en el área de sistemas computacionales:
ü Acceso físico al área de sistemas. Acceso, uso,
mantenimiento y resguardo de las bases de datos. Del personal informático. De
las instalaciones del área de sistemas. Plan de contingencias. Seguridad lógica
del sistema.
ü Evaluación administrativa del área de sistemas de
la misión, visión, objetivos, estrategias,
planes, programas, estructura de la organización, perfil de puestos.
ü Evaluación de la documentación de sistemas, de
la seguridad y la protección de los archivos informáticos, instalaciones.
ü Evaluación de la capacitación, adiestramiento y
promoción del personal.
ü Evaluación del desarrollo de proyectos
informáticos, estandarización de metodologías,
programas, equipos, sistemas, mobiliario. Lista de verificación (o lista
de chequeo).Instrumento que contiene criterios o indicadores a partir de los
cuales se miden y evalúan las características del objeto, comprobando si cumple
con los atributos establecidos. La lista de verificación se utiliza básicamente
en la práctica de la investigación que forma parte del proceso de evaluación.
ANÁLISIS DE LA DIAGRAMACIÓN DE SISTEMAS.
Análisis de la diagramación de sistemas. Unas
de las principales herramientas para el
análisis y diseño de los sistemas computacionales. El analista puede
representar:
Los flujos de información., actividades,
operaciones, procesos y otros aspectos que intervienen en el desarrollo de los
propios sistemas El programador puede visualizar el panorama específico del sistema, para
elaborar de manera más precisa la codificación de instrucciones para el
programa. Análisis de la diagramación de sistemas. El auditor puede utilizar
esta herramienta para el diseño de sistemas de diferentes formas en una
auditoria de sistemas, de acuerdo con su experiencia, conocimientos y
habilidades, mismas que debe canalizar en los siguientes sentidos: Solicitar
los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un
diagrama del sistema. Verificar la documentación de los sistemas a través de
sus diagramas.
PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA
AUDITORÍA DE SISTEMAS COMPUTACIONALES
En el
desarrollo de sistemas se debe emplear la misma metodología que utilizan los
diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el
objetivo primario del auditor es evaluar
la suficiencia de los controles internos, el objetivo del diseñador de sistemas
es satisfacer las necesidades de los usuarios; ambos deberían compartir el
deseo de ver que se logran los objetivos de cada uno.
PARTICIPACION DEL AUDITOR
Aún cuando
el auditor esté interesado en todos los aspectos del nuevo sistema, debe velar
porque se establezcan todos los controles de aplicación. Su principal función
es asegurar que los sistemas, recientemente implantados incluyan
características de control sólidas y confiables. En términos generales es
ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos
importantes. El auditor participa en el proceso de desarrollo de sistemas
revisando la documentación generada como producto final de ciertas actividades
de desarrollo de sistemas. En estas actividades su interés se concentrará
primordialmente en el desarrollo e implantación de controles de aplicación
adecuados. El auditor necesita reconocer que su
participación durante el desarrollo de los sistemas puede amenazar su
independencia y deberá tomar medidas para evitar esta pérdida. Estas medidas
incluyen: * Permanecer organizacionalmente independiente del grupo de sistema.
Esto significa que el auditor no es un miembro en propiedad del grupo de
desarrollo de sistema y no le quita la dirección del proyecto al gerente del
grupo del proyecto. * Redactar los informes independientemente del grupo del
proyecto. Las opiniones del auditor, sus recomendaciones y sus evaluaciones no
deberían incluirse en los informes de status del proyecto puesto que el emisor
de los informes (usualmente el gerente del grupo del proyecto) tiene autoridad
editorial para modificar las declaraciones del auditor.
*
Investigar independientemente del grupo del proyecto. El grupo del proyecto
puede estar restringido a ciertos contactos y cierta autoridad, pero el auditor
tiene libre acceso a la información y al personal de la organización.
PROGRAMA DE TRABAJO
ü
Establecer el
planeamiento preliminar del trabajo de auditoría: En este primer paso se obtiene un conocimiento inicial de
las actividades del sistema y evaluarlas en relación con los objetivos de
auditoría, a fin de determinar el alcance preliminar.
ü
Participación
del Auditor en el Desarrollo de Sistemas: Determinar el grado de participación del auditor en cada fase del
ciclo de vida del sistema, una vez que ha sido identificado. Los auditores de
sistema necesitan participar en el proceso de desarrollo de los sistemas para
garantizar que los nuevos sistemas de información diseñen las medidas adecuadas
de auditoría y de control. Los dos tipos de autorización donde se involucra el
auditor son: El auditor debe tener un grado de participación mediante un
acuerdo y revisión de las fases.
ü
Acuerdo: Es el
acuerdo formal con el contenido del producto tangible. En caso de desacuerdo,
la persona responsable de evaluar el producto tangible prepara un memorando
indicando su posición y los ítems que requieren solución y lo envía o remite al
siguiente nivel superior gerencial.
ü
Revisión: Los
productos tangibles son presentados para información solamente; pueden hacerse
comentarios pero ellos no son decisivos.
ü
Revisión de
Productos Finales: Acordar y revisar las actividades y el producto final de
cada fase del ciclo de vida del desarrollo del sistema. El auditor debe revisar
que las firmas de aprobación para todos los productos tangibles están plasmadas
en el control de aceptación de etapas. Así mismo el auditor debe preparar los
papeles de trabajo con el propósito de evidenciar y documentar los resultados
de la investigación del proyecto y que
sirvan como material de referencia para esfuerzos futuros.
ü
Identificar las
fuentes de información para las revisiones y/o pruebas de auditoría: Este paso
incluye la identificación de las fuentes de información que se requieren en los
procesos de prueba y revisión. Las fuentes de información proveen los
medios para la revisión y documentación
de las actividades de auditoría y verificación de controles.
ü
Archivo general
Agrupa toda información referente a la organización de la auditoría, al mismo
tiempo recogerá la documentación en la que se han ido reflejando los
principales problemas que se han
planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido
llegando el auditor. De esta forma, podríamos destacar como apartados importantes
de la sección general del expediente del ejercicio:
- Estados
financieros a auditar
- Proceso
de planificación y programas de auditoría
- Informe
sobre el sistema de control interno contable
-
Indicación de quién realizó los procedimientos de auditoría y cuándo fueron
realizados - Constancia de que el trabajo realizado por colaboradores ha sido
supervisado y revisado - Puntos de informe
-Correspondencia
con el cliente y resumen de las conversaciones mantenidas - Hechos posteriores
-
Terminación de la auditoría
Archivo por áreas de trabajo
INFORMES DE AUDITORIA
Objetivos
Destacar la importancia que tiene el saber
presentar profesionalmente los informes de auditoría computacionales. El
auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito porque es como dar un sello personal.
Procedimientos para elaborar el informe. En el informe de auditoría, también
llamado dictamen, se reportan las situaciones encontradas durante la
evaluación, pero se deben incluir las causas que originan esas situaciones y
las posibles sugerencias para solucionar los problemas encontrados. Los
procedimientos para elaborar dicho informe se compone de los siguientes pasos.
ü Aplicar instrumentos de recopilación
ü Registrar el formato de situaciones encontrada.
ü Comentar las situaciones encontrada con los
auditados.
ü Analizar, depurar y corregir las desviaciones
encontradas.
ü Presentar informe y dictamen final a los
directivos de la empresa.
1°
ETAPA DE PLANEACIÓN DE LA AUDITORIA DE SISTEMA COMPUTACIONAL
El primer paso para realizar una auditoría de
sistemas es la planeación de cómo se va a ejecutar la auditoria, donde se debe
identificar de forma clara las razones
por las que se va a realizar la auditoria, la determinación del objetivo de la
misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla
a cabo y para la solicitud de documentos que servirán de apoyo para la
ejecución, terminando con la elaboración de la documentación de los planes,
programas y presupuestos para llevarla a cabo.
Identificar
el origen de la auditoria: Este es
el primer paso para iniciar la planeación de la auditoria, en esta se debe
determinar por qué surge la necesidad o inquietud de realizar una auditoría.
Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué?
Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.
Visita
Preliminar al Área informática:
Este es el segundo paso en la planeación de la auditoria y consiste en realizar
una visita preliminar al área de informática que será auditada, luego de conocer
el origen de la petición de realizar la auditoria y antes de iniciarla
formalmente; el propósito es el de tener un primer contacto con el personal
asignado a dicha área, conocer la distribución de los sistemas y donde se
localizan los servidores y equipos terminales en el centro de cómputo, sus
características, las medidas de seguridad y otros aspectos sobre que
problemáticas que se presentan en el
área auditada.
Aquí se
deben tener en cuenta aspectos tales como:
- La visita inicial para el arranque de la
auditoria cuya finalidad es saber ¿Cómo se encuentran distribuidos los equipos
en el área?, ¿Cuántos, cuáles, cómo y de que tipo son los servidores y
terminales que existen en el área?, ¿Qué características generales de los
sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas
existen en el área?, ¿Cuál es la reacción del personal frente al auditor?,
¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué
limitaciones se observan para realizar la auditoria?. Con esta información el
auditor podrá diseñar las medidas necesarias para una adecuada planeación de la
auditoria y establecer algunas acciones concretas que le ayuden al desarrollo
de la evaluación
Establecer
los Objetivos de la Auditoria:
Los objetivos de la planeación de la auditoria son:
- El objetivo general que es el fin global de
lo que se pretende alcanzar con el desarrollo de la auditoría informática y de
sistemas, en el se plantean todos los aspectos que se pretende evaluar.
- Los objetivos específicos que son los fines
individuales que se pretenden para el logro del objetivo general, donde se
señala específicamente los sistemas, componentes o elementos concretos que
deben ser evaluados.
Determinar
los Puntos que serán evaluados:
Una vez determinados los objetivos de la auditoria se debe relacionar los aspectos
que serán evaluados, y para esto
se debe considerar aspectos específicos del área informática y de los sistemas
computacionales tales como: la gestión administrativa del área informática y el
centro de cómputo, el cumplimiento de las funciones del personal informático y
usuarios de los sistemas, los sistemas en desarrollo, la operación de los
sistemas en producción, los programas de capacitación para el personal del área
y usuarios de los sistemas, protección de las bases de datos, datos
confidenciales y accesos a las mismas, protección de las copias de seguridad y
la restauración de la información, entre otros aspectos.
Elaborar
Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación formal de la
auditoria informática y de sistemas, en la cual se concretan los planes,
programas y presupuestos para llevarla a cabo se debe elaborar los documentos
formales para el desarrollo de la auditoria,
donde se delimiten las etapas, eventos y actividades y los tiempos de
ejecución para el cumplimiento del objetivo, anexando el presupuesto con los
costos de los recursos que se utilizarán para llevarla a cabo.
Algunos
de los aspectos a tener en cuenta serán:
Las actividades que se van a realizar, los responsables de realizarlas, los
recursos materiales y los tiempos; El flujo de eventos que sirven de guía; la
estimación de los recursos humanos, materiales e informáticos que serán
utilizados; los tiempos estimados para las actividades y para la auditoria; los
auditores responsables y participantes de las actividades; Otras
especificaciones del programa de auditoría.
Identificar
y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos
necesarios para la Auditoria:
En este se determina la documentación y
medios necesarios para llevar a cabo la revisión y evaluación en la empresa,
seleccionando o diseñando los métodos, procedimientos, herramientas, e
instrumentos necesarios de acuerdo a los planes, presupuestos y programas
establecidos anteriormente para la auditoria. Para ello se debe considerar los
siguientes puntos: establecer la guía de ponderación de cada uno de los puntos
que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento
formal de la guía de auditoría; determinar las herramientas, métodos y
procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y
métodos de pruebas para la auditoria.
Asignar
los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar los recursos que
serán utilizados para realizar la auditoria. Con la asignación de estos
recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se
llevará a cabo la auditoria.
2°
ETAPA DE EJECUCIÓN DE LA AUDITORIA DE SISTEMA COMPUTACIONAL
La siguiente etapa después de la planeación de
la auditoria es la ejecución de la misma, y está determinada por las
características propias, los puntos elegidos y los requerimientos estimados en
la planeación.
3° ETAPA DE DICTAMEN DE LA AUDITORIA DE
SISTEMA COMPUTACIONAL
La tercera etapa Lugo de la planeación y
ejecución es emitir el dictamen, que es el resultado final de la auditoria,
donde se presentan los siguientes puntos: la elaboración del informe de las situaciones
que se han detectado, la elaboración del dictamen final y la presentación del
informe de auditoría.
Analizar
la información y elaborar un informe de las situaciones detectadas: Junto con la detección de las oportunidades de mejoramiento se debe
realizar el análisis de los papeles de trabajo y la elaboración del borrador de
las oportunidades detectadas, para ser discutidas con los auditados, después se
hacen las modificaciones necesarias y posteriormente el informe final de las
situaciones detectadas.
Elaborar
el Dictamen Final: El auditor
debe terminar la elaboración del informe final de auditoría y complementarlo
con el dictamen final, para después presentarlo a los directivos del área
auditada para que conozcan la situación actual del área, antes de presentarlo
al representante o gerente de la empresa.
Una vez comentadas las desviaciones con los
auditados, se elabora el informe final, lo cual es garantía de que los
auditados ya aceptaron las desviaciones encontradas y que luego se llevan a
documentos formales.
Elaborar
el Dictamen Formal: El último
paso de esta metodología es presentar formalmente el informe y el dictamen de
la auditoria al más alto de los directivos de la empresa donde se informa de
los resultados de la auditoria. Tanto el informe como el dictamen deben
presentarse en forma resumida, correcta y profesional. La presentación de la
misma se hace en una reunión directiva y por eso es indispensable usar un
lenguaje claro tanto en el informe como en la exposición del mismo. El informe
debe contener los siguientes puntos: la carta de presentación, el dictamen de
la auditoria, el informe de situaciones relevantes y los anexos y cuadros
estadísticos.
Al elaborar el dictamen formal se hace tomando
en cuenta el informe comentado a los directivos, junto al formato de hallazgos
o desviaciones y los papeles de trabajo de cada uno de los auditores. La
integración del dictamen y el informe final de auditoría deben ser elaborados
con la máxima perfección, tratando de evitar errores. También deben contener de
manera clara y concreta, las desviaciones detectadas en la evaluación.