Você está na página 1de 5

Metodología de una Auditoria Informática

Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se


pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de
un proceso de revisión:

Estudio preliminar: Incluye definir el grupo de trabajo, el programa de auditoria,


efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un
cuestionario para la obtención de información para evaluar preliminarmente el control
interno, solicitud de plan de actividades, Manuales de política, reglamentos, Entrevistas
con los principales funcionarios de la Organización y de la Departamento de
Informática.

Revisión y evaluación de controles y seguridades: Consiste de la revisión de los


diagramas de flujo de procesos, realización de pruebas de cumplimiento de las
seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos
históricos (backups), revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las
áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los
motivos, objetivos, alcance y recursos que usará, definirá la metodología de trabajo, la
duración de la auditoria, presentará el plan de trabajo y analizará detalladamente cada
problema encontrado con todo lo anteriormente analizado.

Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con


los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que
destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria.

El informe debe contener lo siguiente:

Motivos de la auditoria
Objetivos
Alcance
Estructura Orgánico-Funcional del área Informática
Configuración del Hardware y Software instalado
Control Interno
Resultados de la Auditoria

Planificación de la auditoría Informática

Como todo proyecto implantado dentro de una organización, el proyecto de auditoría


informática debe iniciar con una fase de planeación en la cual participen todas las áreas
de la organización para identificar los recursos necesarios que permitirán llevar a cabo
este proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, análisis
costo/beneficio, personal humano que intervendrá en el proyecto, marco de referencia
de Auditoría Informática que se va a utilizar, basándose en varios objetivos
fundamentales que son:

 Evaluación de los sistemas y procedimientos.


 Evaluación de los equipos de cómputo
 Evaluación del proceso de datos

Lo cual se resume en obtener un conocimiento inicial de la organización a evaluar, con


especial énfasis en sus procesos informáticos basados en evaluaciones administrativas
realizadas a los procesos electrónicos, sistemas y procedimientos, equipos de cómputo,
seguridad y confidencialidad de la información, y aspectos legales de los sistemas y la
información. Cada proyecto de auditoría en informática respalda los objetivos y
requerimientos de tres entidades del negocio en alto o bajo grado:

1. Alta dirección
1. Seguimiento a proyectos relacionados con tecnología informática.
2. Verificación y aseguramiento del cumplimiento de políticas tecnología
informática.
3. Otros aspectos de interés para la alta dirección.
2. Auditoria
1. Apoyo en la definición, implantación y seguimiento de políticas,
controles y procedimientos de auditoria, relacionadas directa o
indirectamente con la tecnología de informática (sistemas de
información, equipos de cómputo, comunicaciones, etc.).
2. Planes de capacitación en el uso y entendimiento de software de
auditoría, herramientas de productividad (hojas electrónicas,
procesadores de palabras, graficadores, diagramadores, etc.), base de
datos (consulta de información, por ejemplo), equipos de cómputo
(micros, terminales, portátiles, etc.); otros de interés para los auditores.
3. Otros de interés para el desarrollo eficiente de los auditores cuando
evalúen áreas del negocio que se apoyan en informática.
3. Informática
1. Apoyo en la definición, implantación y seguimiento de políticas,
controles, procedimientos y estándares relativos a la organización y
administración de informática, el proceso de planeación, la evaluación y
adquisición de nueva tecnología, la evaluación y adquisición de
servicios, el desarrollo e implantación de soluciones (EDI, CASE, base
de datos, telecomunicaciones, sistemas estratégicos, multimedia, etc.) y
otros de interés para informática.

Objetivos de la Planificación de una auditoria


El proceso de planeación de la auditoria tiene como objetivo fundamentar el
establecimiento y definición de diferentes tópicos nombrados a continuación:

 Metodología a ser usada


 Políticas y reglas a seguir
 Metas u objetivos de la auditoria
 Programas de trabajo de auditoria
 Personal que intervendrá en el proyecto
 Presupuesto financiero
 Las fechas y la manera como se presentarán los informes de las actividades de
cumplimiento del proyecto, basados en la realidad de la organización evaluada.

Importancia de la Planeación

De la adecuada Planeación y Supervisión el auditor podrá obtener los resultados


satisfactorios que le sirvan de base para sustentar su opinión manifestada en su
dictamen. Por esto una de las Normas de Auditoría le obliga a que su trabajo deba ser
técnicamente planeado y ejercerse una supervisión apropiada sobre los asistentes si
estos participan en el examen, como una garantía de calidad hacia los usuarios. La
Planeación de la Auditoría permite establecer la extensión y el alcance de las pruebas a
utilizar y la supervisión sobre el recurso humano que le colaborará durante el desarrollo
del trabajo.

Personal Participante

Una de las partes más importantes dentro de la planeación de la auditoría en informática


es el personal que deberá participar y sus características. Uno de los esquemas
generalmente aceptados para tener un adecuado control es que el personal que
intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le
exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente
por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica


profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En
primer lugar se debe pensar que hay personal asignado por la organización, con el
suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la
información que se solicite y programar las reuniones y entrevistas requeridas. Éste es
un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con
un grupo multidisciplinario en el cual estén presentes una o varias personas del área a
auditar, sería casi imposible obtener información en el momento y con las
características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el
momento que se solicite información o bien se efectúe alguna entrevista de
comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y
complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de
vista de la dirección de informática, sino también el del usuario del sistema. Para
completar el grupo, como colaboradores directos en la realización de la auditoría se
deben tener personas con las siguientes características:

 Técnico en informática.
 Experiencia en el área de informática.
 Experiencia en operación y análisis de sistemas.
 Conocimientos de los sistemas más importantes.
 En caso de sistemas complejos se deberá contar con personal con conocimientos
y experiencia en áreas específicas como base de datos, redes.

Lo anterior no significa que una sola persona tenga los conocimientos y experiencias
señaladas, pero si deben intervenir una o varias personas con las características
apuntadas.

Documentos Resultantes de la planificación de la Auditoría Informática

Dentro del proceso de planificación de la Auditoría Informática se debe incluir y


documentar por lo menos los siguientes aspectos:

 Se debe definir los objetivos y el alcance del trabajo.


 El relevamiento de información de las actividades a auditarse en la que se
apoyará el análisis.
 Los recursos que se necesitarán para llevar a cabo el proyecto de auditoría.
 Los canales de comunicación necesarios entre los involucrados en el proyecto de
auditoría.
 El procedimiento apropiado a utilizarse para realizar una inspección física que
permita la obtención del conocimiento de la manera como se ejecutan las
actividades y controles a auditar, así como de las áreas críticas en las que se debe
poner mayor énfasis al realizar la auditoría.
 La declaración por escrito del programa de auditoría.
 Determinar los responsables de analizar los resultados de la auditoría, los plazos
de tiempo en los que se deberá llevar a cabo el proyecto de auditoría y la forma
en la que se presentarán los resultados de la misma.
 La aprobación del plan de trabajo de auditoría.

Consideraciones para la planificación de una auditoria informática

 Diagnóstico de la situación actual de los sistemas de información en operación


 Debilidades que pueden motivar la auditoría de un sistema de información
 Clasificación de riesgos que representa el uso de hardware y software en la
organización
 Evaluación del nivel de riesgo que representa el uso inadecuado de los productos
y servicios por el personal de informática y usuarios dentro de la organización
 Otros aspectos: Telecomunicaciones, EDI (intercambio electrónico de datos),
automatización de procesos
 Clasificación de los riesgos según criterios establecidos por la función de
auditoría informática
 Elaboración de una matriz de riesgos que muestre las áreas de la función de
informática susceptibles de una revisión por parte de auditoría en el siguiente
periodo
 Elaboración de un plan consolidado de proyectos
 Revisión de la matriz de riesgos y del pronóstico de proyectos de auditoría en
informática con la gerencia o dirección a la que reporta directamente la función
de informática
 Presentación del plan de proyectos de la función de auditoría en informática a la
alta dirección
 Realización de cada uno de los proyectos de acuerdo con el plan de auditoría en
informática
 Integración y formalización de equipos de trabajo
 Aprobación formal de la alta dirección del informe final de la auditoría en
informática realizada

Resumen del proceso general de planificación de la auditoria informática

1. Identificar el origen de la auditoría


2. Realizar una visita preliminar al área que será evaluada
3. Establecer los objetivos de la auditoría
4. Determinar los puntos que serán evaluados en la auditoría
5. Elaborar planes, programas y presupuestos para realizar la auditoría
6. Identificar y seleccionar los métodos, herramientas, instrumentos y
procedimientos necesarios para la auditoría
7. Asignar los recursos y sistemas computacionales para la auditoría
8. Redactar documentos y acuerdos