PLANEACIÓN DE LA AUDITORÍA EN SISTEMAS
Para hacer una adecuada
planeación de la auditoria en informática, hay que seguir una serie de pasos
previos que permitirán dimensionar el tamaño y características de área dentro
del organismo a auditar, sus sistemas, organización y equipo.
En el caso de la auditoria
en informática, la planeación es fundamental, pues habrá que hacerla desde el
punto de vista de los dos objetivos:
Evaluación de los sistemas y
procedimientos.
Evaluación de los equipos de
cómputo.
Para hacer una planeación
eficaz, lo primero que se requiere es obtener información general sobre la
organización y sobre la función de informática a evaluar. Para ello es preciso
hacer una investigación preliminar y algunas entrevistas previas, con base en
esto planear el programa de trabajo, el cual deberá incluir tiempo, costo,
personal necesario y documentos auxiliares a solicitar o formular durante el
desarrollo de la misma.
INVESTIGACIÓN PRELIMINAR
Se deberá observar el estado
general del área, su situación dentro de la organización, si existe la
información solicitada, si es o no necesaria y la fecha de su última
actualización.
Se debe hacer la
investigación preliminar solicitando y revisando la información de cada una de
las áreas basándose en los siguientes puntos:
ADMINISTRACIÓN
Se recopila la información
para obtener una visión general del departamento por medio de observaciones,
entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.
Para analizar y dimensionar
la estructura por auditar se debe solicitar a nivel del área de informática
Objetivos a corto y largo
plazo.
Recursos materiales y
técnicos
Solicitar documentos sobre
los equipos, número de ellos, localización y características.
Estudios de viabilidad.
Número de equipos,
localización y las características (de los equipos instalados y por instalar y
programados)
Fechas de instalación de los
equipos y planes de instalación.
Contratos vigentes de
compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se tienen con
otras instalaciones.
Configuración de los equipos
y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de los
equipos.
Políticas de operación.
Políticas de uso de los
equipos.
SISTEMAS
Descripción general de los
sistemas instalados y de los que estén por instalarse que contengan volúmenes
de información.
Manual de formas.
Manual de procedimientos de
los sistemas.
Descripción genérica.
Diagramas de entrada,
archivos, salida.
Salidas.
Fecha de instalación de los
sistemas.
Proyecto de instalación de
nuevos sistemas.
En el momento de hacer la
planeación de la auditoria o bien su realización, debemos evaluar que pueden
presentarse las siguientes situaciones.
Se solicita la información y
se ve que:
No tiene y se necesita.
No se tiene y no se
necesita.
Se tiene la información
pero:
No se usa.
Es incompleta.
No está actualizada.
No es la adecuada.
Se usa, está actualizada, es
la adecuada y está completa.
En el caso de No se tiene y
no se necesita, se debe evaluar la causa por la que no es necesaria. En el caso
de No se tiene pero es necesaria, se debe recomendar que se elabore de acuerdo
con las necesidades y con el uso que se le va a dar. En el caso de que se tenga
la información pero no se utilice, se debe analizar por qué no se usa. En caso
de que se tenga la información, se debe analizar si se usa, si está
actualizada, si es la adecuada y si está completa.
El éxito del análisis
crítico depende de las consideraciones siguientes:
Estudiar hechos y no
opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las causas, no
los efectos.
Atender razones, no excusas.
No confiar en la memoria,
preguntar constantemente.
Criticar objetivamente y a
fondo todos los informes y los datos recabados.
PERSONAL PARTICIPANTE
Una de las partes más
importantes dentro de la planeación de la auditoria en informática es el
personal que deberá participar y sus características.
Uno de los esquemas
generalmente aceptados para tener un adecuado control es que el personal que
intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual
se le exija la optimización de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo.
Con estas bases se debe
considerar las características de conocimientos, práctica profesional y
capacitación que debe tener el personal que intervendrá en la auditoria. En
primer lugar se debe pensar que hay personal asignado por la organización, con
el suficiente nivel para poder coordinar el desarrollo de la auditoria,
proporcionar toda la información que se solicite y programar las reuniones y
entrevistas requeridas.
Éste es un punto muy
importante ya que, de no tener el apoyo de la alta dirección, ni contar con un
grupo multidisciplinario en el cual estén presentes una o varias personas del
área a auditar, sería casi imposible obtener información en el momento y con
las características deseadas.
También se debe contar con
personas asignadas por los usuarios para que en el momento que se solicite
información o bien se efectúe alguna entrevista de comprobación de hipótesis,
nos proporcionen aquello que se está solicitando, y complementen el grupo
multidisciplinario, ya que se debe analizar no sólo el punto de vista de la
dirección de
informática, sino también el del usuario del sistema.
Para completar el grupo,
como colaboradores directos en la realización de la auditoria se deben tener
personas con las siguientes características:
Técnico en informática.
Experiencia en el área de
informática.
Experiencia en operación y
análisis de sistemas.
Conocimientos de los
sistemas más importantes.
En caso de sistemas
complejos se deberá contar con personal con conocimientos y experiencia en
áreas específicas como base de datos, redes, etc. Lo anterior no significa que
una sola persona tenga los conocimientos y experiencias señaladas, pero si
deben intervenir una o varias personas con las características apuntadas.
Una vez que se ha hecho la
planeación, se puede utilizar el formato señalado en el anexo 1, el figura el
organismo, las fases y subfases que comprenden la descripción de la actividad,
el número de personas participantes, las fechas estimadas de inicio y
terminación, el número de días hábiles y el número de días/hombre estimado. El
control del avance de la auditoria lo podemos llevar mediante el anexo 2, el
cual nos permite cumplir con los procedimientos de control y asegurarnos que el
trabajo se está llevando a cabo de acuerdo con el programa de auditoria, con
los recursos estimados y en el tiempo señalado en la planeación.
El hecho de contar con la
información del avance nos permite revisar el trabajo elaborado por cualquiera
de los asistentes.
PASOS A SEGUIR
Se requieren varios pasos
para realizar una auditoría. El auditor de sistemas debe evaluar los riesgos
globales y luego desarrollar un programa de auditoria que consta de objetivos
de control y procedimientos de auditoria que deben satisfacer esos objetivos.
El proceso de auditoria exige que el auditor de sistemas reúna evidencia,
evalúe fortalezas y debilidades de los controles existentes basado en la
evidencia recopilada, y que prepare un informe de auditoría que presente esos
temas en forma objetiva a la gerencia. Asimismo, la gerencia de auditoria debe
garantizar una disponibilidad y asignación adecuada de recursos para realizar
el trabajo de auditoria además de las revisiones de seguimiento sobre las
acciones correctivas emprendidas por la gerencia.