MARCO CONCEPTUAL DE LA METODOLOGÍA PARA REALIZAR AUDITORÍA DE SISTEMA COMPUTACIONAL

Es el primer paso para realizar una auditoría en sistemas computacionales es definir las actividades necesarias para su ejecución, lo cual se logrará mediante una adecuada planeación de estas.

Identificar el Origen de la auditoría

Un paso fundamental para iniciar una planificación de una auditoria en el área de sistemas es identificar el origen de la auditoria; lo principal es saber porque surge la necesidad de realizar una auditoría.

Las auditorias pueden surgir por:

ü  Solicitud interna

ü  Solicitud externa

ü  Emergencia o condiciones especiales

ü  Realizar una visita preliminar al área que será evaluada

ü  Visita preliminar de arranque

Contacto inicial con funcionarios y empleados del área Metodología para realizar auditorías de sistemas computacionales Método Del griego Methodos, de meta, con y Odos, Vía. Método razonable de obrar y hablar. Modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo establecido.

Metodología

Conjunto de métodos que se siguen en una investigación científica o en una exposición doctrinal.

Planeación

Es el proceso de decidir de antemano qué se hará y de qué manera. Incluye determinar la misión global, identificar los resultados claves y fijar objetivos específicos, así como políticas para el desarrollo, programas y procedimientos para alcanzarlos.

Plan

“El plan es un método detallado, formulado de antemano, para hacer algo” .

AUDITORÍA INFORMÁTICA

Es un proceso formal ejecutado por los especialistas del área de auditoría y de informática, el cual se orienta a la verificación y aseguramiento de que las políticas y procedimientos establecidos para el manejo y uso adecuado de la TI en la organización se lleven a cabo de una manera oportuna y eficiente. Marco conceptual de la metodología para realizar auditoría de sistemas computacionales Identificación preliminar de la problemática de sistemas

Lo que se pretende con esta identificación preliminar de las posibles dificultades que hay en los sistemas de la empresa, es que el auditor tenga un panorama anticipado del comportamiento de dichos sistemas, aunque éste sea de carácter muy somero de dudosa confiabilidad.

Prever los objetivos iniciales de la auditoría

Otro aspecto que también se puede obtener de esta visita al área que será auditada.

Calcular los recursos y personas necesarias para la auditoría

Otro beneficio de esta visita preliminar al área que será auditada, es la posibilidad de calcular tanto el tipo como la cantidad de recursos que serán necesarios para llevar a cabo la evaluación, contemplando los recursos de carácter humano, informático, material, técnico y económico.

ü  Determinar los puntos que serán evaluados en la auditoría

ü  Recursos económicos

ü  Elegir los Tipos de Auditoría que serán Utilizados

Evidentemente es difícil establecer un tipo de auditoría que se pueda aplicar uniformemente en la evaluación de los sistemas de una empresa, ya que en mucho dependerá de los objetivos que se busca satisfacer con la auditoria de sistemas, así como del tópico que será analizado, y desde que punto de vista lo evaluara el auditor. Metodología para realizar auditorías de sistemas computacionales Personal para la auditoría de Sistemas

Es el personal especializado en auditorias de sistemas, el cual aplica sus conocimientos, habilidades y experiencia en las diferentes disciplinas de ala auditoria, utilizando para ello las técnicas, procedimientos, métodos de evaluación, herramientas e instrumentos de revisión especializada y tradicional para la evaluación de sistemas.

ü  Elaborar Planes, Programas y Presupuestos para Realizar la Auditoría

ü  Elaborar el Documento Formal de los Planes de Trabajo para la Auditoría

Es la elaboración específica y escrupulosa de los planes formales de trabajo para la auditoria de sistemas. Estos planes se presentan en un documento oficial llamado plan de auditoría de sistemas, el cual contiene todos los aspectos relacionados con la realización de la auditoria.

Elaborar el Documento Formal de los Programas de Auditoría

En este documento se anotan, las preferencias en forma grafica, todas las etapas, eventos y actividades, que se realizarán durante la auditara; además, se anota el periodo de duración de cada etapa una de las partes en que se dividió el trabajo de evaluación.

Elabora los Presupuestos para la Auditoría

Este presupuesto es parte integral, ya que contempla los recursos que se utilizarán en el plan y programa de trabajo, solo que se agregan los costos y el tiempo que se utilizarán estos recursos durante la evaluación. Metodologías para realizar auditorias computacionales Elaborar la Guía de Auditoría

Éste es un documento de carácter formal, en el cual se anotan todos los puntos que deberán ser evaluados, ya sea del centro de cómputo, del sistema de evaluación, de la gestión informática o de cualquiera de los aspectos del área de sistemas. También se anotan la técnica y la forma en que será evaluado cada punto, así como su ponderación o peso específico.

Diseñar los Cuestionarios

El encargado de la auditoría será el responsable de elaborar y autorizar los cuestionarios, de acuerdo a las necesidades y características de la entidad.

Diseñar los Formularios para Encuestas

El auditor debe definir los tipos de encuestas que utilizará, sus características y os formularios de preguntas que utilizará en su auditoría, a fin de obtener las opiniones de los auditados en relación con los sistemas computacionales, sus servicios, satisfacción de la función informática y muchos otros tópicos de opinión útiles para su evaluación.

Diseñar los métodos e instrumentos de muestreo

En su recopilación, el auditor no puede ni debe recopilar toda la información disponible en el área de sistemas.

Diseñar las pruebas para la evaluación

Parte importante de la planeación de la auditoría, en esta etapa se determinan, lo más claramente posible, el tipo de pruebas, su alcance e intensidad, sus características y especificaciones, de acuerdo con las necesidades de la auditoría y las características de los sistemas. Metodologías para Realizar Auditorias de Sistemas Computacionales Ejecución de la Auditoría de sistemas computacionales Realizar las acciones programadas para la auditoria

De acuerdo con el programa de auditoría, cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que corresponde utilizar, el propósito es ejecutar los eventos programados y alcanzar el objetivo de la auditoria.

Aplicar los instrumentos y herramientas para la auditoria

Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la recopilación y análisis de la información, la observación, las pruebas y simulaciones de los sistemas, o mediante cualquier otro instrumentos de los que diseñaron previamente para esta revisión.

Elaborar el dictamen preliminar y presentarlo a discusión

Una vez que el auditor determino las desviaciones encontradas durante la evaluación, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa.

Integrar el legajo de papeles de auditoria

El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoria cada uno de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las observaciones reportadas. Ejecución de la Auditoría de Sistemas Computacionales Dictamen de la auditoria de sistemas computacionales

El último paso es emitir el dictamen, el cual es el resultado final de la auditoria de sistemas de sistemas computacionales, para ello presentamos los siguientes pasos:

ü  La información y elaborar un informe de situaciones detectadas

ü  Elaborara el dictamen final

ü  Presentar el informe de auditoria

ü  Analizar los papeles de trabajo

ü  El auditor debe hacer un estudio de los papeles de trabajo resultantes de la auditoria, con el propósito de detectar las posibles desviaciones en la operación normal del área o sistema computacional que se está auditando.

ü  Señalar las situaciones encontradas

ü  El auditor debe plasmar en forma específica y lo más concretamente posible las desviaciones encontradas en la operación del sistema o en el área que está evaluando y, y si es posible debe, señalar las causas que la generaron.

ü  Realizar las modificaciones necesarias

Después de que el auditor haya comentado ampliamente las desviaciones con los involucrados, deberá ratificar las desviaciones y, de ser necesario, elaborara las correcciones que sean pertinentes, modificando el borrador, las causas o las posibles soluciones. También podría elaborar nuevamente el borrador del informe, e incluso lo podría comentar nuevamente si fuera necesario. Ejecución de la Auditoría de Sistemas Computacionales Elaborar el dictamen final

El auditor debe terminar de elaborar el informe de auditoría de sistemas y complementarlo con el dictamen final (opinión del auditor), y después de presentarlos a los directivos del área de sistemas auditada para que conozcan la situación actual de dicha área, antes de presentarlo al responsable de la empresa

Analizar la información y elaborar un documento de desviaciones detectadas

Elaborar informe y el dictamen formales

Después de analizar los informes anteriores (el borrador oficial comentado), el auditor debe elaborar, de manera formal, el informe de las desviaciones encontradas, especificándolas por área, por servicio o por cualquier otro formato de presentación.

Elaboración del dictamen formal

En esta fase son fundamentales la experiencia, los conocimientos y la capacidad del auditor para elaborar, lo mas profesionalmente posible, el dictamen de la auditoria y el informe de las desviaciones encontradas durante la revisión. Integración del informe de auditoría

Es de suma importancia destacar que el dictamen y el informe final de la auditoria deben ser elaborados perfectamente y no deben tener error alguno. También deben contener, de la manera más clara y correcta, las desviaciones detectadas en la evaluación.

Presentación de informe de auditoría

Es la reunión plenaria con el nivel más alto directivo, para entregarle en mano el dictamen de la auditoría realizada; en este caso ya no existen comentarios ni aclaraciones sobre el informe, solo es la lectura o entrega física del dictamen y el informe final de la auditoria. Esta presentación es de carácter formal y protocolario. Ejecución de la Auditoría de Sistemas Computacionales

METODOLOGÍA PARA REALIZAR AUDITORIAS DE SISTEMAS COMPUTACIONALES

Se pueden desarrollar una serie de actividades y técnicas que nos pueden ayudar a realizar la auditoria de información:

Inventario físico:

Es el proceso de identificación y categorización de los recursos de información de una forma sistemática. De esta forma, se proporciona una fotografía de lo que la organización posee en términos de recursos de información en un momento determinado.

Masificación de la información (Infamar): Constituye una forma gráfica de representar los recursos de información que hay en la organización y las interrelaciones entre éstos. El mapa de recursos indica hasta qué punto los recursos de información son básicos, de qué modo se encuentran posicionados (geográficamente, departamentalmente, desde un punto de vista técnico), cómo interactúan, quién los utiliza, quién es el responsable, etc.

Análisis de las necesidades de información.

 Tiene como finalidad principal determinar qué información requieren los empleados y la dirección de la organización para desarrollar sus papeles y alcanzar los objetivos. Gráficos de procesos y flujos de trabajo. Los gráficos de procesos junto con los flujos de trabajo  pueden constituir una buena herramienta de trabajo en el ámbito de las auditorias de la información.

Procesos de control y verificación.

 En una auditoria de la información, se deben establecer también los procesos de control y verificación. El resultado de estos procesos puede consistir en un informe o, incluso, un certificado que confirme que todo es correcto o que incluya recomendaciones de mejora. Hay que tener presente que el mapa de recursos de información, o mapa documental, puede constituir uno de los principales resultados del proceso de la auditoria de información. En el caso del mapa documental, éste detalla qué documentos se encuentran dentro de la organización, a qué tipo de funciones se encuentran vinculados y dan respuesta, quién tiene la responsabilidad y el acceso a esos documentos, en qué soporte están disponibles, dónde y cómo se encuentran accesibles y qué relación o nivel de integración tienen con el resto de los sistemas de información de la organización. También se establece la localización de todos los documentos dentro de los estándares y los procedimientos de la organización, así como su valor para el conocimiento corporativo

PAPELES DE TRABAJO PARA LA AUDITORÍA DE SISTEMAS COMPUTACIONES

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones  para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas. Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.

Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad. En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes: - Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo. - Presentar informes a las partes interesadas.

- Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.

- Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.

- Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

TIPOS DE PAPELES DE TRABAJO.

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos:

•      Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa  pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos.

•        Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar. c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.

•      Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente. El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría.

•       primera corresponde a la descripción, y las otras cinco a un criterio de evaluación descendente o ascendente (Exc., Bueno, Suf., Reg., Deficiente).

MATRIZ DOFA:

 Es un acrónimo de Debilidades, Oportunidades, Fortalezas y amenazas de la empresa, las cuales son analizadas cada una por separado en cuanto a su presencia interna y a la influencia que la empresa recibe del exterior. El fundamento para la aplicación de la matriz DOFA en una auditoria de sistemas computacionales, es que mediante la misma se pueden estudiar las influencias que afectan el comportamiento del área de sistemas computacionales de una empresa, tanto las quien recibe de su ambiente interior como exterior, ya sean de la propia empresa o de sus proveedores, desarrolladores o del entrono donde este establecida.

TECNICAS ESPECIALES DE AUDITORIA DE SISTEMAS COMPUTACIONALES

Diagramas del círculo de evaluación. Herramienta de apoyo para la evaluación de los sistemas computacionales. Para valorar visualmente: El comportamiento de los sistemas que están siendo auditados. Su cumplimiento Sus limitaciones. Durante las diferentes etapas: Estudio Preliminar, Análisis del Sistema, Diseño Conceptual, Diseño Detallado, Programación, Pruebas, Implantación. Diagramas del círculo de evaluación. ¿Que Podemos Evaluar Con Esta Herramienta? Seguridad en el área de sistemas computacionales. Evaluación administrativa del área de sistemas.

ü  Evaluación de los sistemas computacionales Seguridad en el área de sistemas computacionales:

ü  Acceso físico al área de sistemas. Acceso, uso, mantenimiento y resguardo de las bases de datos. Del personal informático. De las instalaciones del área de sistemas. Plan de contingencias. Seguridad lógica del sistema.

ü  Evaluación administrativa del área de sistemas de la misión, visión, objetivos, estrategias,  planes, programas, estructura de la organización, perfil de puestos.

ü  Evaluación de la documentación de sistemas, de la seguridad y la protección de los archivos informáticos, instalaciones.

ü  Evaluación de la capacitación, adiestramiento y promoción del personal.

ü  Evaluación del desarrollo de proyectos informáticos, estandarización de metodologías,  programas, equipos, sistemas, mobiliario. Lista de verificación (o lista de chequeo).Instrumento que contiene criterios o indicadores a partir de los cuales se miden y evalúan las características del objeto, comprobando si cumple con los atributos establecidos. La lista de verificación se utiliza básicamente en la práctica de la investigación que forma parte del proceso de evaluación.

ANÁLISIS DE LA DIAGRAMACIÓN DE SISTEMAS.

 Análisis de la diagramación de sistemas. Unas de las  principales herramientas para el análisis y diseño de los sistemas computacionales. El analista puede representar:

 Los flujos de información., actividades, operaciones, procesos y otros aspectos que intervienen en el desarrollo de los propios sistemas El programador puede visualizar el  panorama específico del sistema, para elaborar de manera más precisa la codificación de instrucciones para el programa. Análisis de la diagramación de sistemas. El auditor puede utilizar esta herramienta para el diseño de sistemas de diferentes formas en una auditoria de sistemas, de acuerdo con su experiencia, conocimientos y habilidades, mismas que debe canalizar en los siguientes sentidos: Solicitar los diagramas del sistema. Analizar el diagrama del sistema. Elaborar un diagrama del sistema. Verificar la documentación de los sistemas a través de sus diagramas.

PROPUESTA DE PUNTOS QUE SE DEBEN EVALUAR EN UNA AUDITORÍA DE SISTEMAS COMPUTACIONALES

En el desarrollo de sistemas se debe emplear la misma metodología que utilizan los diseñadores de sistemas o el equipo de trabajo asignado. Mientras que el objetivo  primario del auditor es evaluar la suficiencia de los controles internos, el objetivo del diseñador de sistemas es satisfacer las necesidades de los usuarios; ambos deberían compartir el deseo de ver que se logran los objetivos de cada uno.

PARTICIPACION DEL AUDITOR 

Aún cuando el auditor esté interesado en todos los aspectos del nuevo sistema, debe velar porque se establezcan todos los controles de aplicación. Su principal función es asegurar que los sistemas, recientemente implantados incluyan características de control sólidas y confiables. En términos generales es ayudar a prevenir que se implanten sistemas de aplicación que tengan riesgos importantes. El auditor participa en el proceso de desarrollo de sistemas revisando la documentación generada como producto final de ciertas actividades de desarrollo de sistemas. En estas actividades su interés se concentrará primordialmente en el desarrollo e implantación de controles de aplicación adecuados. El auditor necesita reconocer que su  participación durante el desarrollo de los sistemas puede amenazar su independencia y deberá tomar medidas para evitar esta pérdida. Estas medidas incluyen: * Permanecer organizacionalmente independiente del grupo de sistema. Esto significa que el auditor no es un miembro en propiedad del grupo de desarrollo de sistema y no le quita la dirección del proyecto al gerente del grupo del proyecto. * Redactar los informes independientemente del grupo del proyecto. Las opiniones del auditor, sus recomendaciones y sus evaluaciones no deberían incluirse en los informes de status del proyecto puesto que el emisor de los informes (usualmente el gerente del grupo del proyecto) tiene autoridad editorial para modificar las declaraciones del auditor.

* Investigar independientemente del grupo del proyecto. El grupo del proyecto puede estar restringido a ciertos contactos y cierta autoridad, pero el auditor tiene libre acceso a la información y al personal de la organización.

PROGRAMA DE TRABAJO

ü  Establecer el planeamiento preliminar del trabajo de auditoría: En este primer  paso se obtiene un conocimiento inicial de las actividades del sistema y evaluarlas en relación con los objetivos de auditoría, a fin de determinar el alcance preliminar.

ü  Participación del Auditor en el Desarrollo de Sistemas: Determinar el grado de  participación del auditor en cada fase del ciclo de vida del sistema, una vez que ha sido identificado. Los auditores de sistema necesitan participar en el proceso de desarrollo de los sistemas para garantizar que los nuevos sistemas de información diseñen las medidas adecuadas de auditoría y de control. Los dos tipos de autorización donde se involucra el auditor son: El auditor debe tener un grado de participación mediante un acuerdo y revisión de las fases.

ü  Acuerdo: Es el acuerdo formal con el contenido del producto tangible. En caso de desacuerdo, la persona responsable de evaluar el producto tangible prepara un memorando indicando su posición y los ítems que requieren solución y lo envía o remite al siguiente nivel superior gerencial.

ü  Revisión: Los productos tangibles son presentados para información solamente; pueden hacerse comentarios pero ellos no son decisivos.

ü  Revisión de Productos Finales: Acordar y revisar las actividades y el producto final de cada fase del ciclo de vida del desarrollo del sistema. El auditor debe revisar que las firmas de aprobación para todos los productos tangibles están plasmadas en el control de aceptación de etapas. Así mismo el auditor debe preparar los papeles de trabajo con el propósito de evidenciar y documentar los resultados de la investigación del  proyecto y que sirvan como material de referencia para esfuerzos futuros.

ü  Identificar las fuentes de información para las revisiones y/o pruebas de auditoría: Este paso incluye la identificación de las fuentes de información que se requieren en los procesos de prueba y revisión. Las fuentes de información proveen los medios  para la revisión y documentación de las actividades de auditoría y verificación de controles.

ü  Archivo general Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales  problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:

- Estados financieros a auditar

- Proceso de planificación y programas de auditoría

- Informe sobre el sistema de control interno contable

- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados - Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado - Puntos de informe

-Correspondencia con el cliente y resumen de las conversaciones mantenidas - Hechos posteriores

- Terminación de la auditoría

 Archivo por áreas de trabajo

INFORMES DE AUDITORIA

Objetivos

 Destacar la importancia que tiene el saber presentar profesionalmente los informes de auditoría computacionales. El auditor tiene que ser muy cuidadoso al plasmar en libro, documento o escrito  porque es como dar un sello personal. Procedimientos para elaborar el informe. En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados. Los procedimientos para elaborar dicho informe se compone de los siguientes pasos.

ü  Aplicar instrumentos de recopilación

ü  Registrar el formato de situaciones encontrada.

ü  Comentar las situaciones encontrada con los auditados.

ü  Analizar, depurar y corregir las desviaciones encontradas.

ü  Presentar informe y dictamen final a los directivos de la empresa.

1° ETAPA DE PLANEACIÓN DE LA AUDITORIA DE SISTEMA COMPUTACIONAL

El primer paso para realizar una auditoría de sistemas es la planeación de cómo se va a ejecutar la auditoria, donde se debe identificar de forma clara  las razones por las que se va a realizar la auditoria, la determinación del objetivo de la misma, el diseño de métodos, técnicas y procedimientos necesarios para llevarla a cabo y para la solicitud de documentos que servirán de apoyo para la ejecución, terminando con la elaboración de la documentación de los planes, programas y presupuestos para llevarla a cabo.

Identificar el origen de la auditoria: Este es el primer paso para iniciar la planeación de la auditoria, en esta se debe determinar por qué surge la necesidad o inquietud de realizar una auditoría. Las preguntas que se deben contestar ¿de dónde?, ¿porqué?, ¿Quién? o ¿para qué? Se quiere hacer la evaluación de algún aspecto de los sistemas de la empresa.

Visita Preliminar al Área informática: Este es el segundo paso en la planeación de la auditoria y consiste en realizar una visita preliminar al área de informática que será auditada, luego de conocer el origen de la petición de realizar la auditoria y antes de iniciarla formalmente; el propósito es el de tener un primer contacto con el personal asignado a dicha área, conocer la distribución de los sistemas y donde se localizan los servidores y equipos terminales en el centro de cómputo, sus características, las medidas de seguridad y otros aspectos sobre que problemáticas  que se presentan en el área auditada.

Aquí se deben tener en cuenta aspectos tales como:

- La visita inicial para el arranque de la auditoria cuya finalidad es saber ¿Cómo se encuentran distribuidos los equipos en el área?, ¿Cuántos, cuáles, cómo y de que tipo son los servidores y terminales que existen en el área?, ¿Qué características generales de los sistemas que serán auditados?, ¿Qué tipo de instalaciones y conexiones físicas existen en el área?, ¿Cuál es la reacción del personal frente al auditor?, ¿Cuáles son las medidas de seguridad física existentes en el área?, y ¿Qué limitaciones se observan para realizar la auditoria?. Con esta información el auditor podrá diseñar las medidas necesarias para una adecuada planeación de la auditoria y establecer algunas acciones concretas que le ayuden al desarrollo de la evaluación

Establecer los Objetivos de la Auditoria: Los objetivos de la planeación de la auditoria son:

- El objetivo general que es el fin global de lo que se pretende alcanzar con el desarrollo de la auditoría informática y de sistemas, en el se plantean todos los aspectos que se pretende evaluar.

- Los objetivos específicos que son los fines individuales que se pretenden para el logro del objetivo general, donde se señala específicamente los sistemas, componentes o elementos concretos que deben ser evaluados.  

Determinar los Puntos que serán evaluados: Una vez determinados los objetivos de la auditoria se debe relacionar los  aspectos  que serán evaluados,  y para esto se debe considerar aspectos específicos del área informática y de los sistemas computacionales tales como: la gestión administrativa del área informática y el centro de cómputo, el cumplimiento de las funciones del personal informático y usuarios de los sistemas, los sistemas en desarrollo, la operación de los sistemas en producción, los programas de capacitación para el personal del área y usuarios de los sistemas, protección de las bases de datos, datos confidenciales y accesos a las mismas, protección de las copias de seguridad y la restauración de la información, entre otros aspectos.

Elaborar Planes, programas y Presupuestos para Realizar la auditoria: Para realizar la planeación formal de la auditoria informática y de sistemas, en la cual se concretan los planes, programas y presupuestos para llevarla a cabo se debe elaborar los documentos formales para el desarrollo de la auditoria,  donde se delimiten las etapas, eventos y actividades y los tiempos de ejecución para el cumplimiento del objetivo, anexando el presupuesto con los costos de los recursos que se utilizarán para llevarla a cabo.

Algunos de los aspectos a tener en cuenta serán: Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos; El flujo de eventos que sirven de guía; la estimación de los recursos humanos, materiales e informáticos que serán utilizados; los tiempos estimados para las actividades y para la auditoria; los auditores responsables y participantes de las actividades; Otras especificaciones del programa de auditoría.

Identificar y seleccionar los Métodos, herramientas, Instrumentos y Procedimientos necesarios para la Auditoria: En este se  determina la documentación y medios necesarios para llevar a cabo la revisión y evaluación en la empresa, seleccionando o diseñando los métodos, procedimientos, herramientas, e instrumentos necesarios de acuerdo a los planes, presupuestos y programas establecidos anteriormente para la auditoria. Para ello se debe considerar los siguientes puntos: establecer la guía de ponderación de cada uno de los puntos que se debe evaluar; Elaborar una guía de la auditoria; elaborar el documento formal de la guía de auditoría; determinar las herramientas, métodos y procedimientos para la auditoria de sistemas; Diseñar los sistemas, programas y métodos de pruebas para la auditoria.

Asignar los Recursos y Sistemas computacionales para la auditoria: Finalmente se debe asignar los recursos que serán utilizados para realizar la auditoria. Con la asignación de estos recursos humanos, informáticos, tecnológicos y de cualquier otro tipo se llevará a cabo la auditoria.

 2°  ETAPA DE EJECUCIÓN DE LA AUDITORIA DE SISTEMA COMPUTACIONAL

La siguiente etapa después de la planeación de la auditoria es la ejecución de la misma, y está determinada por las características propias, los puntos elegidos y los requerimientos estimados en la planeación.

 3° ETAPA DE DICTAMEN DE LA AUDITORIA DE SISTEMA COMPUTACIONAL

La tercera etapa Lugo de la planeación y ejecución es emitir el dictamen, que es el resultado final de la auditoria, donde se presentan los siguientes puntos: la elaboración del informe de las situaciones que se han detectado, la elaboración del dictamen final y la presentación del informe de auditoría.

Analizar la información y elaborar un informe de las situaciones detectadas: Junto con la detección de  las oportunidades de mejoramiento se debe realizar el análisis de los papeles de trabajo y la elaboración del borrador de las oportunidades detectadas, para ser discutidas con los auditados, después se hacen las modificaciones necesarias y posteriormente el informe final de las situaciones detectadas.

Elaborar el Dictamen Final: El auditor debe terminar la elaboración del informe final de auditoría y complementarlo con el dictamen final, para después presentarlo a los directivos del área auditada para que conozcan la situación actual del área, antes de presentarlo al representante o gerente de la empresa.

Una vez comentadas las desviaciones con los auditados, se elabora el informe final, lo cual es garantía de que los auditados ya aceptaron las desviaciones encontradas y que luego se llevan a documentos formales.

Elaborar el Dictamen Formal: El último paso de esta metodología es presentar formalmente el informe y el dictamen de la auditoria al más alto de los directivos de la empresa donde se informa de los resultados de la auditoria. Tanto el informe como el dictamen deben presentarse en forma resumida, correcta y profesional. La presentación de la misma se hace en una reunión directiva y por eso es indispensable usar un lenguaje claro tanto en el informe como en la exposición del mismo. El informe debe contener los siguientes puntos: la carta de presentación, el dictamen de la auditoria, el informe de situaciones relevantes y los anexos y cuadros estadísticos.

Al elaborar el dictamen formal se hace tomando en cuenta el informe comentado a los directivos, junto al formato de hallazgos o desviaciones y los papeles de trabajo de cada uno de los auditores. La integración del dictamen y el informe final de auditoría deben ser elaborados con la máxima perfección, tratando de evitar errores. También deben contener de manera clara y concreta, las desviaciones detectadas en la evaluación.