Metodologia de La Auditoria Computacional.

1
INTRODUCCIN
Llevar a cabo una auditora de sistemas computacionales requiere una serie ordenada de acciones y procedimientos especficos, los cuales debern ser diseados previamente de manera secuencial, cronolgica y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecucin, mismos que sern establecidos conforme a las necesidades especiales de la institucin. Adems, estos procedimientos se deben adaptar de acuerdo al tipo de auditora de sistemas que se vaya a realizar, y con estricto apego a las necesidades, tcnicas y mtodos de evaluacin del rea de sistematizacin. Dichos mtodos debern seguirse tambin para la determinacin las herramientas e instrumentos de revisin que sern utilizados en la evaluacin
1. 2. 3. 4. 5. 6.
Origen de la auditora Visita preliminar Establecer objetivos Determinar los puntos que deben ser evaluados Elaborar planes, presupuestos y programas Seleccionar las herramientas, tcnicas, mtodos y procedimientos que sern utilizados en la auditora 7. Asignar los recursos y sistemas para la auditora 8. Aplicar la auditora 9. Identificar desviaciones y elaborar borrador de informe 10. Presentar desviaciones a discusin 11. Elaborar borrador final de desviaciones 12. Presentar el informe de auditora Con base en lo anterior podemos entender la necesidad de establecer una metodologa especfica de revisin, la cual nos permitir disear correctamente los pasos a seguir en la evaluacin de las reas de sistemas y actividades elegidas, a fin de que el seguimiento, desarrollo y aplicacin de las etapas eventos propuestos para esa auditora sean ms sencillos. Dicha metodologa tambin nos servir para establecer las tcnicas, mtodos y procedimientos adaptables a las caractersticas especiales de
las auditorias del rea especfica de sistemas a evaluar, incluyendo los recursos humanos, tcnicos y materiales.
OBJETIVOS
Proponer una metodologa especfica que puede ser aplicable a la realizacin de cualquier tipo de auditora en el campo de los sistemas computacionales. Definir una forma concreta de llevar a cabo la planeacin, seleccin de herramientas, desarrollo y presentacin de los resultados de estas auditoras. Ejecutar el proceso para que el lector pueda adoptar esta metodologa y en su caso adaptarla a las necesidades concretas de revisin en su ambiente de sistemas.
Marco conceptual de la metodologa para realizar auditoras de sistemas computacionales

El primer paso para entender la metodologa propuesta para desarrollar una auditoria de sistemas computacionales (ASC), es identificar el marco terico sobre el cual se fundamentan los conceptos que sern aplicables en dicha metodologa. stos sern definidos a continuacin: Mtodo: "Del griego: mtodos, de meta, con odos, va. Modo razonado de obrar y hablar [...] Procedimiento, tcnica, teora, tratamiento, sistema [...] Modo de obrar habitual [...] Marcha racional del espritu para llegar al conocimiento de la verdad [...] Obra que contiene, ordenados, los principales elementos de un arte o ciencia [...]"1 "Modo de realizar las cosas con orden. Procedimiento para hallar el conocimiento y ensearlo. Conjunto de normas, ejercicios, etc., para ensear o aprender algo.2 "Manera de efectuar una operacin o una secuencia de operaciones.3 "Modo prescrito para ejecutar una tarea o trabajo determinado, por el cual se pretende alcanzar un objetivo establecido. Procedimiento que generalmente se sigue en las ciencias, por medio del cual se llega a un resultado vlido. Los mtodos fundamentales son: Analtico, sinttico, inductivo y deductivo."4 Metodologa: "Del griego Methodos, mtodo, y Logos, tratado. Ciencia que trata del mtodo [...] "Estudio de los mtodos que se siguen en una investigacin, un conocimiento o una interpretacin.6 "Descripcin secuencial de la manera de efectuar una operacin o serie de operaciones. Planeacin: "[...]\"" el proceso de decidir de antemano qu se har y de qu manera incluye determinar las misiones globales, identificar resultados claves y fijar objetivos especficos as como polticas de desarrollo, programas y procedimientos para alcanzarlos[...] La planeacin tiene una implicacin futura que se tiene cierta habilidad para el diseo de planes a fin de lograr los objetivos. "Es el proceso de decidir de ante mano que se har y de qu manera se har incluye determinar la misin global, identificar los resultados claves y
fijar objetivos especficos, as como polticas para el desarrollo, programas y procedimientos para alcanzarlos.8 "Conjunto sistematizado de acciones que provienen de una estructura racional de anlisis que contiene los elementos informativos y de juicio suficiente y necesarios para fijar prioridades elegir entre alternativas, establecer objetivos y metas en el tiempo y en el espacio, ordenar las acciones que permitan alcanzarlas con base a la asignacin correcta de recursos. La coordinacin de esfuerzos y la imputacin precisa de responsabilidades que permitan controlar y evaluar sistemticamente los procedimientos, avances y resultados para poder introducir con oportunidad los cambios necesarios.9. Plan: El plan es un mtodo detallado, formulado de antemano, para hacer algo [] un plan es un curso de accin predeterminado. Esencialmente un plan que tiene tres caractersticas. Primero: debe referirse al futuro. Segundo: debe sealar acciones. Tercero: existe un elemento de identificacin o casualidad personal u organizacional [] Los planes se derivan de las decisiones y ofrecen informacin por adelantado para guiar el comportamiento subsecuente []10 Curso de accin basado en el anlisis de un problema, en el que hay que concretar los puntos y las partes de una situacin dada, de tal suerte que sea factible ordenarlos y lograr una solucin programada.11 Un plan es cualquier mtodo detallado, formulado de antemano para hacer algo12 Es un instrumento diseado para alcanzar determinados objetivos, en que se definen, en espacios, tiempo, y los medios utilizables para su alcance, se contemplan en forma ordenada, sistemticamente y coherente las metas y polticas, as como los instrumentos y acciones que se utilizarn.13 Programa: Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad respecto del producto o resultado final, al cual se asignan recursos humanos, materiales y financieros con el fin de que produzca en un tiempo determinado bienes o servicios destinados a la satisfaccin total o parcial de los objetivos sealados a una funcin dentro del marco de la planeacin.14
son cursos de accin detallados que sealan los pasos especficos que habrn de realizarse para lograr los objetivos, indicando la secuencia cronolgica y los tiempos de duracin de dichos pasos.15 Presupuesto: "Estimacin programada en forma sistemtica de los ingresos y egresos que maneja un organismo en un periodo determinado; puede considerarse como un plan de accin en trminos monetarios y cuyo ejercicio abarca generalmente un ao de actividad.16 Evento: "Es la determinacin de acontecimientos que llevan fines especficos de transmisin de ideas, de imgenes y sonidos, para un fin determinado."17 Suceso esperado al cual se debe llegar despus de una serie de actividades Actividad: "Es el conjunto de operaciones ejecutadas o de actos desarrolladas por una o varias personas y que contribuyen al logro de una funcin."18 "Una o ms tareas afines que forman parte de una funcin, y son ejecutadas por una persona o unidad administrativa."19 "conjunto de acciones-y movimientos de una persona o cosa [...] ocupacin a la que alguien se dedica [...] 20 Tiempo: "Del latn Tempus, duracin de los fenmenos [...]" "Duracin de las cosas sujetas a cambios. Sucesin continuada de momentos que constituyen el devenir de lo existente. El existir de un mundo subordinado a un principio y un fin, en oposicin a la idea de eternidad [..] periodo ms o menos largo [...] Polticas: "Criterio de accin que es elegido como gua en el proceso de toma de decisiones al poner en prctica o ejecutar las estrategias, programas y proyectos especficos a niveles institucional."22 "son esencialmente un principio o varios relacionados entre s con sus consiguientes reglas de accin que condicionan y gobiernan al logro de un objetivo.23 Tarea: "Es la subdivisin del trabajo para concretizar una actividad."24
Plan de trabajo (grfica de Gantt): "Es la representacin grfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario _para realizar cada una de ellas y sus responsables as como los de cada actividad."25 Con base en el anlisis de estas definiciones podemos entender que para la realizacin de una auditoria se debe llevar a cabo una serie ordenada de acciones, tareas y procedimientos, los cuales sern utilizados conforme a un mtodo minucioso, previamente establecido, a fin de utilizar una serie de herramientas, mtodos e instrumentos necesarios en la evaluacin de rea de sistemas.
1. Metodologa para computacionales
realizar
auditoras
de
sistemas
Con el propsito de interpretar adecuadamente la aplicacin de esta metodologa para realizar auditoras de sistemas, la cual puede ser aplicable para cualquier tipo de auditora dentro del campo de sistemas, a continuacin presentamos, en forma genrica, todas aquellas fases y pasos que se deben considerar en la planeacin de la evaluacin. Inicialmente sealaremos, en tres grandes apartados, las principales etapas que nos servirn de gua para la realizacin de una evaluacin dentro del ambiente de sistemas computacionales. 1" Etapa: planeacin de la auditora de sistemas computacionales. P.1 Identificar el origen de la auditoria P.2 Realizar una visita preliminar del rea que ser evaluada P.3 Establecer el objetivo de la auditoria P.4 Determinar los puntos que sern evaluados en la auditoria P.5 Elaborar planes, programas y presupuestos para realizar la auditoria P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditoria P.7 Asignar los recursos y sistemas computacionales para la auditoria 2 Etapa: Ejecucin de la auditora de sistemas computacionales E.1 Realizar las acciones programadas para la auditoria E.2 Aplicar los instrumentos y herramientas para la auditoria
E.3 Identificar y elaborar los documentos de desviaciones encontradas. E.4 Elaborar el dictamen preliminar y presentarlo a discusin E.5 Integrar el legajo de papeles de trabajo de la auditoria. 3 Etapa: Dictamen de la auditora de sistemas computacionales D.1 Analizar la informacin y elaborar un informe de situaciones detectadas D.2 Elaborar el dictamen final D.3 Presentar el informe de auditoria 1.1 1 etapa: Planeacin de la auditoria de sistemas computacionales. El primer paso para realizar una auditora en sistemas computacionales es definir las actividades necesarias para su ejecucin, lo cual se lograr mediante una adecuada planeacin de stas; es decir, se deben identificar claramente las razones por las que se va a realizar la auditora y la determinacin del objetivo de la misma, as como el diseo de los mtodos, tcnicas y procedimientos necesarios para llevarla a cabo y para preparar los documentos que servirn de apoyo para su ejecucin, culminando con la elaboracin documental de los planes, programas y presupuestos para dicha auditoria. Concretamente, el responsable de la planeacin de esta primera etapa de la metodologa para realizar una auditora de sistemas computacionales deber iniciar con el planteamiento de los siguientes interrogantes: Por qu se realizar la auditora? Se debe hacer una visita preliminar al rea de sistemas? Cul es el objetivo que se pretende alcanzar con esta auditora?
Debido a que existen mltiples mtodos y tcnicas de planeacin, as como una abundante literatura al respecto, a continuacin nicamente utilizaremos los principales conceptos que fueron definidos en el inciso anterior y que, de alguna manera, intervienen en la planeacin de una auditora de sistemas computacionales, a fin de identificar aquellos puntos que se pueden establecer como la base fundamental para definir las etapas y eventos que sirvan para planear el desarrollo de la auditora. Esta fase de planeacin culmina con la elaboracin formal de planes,
programas y presupuestos en documentos que sirven para consulta y control de las actividades de la revisin. Iniciaremos nuestro estudio de esta etapa de planeacin con los siguientes puntos. 1 Etapa: Planeacin de la auditora de sistemas computacionales P.1 Identificar el origen de la auditora P.2 Realizar una visita preliminar al rea que ser evaluada P.3 Establecer los objetivos de la auditora P.4 Determinar los puntos que sern evaluados en la auditora P.5 Elaborar planes, programas y presupuestos para realizar la auditora P6 Identificar y seleccionar los mtodos, procedimientos, instrumentos y herramientas necesarios para la auditora P.7 Asignar los recursos y sistemas computacionales para la auditora Cuadro de 1 etapa: Planeacin de la auditora de sistemas computacionales Debido a la importancia de identificar cada uno de los puntos que integran esta primera etapa de la metodologa para la auditora de sistemas computacionales, a continuacin presentamos un cuadro completo de los principales puntos propuestos para la planeacin de dichas auditoria: P.1 Identificar el origen de la auditora P.1.1 Por solicitud expresa de procedencia interna P.1.1.1 A peticin de accionistas, socios v dueos P.1.1.2 Por orden de la direccin general P.1.1.3 Por orden de las gerencias o departamentos a nivel superior, P.1.1.4 A solicitud de funcionarios y empleados de otros niveles. P.1.2 Por solicitud expresa de procedencia externa P.1.2.1 Por mandato de autoridades judiciales P.1.2.2 Por ordenamiento de las autoridades fiscales P.1.2.3 Por revisiones de autoridades de seguridad social y de trabajo P.1.2.4 Por revisiones de otras autoridades P.1.2.5 Por solicitud de proveedores y acreedores
10
P1I-2.6 Por solicitud de distribuidores y desarrolladores de software y hardware P.1.2.7 A peticin de empresas externas P.1.3 como consecuencia de emergencias y condiciones especiares P.1.3.1 De incidencia interna P.1.3.2 De incidencia externa P.1.4 Por riesgos y contingencias informticas P.1.4.1 Riesgos y contingencias del personal informtico P.1.4.2 Riesgos y contingencias fsicas P.1 4 3 Riesgos y contingencias operativas (lgicas) P.1.4.4 Riesgos y contingencias de software P.1.4.5 Riesgos y contingencias en las bases de datos P.1.4.6 otros riesgos y contingencias en el rea de sistemas P.1.5 Como resultado de los planes de contingencia P.1.5.1 Por la carencia de planes de contingencia P.1.5.2 Por la elaboracin de planes de contingencia P.1.5.3 Por la aplicacin de los planes de contingencia P.1.6 Por resultados obtenidos de otras auditoras P.1.7 Como parte del programa integral de auditora P.2 Realizar una visita preliminar al rea que ser evaluada. P.2.1 Visita preliminar de arranque P.2.2 Contacto inicial con funcionarios y empleados del rea P.2.3 Identificacin preliminar de la problemtica del rea de sistemas P.2.4 Prever los objetivos inciales de la auditora P.2.5 Calcular los recursos y personas necesarias para la auditora P.3 Establecer los objetivo de la auditora P.3.1 Objetivo general P.3.2 Objetivos particulares P.3.3 Objetivos especficos de computacionales
la
auditora
de
sistemas
11
P.4 Determinar los puntos que sern evaluados en la auditora P.4.1 Evaluacin de las funciones y actividades del personal del rea de sistemas P.4.2 Evaluacin de las reas y unidades administrativas del centro de cmputo P.4.3 Evaluacin de la seguridad de los sistemas de informacin P.4.4 Evaluacin de la informacin, documentacin y registros de los sistemas P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes P.4.5.1 Evaluacin de los recursos humanos del rea de sistemas P4.5.2 Evaluacin del hardware P4.5.3 Evaluacin del software P.4.5.4 Evaluacin de la informacin y las bases de datos P4.5.5 Evaluacin de otros recursos informticos P.4.5.6 Evaluacin de equipos, instalaciones y dems componentes P.4.6 Elegir los tipos de auditora que sern utilizados P.4.7 Determinar los recursos que sern utilizados en la auditora P.4.7.1Personal para la. Auditora de sistemas P.4.7.2 Personal del rea que ser evaluada P.4.7.3 Apoyo de los sistemas y equipos tcnicos e informticos P.4.7.4 Apoyos materiales y administrativos P.4.7.5 Otros apoyos P.4.7.6 Recursos econmicos P.5 Elaborar planes, programas y presupuestos para realizar la auditoria P.5.1 Elaborar el documento formal de los planes de trabajo para P.5.1.1 Cartula de identificacin del plan de auditora P.5.1.2 ndice de contenido P.5.1.3 Definicin de objetivos P.5.1.4 Delimitacin de estrategias para el desarrollo de la auditora P.5.1.5 Planes de auditora P.5.1.6 Definicin de normas, polticas y lineamientos para el desarrollo de la auditoria P.5.2 Contenido de los planes para realizar la auditora P.5.2.1 Definir los objetivos finales de la auditora
12
P.5.2.2 Establecer ras estrategias para realizar la auditora P.5.2.3 Disear las etapas, eventos y tareas en que se dividir la auditoria P.5.2.4 Calcular la duracin de las tareas y eventos para satisfacer los objetivos de la auditoria P.5.2.5 Distribuir los recursos que sern utilizados en las diferentes etapas, actividades y tareas de la auditora P.5.2.6 confeccionar los planes concretos para la auditora P.5.3 Elaborar el documento formal de los programas de auditora P.5.3.1 Grfica del programa de actividades P.5.3.2 Definicin de las etapas y eventos que se deben llevar a cabo P.5.3.5 Definicin de las actividades y tareas P.5.4 Elaborar los programas de actividades para realizar la auditora P.5.4.1 Definir de manera precisa las etapas de la auditoria P.5.4.2 Identificar concretamente los eventos que se deben llevar a cabo en cada etapa de la auditoria P.5.4.3 Delimitar lo ms claramente posible las actividades, tareas y acciones para cada evento P.5.4.4 Distribuir los recursos que sern utilizados en las diferentes etapas, eventos actividades y tareas P.5.4.5 Calcular la duracin de las etapas, actividades y tareas planeadas para la auditora P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades y tareas P.5.5 Elaborar los presupuestos para la auditora P5.5.1 Asignacin de |os costos de los recursos P.5.5.2 Control de los costos de los recursos P.5.5.3 seguimiento y control de los planes, programas y presupuestos P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora P.6.1 Establecer la gua de ponderacin de los puntos que sern evaluados P6.1.1 Definir las reas y puntos de sistemas que sern auditados P.6.1.2 Definir el peso de la ponderacin por las reas y puntos que sern evaluados
13
P'6'1.3 Realizar el documento de ponderacin de la auditora P.6.2 Elaborar la gua de la auditora P6.2.1 Determinar las reas y puntos concretos que sern evaluados en el ambiente de sistemas P.6.2.2 seleccionar los mtodos, procedimientos, herramientas e instrumentos de evaluacin P'6.2.3 Elaborar el documento formal de la gua de evaluacin P.6.3 Elaborar los documentos necesarios para la auditora P6.3.1 Disear los instrumentos de recopilacin de informacin para la auditora P.6.3.2 Disear los cuestionarios P.6.3.3 Disear las guas para realizar entrevistas P.6.3.4 Disear los formularios para encuestas P6.3.5 Disear los modelos y formatos para los inventarios del rea de sistemas P.6.3.6 Disear los mtodos e instrumentos de muestreo P.6.3.7 Disear los instrumentos especiales de evaluacin de sistemas P.6.3.8 Determinar los puntos que sern evaluados con pruebas P6.3.9 Disear las pruebas para la evaluacin P.6.3.10 Disear los instrumentos y herramientas para pruebas de evaluacin P.6.4 Determinar herramientas, mtodos, y procedimientos para la auditoria en sistemas P.6.4.1 Disear las herramientas e instrumentos que sern utilizados en la evaluacin P.6.4.2 Establecer los mtodos y procedimientos que sern utilizados en la auditora P.6.4.3 Determinar las tcnicas y procesos especficos que sern utilizados en la auditora P6.4.4 Elaborar los documentos formales para los procedimientos, mtodos, herramientas e instrumentos que sern utilizados en la auditoria.
14
P.6.5 Disear los sistemas, programas y mtodos de pruebas para la auditoria P.6.5.1 Determinar los puntos de inters, programas, bases de datos archivos y sistemas que sern evaluados mediante programas y pruebas de cmputo. P.6.5.2 Disear las pruebas, programas y sistemas para realizar las evaluaciones necesarias para el funcionamiento de los sistemas computacionales, bases de datos y archivos. P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las evaluaciones necesarias. P.7 Asignar los recursos y sistemas computacionales para la auditoria P.7.1 Asignar los recursos humanos para la realizacin de la auditoria. P.7.2 Asignar los recursos informticos y tecnolgicos para la realizacin de la auditoria. P.7.3 Asignar los recursos materiales y de consumo para la realizacin de la auditoria. P.7.4 Asignar los dems recursos para la realizacin de la auditoria. A continuacin se presenta el desglose detallado de cada uno de los puntos antes sealados, a fin de hacer ms clara su aplicacin en la planeacin de la auditoria. P.1 Identificar el origen de la auditora: El primer paso formal para iniciar la planeacin de una auditoria en el rea de sistemas es identificar el origen de la auditoria; es decir, lo primero es saber por qu surge la necesidad o inquietud de realizar una auditora. Para esto nos debemos preguntar de dnde? Por qu? Quin? O para qu se requiere hacer la evaluacin de algn aspecto de sistemas de la empresa. Para el responsable de realizar la planeacin de la auditoria de sistemas es de suma importancia identificar el origen de la auditoria, debido a que adems de proporcionarle los elementos necesarios para hacer una buena planeacin de la revisin, tambin le ayuda a definir los elementos de juicio que contribuirn a normar su criterio de evaluacin. Adems, conociendo el origen de la auditoria, el auditor tambin puede definir la manera de enfocar la revisin. Tambin puede saber de antemano cules sern los aspectos primordiales en la evaluacin; es decir, puede saber cules sern los
15
asuntos ms relevantes sobre los que deber trabajar, a fin de satisfacer lo que se espera de la auditoria de sistemas. Dentro de este punto de la auditoria de sistemas encontramos estas posibles causas: Por solicitud expresa de procedencia interna Por solicitud expresa de procedencia externa Como consecuencia de emergencias y condiciones especiales Por riesgos y contingencias informticas Como resultado de los planes de contingencia Por resultados obtenidos de otras auditorias Como parte del programa integral de auditoria A continuacin analizaremos con mayor detalle cada uno de estos aspectos. P.1.1 Por solicitud expresa de procedencia interna Podemos decir que este es un origen oficial sobre la necesidad de realizar una auditora al rea de sistemas de la empresa, debido a que surge de una peticin formal de alguien que pertenece a la empresa. Con esta solicitud se marca el requisito formal para poder llevar a cabo una evaluacin en el rea de sistemas. Esta peticin de revisin a los sistemas de la empresa puede obedecer a muchas causas y generalmente se encomienda a un auditor externo, ya sea a una empresa, despacho o profesionista independiente que no tiene ninguna relacin laboral con la empresa o, segn la estructura y necesidades de la evaluacin, se puede encomendar a los mismos empleados de la institucin, si es que esta cuenta con una rea de auditora. Concretamente, de esta peticin podemos identificar los siguientes orgenes internos: P.1.1.1 A peticin de accionistas, socios y dueos Este es el ms comn de los orgenes de una auditoria, incluso de sistemas computacionales, debido a que la solicitud es formulada (ordenada) por los dueos de la empresa, sean accionistas, socios o dueos nicos, con el propsito de saber cmo se administra su patrimonio, como se utilizan los recursos de su empresa, cual es el rendimiento de su patrimonio, si no existen fugas, malos usos o cualquier otro aspecto que interesa a los dueos de la empresa. En el caso de los sistemas, la solicitud de auditora
16
va enfocada hacia el aprovechamiento de los recursos del rea de sistematizacin de la empresa. Este origen tambin puede ser requerido por el consejo de accionista. La mayora de las veces estas revisiones se encargan a auditores externos, sean empresas, profesionistas o despachos independientes, siempre y cuando sean ajenos a la empresa, con el propsito de contar con un criterio ms objetivo, imparcial y profesional sobre el aprovechamiento de los sistemas computacionales. En contados casos, esta auditora tambin se realiza de manera interna, ya sea como parte de la evaluacin total de la empresa, por revisin especial de algn aspecto de sistemas, para medir el comportamiento y administracin del rea de sistemas o por cualquier otro aspecto interno relacionado con los sistemas que les interesa evaluar a los poseedores de la institucin. En estos casos la solicitud de auditora se considera como una orden y se hace la revisin casi por obligacin. P.1.1.2 Por orden de la direccin general Esta revisin se realiza por una orden directa de quien ejerce la mxima autoridad en la empresa, pudiendo tener mltiples motivos, tales como una evaluacin peridica del rea de sistemas, por desconfianza de la actuacin de los dirigentes del rea, para verificar el cumplimiento de sus actividades, para verificar el aprovechamiento de los sistemas computacionales de la institucin o por algn otro motivo. Lo singular de esto es que se ordena la auditoria e invariablemente se tiene que realizar. Lo deseable es que l responsable de la planeacin de la auditoria pueda averiguar previamente los verdaderos motivos de esta, para enfocar su revisin hacia la satisfaccin de dichos motivos. P.1.1.3 Por orden de las gerencias o departamentos a nivel superior Esta auditora se origina por una peticin de las gerencias y departamentos de mando superior de la empresa, segn sus caractersticas, estructura de organizacin y funciones que desempean para la misma; que puede o no realizarse; todo depender del tiempo de demanda de auditora que se realice, de la importancia que tendr su realizacin y de los niveles de autoridad que afecten la realizacin de dicha auditoria.
17
P.1.1.4 A solicitud de funcionarios y empleados de otros niveles El origen de esta auditora es algo irregular y poco usual en las empresa, ya que la solicitud de la auditoria parte de los niveles ms bajo de la jerarqua institucional y, segn las polticas y procedimientos de la empresa, para que esta solicitud sea atendida en muchos de los casos se tienen que seguir los canales formales de comunicacin y autorizacin establecidos en la empresa. Es muy frecuente que para autorizar la realizacin de esta evaluacin, este tiene que ser analizada por los mandos intermedios o superiores de la empresa, y si existe algn motivo real y valido que justifique su ejecucin, entonces se llevara a cabo. Aunque por lo general, esta evaluacin no procede por el nivel de donde proviene la peticin; pero si fuera el caso, sera muy importante averiguar los verdaderos motivos de esta solicitud. P.1.2 por solicitud expresa de procedencia externa Podemos decir que este es otro origen oficial sobre la necesidad de realizar una auditora al rea de sistemas en la empresa, debido a que surge de una peticin formal de alguien ajeno a la empresa, a quien, por alguna causa, le interesa que sean auditados los sistemas computacionales de esta. Este tipo de solicitud puede ser obligatorio si es por mandato expreso de alguna autoridad, o bien a voluntad de la empresa si alguien ajeno a esta solicita la auditoria por tener algn vinculo leve o amplio de ella; en estos casos, la empresa no tiene la obligacin de acatar estas solicitudes de auditoras, estos casos se clasifican de la siguiente manera: P.1.2.1 Por mandato de autoridades judiciales Este origen es el ms comn y siempre se deriva de un mandato de las autoridades judiciales, quienes por algn motivo solicitan (imponen) la realizacin de una auditoria a la empresa; esta auditora puede tener varios orgenes especficos: como resultado de alguna auditoria anterior, a peticin de algn tercero, por la suposicin de un delito o por cualquier otro motivo. En el caso concreto de los sistemas computacionales, estos son algunos de los orgenes ms comunes: Casi siempre es por la sospecha de piratera Por una suposicin de carencia de licencias para uso de software
18
Por presuncin de utilizacin indebida del mismo software o de la informacin de los sistemas. Por sospecha de un supuesto delito de carcter informtico.
Es indispensable aclarar que, por lo menos en Mxico, las auditorias obligatorias de carcter legal a los sistemas computacionales solamente se pueden realizar mediante una orden judicial; pero en este caso, en dicho mandato se deben aclarar perfectamente los aspectos especficos de los sistemas computacionales que se tienen que evaluar, hasta donde ser su alcance, cules aspectos de sistemas se pueden editar y cules no, y si la auditoria deber ser de tipo interno o eterno, entre muchos casos, pero todos en funcin al tipo de mando judicial que sea interpuesto. P.1.2.2 Por ordenamiento de las autoridades fiscales Este es uno de los orgenes ms importantes de una auditora externa y es cuando las autoridades fiscales solicitan (imponen) la realizacin de una auditoria; por lo general esta es de tipo externo, realizada por una empresa, despacho o auditor independiente, y casi siempre est enfocada a revisar la informacin de tipo impositivo que se procesa en los sistemas computacionales de la empresa. Para el caso concreto de sistemas, estas auditoras por lo general son de tiempo interno, y se derivan de algn mandato de carcter fiscal, en el cual se deben aclarar especficamente todos los aspectos que se requieren evaluar. Aunque debemos aclarar que estas auditoras solamente se practican con el propsito de revisar la informacin sistematizada de la empresa, ya que en la mayora de los casos solamente se realiza para verificar el funcionamiento del sistema en el mbito contable, el correcto y oportuno calculo de impuestos o resultados financieros y obligaciones impositivas similares que se manejan en los sistemas de la empresa. Aunque estas auditoras tambin pueden realizarse ocasionalmente para verificar las licencias de uso del software y la paquetera institucional, con el fin de evitar la piratera informtica o para algn aspecto similar de los sistemas computacionales. Cabe aclarar que estas solicitudes de auditora solamente pueden ser obligaciones cuando son por un mandato de las autoridades fiscales (formalizando por oficio) de alguna manera difcilmente pueden ser
19
obligatorias, mucho menos cuando son por solicitud de alguien que no cuente con la autoridad fiscal para ello. P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo Este tipo de solicitud de auditora, aunque tambin es de tipo impositivo, es de origen muy especial, debido a que solo puede ser derivado de casos inesperados, que afecten a los trabajadores y patrones o por la sospecha de algn delito o irregularidad que repercuta en la seguridad social y la del trabajo. Se debe especificar, mediante mandato judicial, el tipo de auditora de sistemas computacionales que se solicite (imponga). En la mayora de los casos, estas revisiones son similares a los aspectos contables manejados anteriormente, ya sea porque se requiere de alguna revisin a los sistemas de computo, en cuanto al manejo de la informacin relacionada con los aspectos contables, impositivos o de aquellos que estn relacionados con el manejo de las nominas, prestaciones y obligaciones de los trabajadores de la empresa. Esto puede llegar a pasar, pero no es comn que suceda dentro del ambiente de sistemas. En cualquier caso, se deben aclarar concretamente los aspectos que sern evaluados, as como los alcances y limites de a auditoria, de esta manera, el auditado puede exigir que no se vaya ms all de lo especificado en la auditoria. P.1.2.4 Por revisiones de otras autoridades Serian muy escasas y poco probables las auditorias de sistemas solicitadas (ordenadas) pro autoridades federales, estatales o municipales distintas a las sealadas anteriormente, debido a que en la legislacin mexicana no existen reglamentos, norma o leyes que faculten a los representantes de estos poderes pblicos a que impongan la realizacin de algn tipo de evaluacin en el ambiente de sistemas, cualquiera que sea su origen o necesidad especifica. Conviene destacar que actualmente, por lo menos en Mxico, ni los colegios de profesionales, ni las universidades, ni las asociaciones, cmaras o gremios de cualquier ndole, ni alguna otra instancia gubernamental o representativa de la sociedad estn facultados para realizar u ordenar auditorias al rea de sistemas de una empresa sin la autorizacin expresa de esta. Adems, tampoco existe autorizacin alguna para que, a peticin
20
de cualquiera de sestas instancias, puedan ser auditados el software, hardware, equipos, instalaciones, informacin o cualquier otro aspecto informtico de una empresa, ya que esto es privado y nicamente le compete a la propia empresa. En el supuesto caso de que se realizara alguna auditoria en una empresa sin que mediara un mandato judicial, se incurrira en un delito sancionado por las leyes mexicanas. P.1.2.5 Por solicitud de proveedores y acreedores Actualmente no es difcil encontrar una solicitud de auditora de sistemas por parte de los proveedores y acreedores de una empresa, pero no pasa de ser una solicitud, ya que la empresa a la que pretende auditora no est obligada a dar acceso a su informacin, ni a sus sistemas, ni a sus bases de datos. Estas auditoras nicamente pueden realizarse con la autorizacin de la empresa solo bajo las condiciones y en los campos de sistemas en donde esta lo permita. La nica excepcin es que los acreedores y/o proveedores turnen dicha peticin ante su autoridad judicial de manera oficial y especifica; en caso de que dicha auditoria fuera aprobada, esta ya seria carcter impositivo y las autoridades tendran que aplicarla de manera externa . P.1.2.6 Por solicitud de distribuidores y desarrolladores de software y hardware Este requerimiento es muy similar al caso anterior, debido a que cuando la solicitud por auditoria parte de los distribuidores y desarrolladores de hardware y software, la empresa tiene la facultad de acceder o a realizarla o de negarse a ello. Segn sus intereses particulares, pero jams puede ser una auditoria de carcter impositivo. Una gran parte de estas solicitudes se origina por la suposicin de que existes delitos informticos relacionados con la piratera de software o de los sistemas de la empresa. Sin embargo. Aunque dichas sospechas estn bien fundamentadas, solo se pueden auditar los sistemas de una empresa cuando esta lo permita, y jams por imposicin de los distribuidores o desarrolladores. Esta auditora solo puede ser de carcter impositivo mediante una orden judicial; si la mediacin de alguna autoridad, su realizacin seria un delito sancionable.
21
P.1.2.7 A peticin de empresas externas Es igual a los casos anteriores, solo que esta auditora se realiza a peticin para este caso, dicha auditoria solamente se puede llegar a ejecutar si es la voluntad de la empresa, la cual tiene la facultad de rechazar la evaluacin o aceptar que esta se realice, especificando sus condiciones, alcances y lmites. P.1.3 como consecuencia de emergencias y condiciones especiales Este tipo de auditoras se realiza cuando se presentan situaciones de emergencia y condiciones extraordinarias en el rea de sistemas, las cuales estn fuera de control parmetros normales de operacin en el centro de computo, en dichas situaciones, la auditoria se realiza casi de inmediato y, en muchos casos, sin que medie la autorizacin de funcionarios. Tambin se realizan debido a la necesidad de medir y valorara las repercusiones que tuvieron esas emergencias y/o condiciones especiales, ya que se tienen que evaluar el impacto y posibles daos a las actividades y funciones del rea de sistemas de la empresa, los cuales pueden ser desde leves problemas hasta verdaderas catstrofes. Las auditorias que ser realizadas como resultado de una solicitud de cualquiera de los anteriores puntos, tienen su origen muy particular y estn vinculadas con los aspectos de seguridad y proteccin de los sistemas computacionales de la empresa. Concretamente, encontramos que los orgenes de estas auditoras pueden ser los siguientes: P.1.3.1 De incidencia interna Estas auditoras se realizan cuando se presenta alguna emergencia o incidencia de tipo interno en el rea de sistemas, la cual repercute en alguno de sus recursos informticos, ya sea en el personal o los usuarios, en el equipo de cmputo, la informacin, instalaciones o en algn otro elemento relacionado con el rea de sistemas. Dicha contingencia interna puede ser causada por alguna negligencia, por sabotaje, piratera de informacin o por algn otro elemento accidental ocurrido dentro de la propia rea que pueda influir en el procesamiento de la informacin. Evidentemente, al presentarse una emergencia interna, la peticin de la auditoria de sistemas es de carcter interno y casi siempre se realiza inmediatamente e incluso, en algunos casos, no tiene que existir tal solicitud sino que, por procedimiento interno, la evaluacin de las
22
repercusiones es inmediata o la auditoria forma parte de un programa de emergencia en el rea de sistemas de la empresa. P.1.3.2 De incidencia externa Por lo general, esta solicitud de auditora se presenta por contingencias, emergencias y/o incidencias de carcter externo que afectan al rea de informtica, ya sean ocasionadas por alguna otra rea de la empresa, por empresas ajenas o por algn otro agente externo que tenga o que no tenga contacto con la institucin. Al presentarse las contingencias externas en la empresa, repercuten directamente en el rea de informtica, lo cual hace necesaria la realizacin de una auditoria a los sistemas. Tomemos como ejemplos las contingencias ocasionadas por virus informticos, un temblor, una inundacin, etc. Al presentarse estos casos es necesario realizar, casi sin requisitos y de inmediato, la evaluacin de los daos sufridos en el rea de sistemas. Dentro de este rubro tambin encontramos solicitudes de auditoras ocasionadas por aspectos externos que tienen repercusin interna, pero que al ser solicitudes de auditoras por origen externo, tienen que ser autorizadas por los directivos del rea de sistemas y, en muchas ocasiones, esto no ocurre de inmediato. Entre algunos ejemplos encontramos la repercusin del avance tecnolgico de hardware y software en el funcionamiento de los sistemas de la empresa, ya que su afectacin puede ser mnima e irrelevante para el sistema y se debe valorar la realizacin de una auditoria, o por el contrario, se requiere una auditoria cuando el efecto es mayor. P.1.4 Por riesgos y contingencias informticas Es frecuente que funcionarios, personal o usuarios de rea de sistemas soliciten la realizacin de alguna auditoria cuando ha ocurrido alguna contingencia que afecte el procesamiento de informacin en la empresa; aunque tambin puede suceder cuando existe algn riesgo que pueda repercutir en las actividades y funciones de rea de sistematizacin, as como en el manejo de los recursos que se le h n asignado. Por esa razn se deben evaluar, mediante una auditoria de sistemas, las repercusiones de cualquiera de estas incidencias, ya sean por riesgos o por la ocurrencia de alguna contingencia de carcter informtico.
23
Los siguientes son algunos de los riesgos o por la ocurrencia de alguna contingencia de carcter informtico. Los siguientes son algunos de los riesgos o contingencias informticas ms comunes de estas areas: P.1.4.1. Riesgos y contingencias de personal informtico. Esta solicitud de auditora se origina por los posibles riesgos derivados de las actuaciones del factor humano del rea de sistemas, ya sea del personal, de los usuarios, los asesores o consultores y de los desarrolladores o proveedores de sistemas de la empresa, asimismo, se origina por las contingencias que le pueden ocurrir a este personal. En realizar una auditora a estas areas, ya sea porque pueden existir deficiencias y problemas en el cumplimiento de las actividades, operaciones y funciones de este personal o por los posibles riesgos a los que est expuesto. P.1.4.2 Riesgos y contingencias fsicas La solicitud de una auditoria de este tipo se origina por una contingencia o posible riesgo derivado de los aspectos tangible de la empresa, es decir, de aspectos fsicos mismo acceso del personal al equipo de computo, perifricos y componentes, y en su todo lo que corresponde al hardware del rea de sistema, as como en lo relacionado con las instalaciones, mobiliario, equipos, construcciones y dems elementos palpables del centro de informtica de la empresa. P.1.4.3 Riesgos y contingencias operativas (Lgicas) Son las solicitudes de auditora de sistemas derivadas de las contingencias y riesgos que posiblemente repercutirn en el funcionamiento operativo (lgico) del sistema en cuanto al comportamiento de sus lenguajes y programas, as como en los niveles de accesos, privilegios y limitaciones en el manejo de sus archivos, bases de datos, formas de procesamiento de informacin y en s de todos aquellos aspectos que de alguna manera van a influir en el buen funcionamiento del sistema computacional. P.1.4.4 Riesgos y contingencias de software Muy similar al anterior, tan es as que a veces se puede confundir, el origen de esta solicitud se debe a las contingencias y riesgos que se pueden presentar debido al manejo de los sistemas operativos, los lenguajes de programacin y las paqueteras de aplicacin del rea de sistemas.
24
La mayora de solicitudes de este tipo se originan por mal uso del software, piratera, robos, falta de licencias y otros delitos informticos. P.1.4.5 Riesgos y contingencias en las bases de datos Esta solicitud de auditora se hace exclusivamente para evaluar el manejo de los datos de la empresa, los cuales estn contemplados en la operacin de las bases de datos; en este caso la auditoria se enfocara en forma exclusiva a las continencias y posibles riesgos derivados de la administracin, procesamiento, custodia, acceso y uso de los datos, ya sea para detectar alguna negligencia, alteracin, dolo o cualquier otra afectacin en la informacin de la empresa. P.1.4.6 Otros riesgos y contingencias en el rea de sistemas Los riesgos y contingencias que se derivan de otros aspectos relacionados con los sistemas pueden ser innumerables y forzosamente tienen que ser distintos a los que analizamos anteriormente; sin embargo, cuando la solicitud de auditora tiene este origen, se debe a que dichos aspectos estn muy relacionados con las caractersticas y necesidades concretas de procesamiento de informacin de la empresa; en este caso, identificar el origen de la solicitud de auditora es de suma importancia, ya que de esta manera se enfocara la evaluacin en los aspectos de sistemas que se quieren auditar, los cuales sern contemplados como otros riesgos y contingencias diferentes o tradicionales. P.1.5 Como resultado de los planes de contingencia Otro de los posibles orgenes de una solicitud de auditora en el rea de sistemas lo constituyen los planes de contingencia; ya sea que se carezca de estos en el rea de sistemas y se necesite evaluar su posible efecto, o que ya estn establecidos y se requiera evaluar su funcionamiento y grado de utilidad para dichos sistemas. Concretamente, una auditoria de este tipo se puede originar por los siguientes aspectos: P.1.5.1 Por la carencia de planes de contingencia El origen de esta auditora de sistemas se debe a que no existe ningn plan de contingencia, ni un documento similar en donde se contemplen medidas preventivas o correctivas relacionadas con la seguridad de la informacin del rea de sistemas.
25
Es entonces cuando, al conocer el nacimiento de la solicitud de una auditoria bajo este rubro, mucho ayudara a valorar la necesidad de evaluar la implementacin de los planes, programas y medidas preventivas de seguridad para el rea de sistemas. P.1.5.2 Por la elaboracin de planes de contingencia Esta solicitud de auditora se origina debido a que se observan ciertas deficiencias en la elaboracin de algn plan de riesgos y contingencias, ya sea a preventivo o correctivo ya que mediante esta auditora se pueden prevenir dicha deficiencias. En algunos casos esta necesidad de evaluacin se debe a la ausencia de difusin y conocimiento y/o utilizacin de dichos planes. P.1.5.3 Por la aplicacin de los planes de contingencia Cuando la solicitud de la auditoria se debe a la aplicacin del plan de contingencias es porque se observan deficiencias en los sistemas computacionales, y en muchos casos es necesario evaluar su funcionamiento y correcta aplicacin mediante una auditoria. Tambin suele suceder que despus de haber ocurrido alguna contingencia y para aplicar la fase final de este plan, es decir en la etapa de restauracin, se detectan deficiencias en la recuperacin de informacin, en el funcionamiento de los sistemas y problemas con el software, hardware, perifricos o en la propia rea de sistemas por esta razn es necesario evaluar la eficacia y eficiencia en la operacin de los anteriores aspectos. P.1.6 Por resultados obtenidos de otras auditorias Es frecuente que como resultado de la prctica de una auditoria en otra rea de la empresa, o aun dentro de la propia rea de sistemas, surja algn aspecto especfico que se tiene que evaluar mediante una auditoria ms detallada. Esta solicitud tambin puede originarse por algn aspecto especial derivado de los resultados de una auditoria anterior, los cuales por alguna razn repercuten en dicho aspecto, el cual se debe evaluar ya que puede afectar el comportamiento de los sistemas computacionales de la empresa.
26
P.1.7 Como parte de un programa integral de auditoria Tambin es frecuente que existan programas concretos de auditora integral o global, los cuales se aplican en la empresa para evaluar la correcta administracin y comportamiento de todas sus areas; en este caso, la solicitud de auditora de sistemas forma parte de dichos proyectos de evaluacin integral. Estos programas pueden ser de carcter global y se pueden aplicar una sola vez cuando la auditoria se realiza en forma conjunta, a fin de hacer la evaluacin de todas las unidades de la institucin. Tambin puede ser que, dependiendo del programa, se pueda cubrir por etapas cada una de sus areas en forma progresiva y secuencial. Todo ello depender del estilo de direccin, la forma en que la empresa realiza las auditorias y si estas se realizan de manera externa o interna. Lo importante a destacar en este caso es que el origen de esta auditora se debe a los resultados de una auditoria anterior. Aqu no existe propiamente una solicitud, sino que la auditoria es una disposicin concreta de la institucin; sin embargo, para entender mejor este punto la vamos a considerar como una peticin de auditora. P.2 Realizar una visita preliminar al rea que ser evaluada Es recomendable, diramos que casi imprescindible, que el auditor realice una visita preliminar al rea de informtica que ser auditada, justo despus de conocer el origen la peticin de auditora, y antes de iniciarla formalmente; el propsito es que tenga un contacto inicial con el personal de dicha rea y que observe como se encuentras distribuidos los sistemas, cuntos y cules son los equipos que estn instalados en el centro de computo, cules son sus principales caractersticas, de que tipo son las instalaciones, cuales son las medidas de seguridad visibles que existen, y en s, que conozca la problemtica a la cual se enfrentara, de manera muy simple y de carcter tentativo. Para ello, el auditor debe contemplar los siguientes aspectos de dicha visita: P.2.1 Visita preliminar de arranque Es una visita preparatoria al rea de informtica que ser auditada, la cual tiene como finalidad que el auditor advierta de manera preliminar alguna de estas cuestiones. Cmo se encuentran distribuidos los sistemas en el rea?
27
Cuntos, cuales, como y de qu tipo son los equipos que estn instalados en el centro de sistemas? Cules son las medidas de seguridad visibles que existen? Cmo reacciona el personal ante la vista del auditor? Qu limitaciones se observan para la realizacin de la auditoria?
En s, el auditor debe obtener un programa general del rea que va a auditar, a fin de conocer la problemtica que se le presentara en la auditoria. As podr disear las medidas necesarias para una adecuada planeacin de la auditora y podr establecer acciones concretas que le sern de gran ayuda en el desarrollo de dicha evaluacin. P.2.2 Contacto inicial con funcionarios y empleados del rea Dentro de esta visita preliminar, el auditor tambin aprovecha para establecer un contacto inicial con los funcionarios, empleados y usuarios del rea de sistemas; el propsito es que observe sus reacciones ante la realizacin de la auditoria, y que identifique las posibles limitaciones y temores que influirn en la cooperacin de dicho personal. Conviene destacar que la visita del auditor casi nunca es bien recibida, ms bien ocurre lo contrario, crea molestias en el personal, hace que este se ponga a la defensiva y casi mecnicamente trate de evadir cualquier contacto con el auditor; en muchos casos tiende a ocultar informacin y presenta resistencia o se niega a cooperar en la auditoria; a veces busca bloquear la evaluacin, entre muchos otros problemas a los cuales se enfrenta el auditor. Esto es muy frecuente en el personal auditado, ya que todava existe el nefasto concepto de que el auditor solo va a tumbar las cabezas de los auditados; por esta razn, la mayora de los empleados se resiste a la realizacin de cualquier auditoria y tratan de evitarla, sintindose culpables anticipadamente, aunque no sean responsables de ningn problema o mala accin que se llegue a detectar. Debido a todo lo anterior, es muy conveniente que el auditor tenga un contacto preliminar con el personal del rea que estar involucrando en la auditoria, ya que se pretende, utpicamente, que trate de limar asperezas mediante este contacto antes de iniciar la evaluacin y que encuentre la cooperacin de ese personal. En realidad, lo que se busca es que el auditor pueda vislumbrar el panorama al cual se enfrentara, para que de
28
ah disee su estrategia para el desarrollo de la evaluacin, bajo la expectativa de los funcionarios, empleados y usuarios respecto a la auditoria. P.2.3 Identificacin preliminar de la problemtica de sistemas Adems de lo anterior, en esta visita preliminar el auditor puede (y debe) aprovechar para saber cul es la principal problemtica a la que se enfrenta el rea de sistemas, su personal y usuarios, su procesamiento de informacin y la administracin de sus bases de datos, etctera, aunque esta sea solo de carcter preliminar. Lo que se pretende con esta identificacin preliminar de las posibles dificultades que hay en los sistemas de la empresa, es que el auditor tenga un panorama anticipado del comportamiento de dichos sistemas, aunque este sea de carcter muy somero y de dudosa confiabilidad. P.2.4 Prever los objetivos inciales de la auditoria Otro aspecto que tambin se puede obtener de esta visita al rea que ser auditada, es que se puede anticipar cuales objetivos se pueden satisfacer con la auditoria, o por lo menos tratar de entender cules son las metas que se quieren alcanzar con la evaluacin. Evidentemente, estos objetivos serian muy poco confiables y podrn desviar al auditor de los verdaderos objetivos de la auditoria; sin embargo, le serviran para normar su criterio respecto al objetivo que pretende alcanzar con dicha auditoria. En el mejor de los casos, y contando con la habilidad, experiencia y conocimientos para identificarlos, el auditor podra sealar los objetivos que se pretenden satisfacer con su auditora, o tal vez podra seleccionarlos con esta visita preliminar. P.2.5 Calcular los recursos y personas necesarias para la auditoria Otro beneficio de esta visita preliminar al rea que ser auditada, es la posibilidad de calcular tanto el tipo como la cantidad de recursos que sern necesarios para llevar a cabo la evaluacin, contemplando los recursos de carcter humano, informtico, material, tcnico y econmico.
29
Dicho calculo se refiere al personal necesario para realizar la auditoria y al apoyo informtico, as como a los recursos del rea que se requieren en la revisin, entre los cuales destacan el personal informtico y los apoyos adicionales del hardware, software, informacin, base de datos, equipos y dems aspectos relacionados con el centro de computo. Es evidente que la informacin que el auditor obtiene de la visita preliminar, se deriva de una observacin personal o por entrevistas y platicas de carcter informal, a veces aparentemente carentes fundamentos. No obstante, con estas entrevistas tambin puede obtener datos importantes que le ayuden a calcular las necesidades de recursos aplicables en la auditoria de sistemas. P.3 Establecer los objetivos de la auditoria El siguiente paso, despus de haber identificado el origen de la auditoria y haber realizado una visita preliminar al rea que ser auditada, es establecer lo ms claramente posible el (los) objetivo (s) de la auditoria, ajustndose lo ms posible a las necesidades de la evaluacin. El propsito es establecer claramente lo que se busca con este tipo de trabajo. Conviene que iniciemos el tratamiento de este inciso con la siguiente definicin: Objetivo: En trminos sencillos, los objetivos representan las condiciones futuras deseadas que los individuos, grupos u organizaciones luchan por alcanzar. En ese sentido se incluyen misiones, propsitos, metas, fines, cuotas, plazos. En ocasiones se utilizan para legitimizar y justificar la funcin de la organizacin en la sociedad. En otro sentido, los objetivos podran ser considerados como el conjunto de limitaciones a las que debe restringirse la organizacin. Los objetivos pueden ser considerados desde tres perspectivas primordiales: 1) el ambiental, limitaciones impuestas a la organizacin por la sociedad; 2) el organizacional, los objetivos de la organizacin; 3) el individual, los objetivos de los participantes en la organizacin. Como podemos observar en esta definicin, el objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditoria de sistemas, ya que al establecer el objetivo de una auditoria se
30
busca anticipar lo que se desea alcanzar, ya sea en el rea de sistemas o en toda la institucin. Ms concretamente, desde el punto de vista de los auditores de referencia, en el caso de una auditoria de sistemas el establecimiento del objetivo es el establecimiento de lo que se pretende satisfacer con dicha auditoria; se incluyen los siguientes conceptos: Misin: deber moral que se impone a la realizacin de la auditoria de sistemas. Visin: la forma como se ve la realizacin de la auditoria y lo que se espera de ella. Propsitos: objetivo que se pretende alcanzar con la auditoria. Metas: fines especficos de la auditoria. Fines: son los ltimos aspectos que se busca satisfacer con la auditoria. Plazos: los trminos en unidades de tiempo en que se satisface el fin que se pretende con la auditoria. Dichos objetivos tambin se pueden complementar, de acuerdo con su ambiente de aplicacin, con los aspectos que analizaremos a continuacin: P.3.1 Objetivo general Es el fin global que se pretende alcanzar con el desarrollo de la auditoria de sistemas, en el cual se plantea todos los aspectos que se pretenden evaluar. De hecho, la determinacin de este objetivo dar el fundamento en la realizacin de la auditoria y la idea total de lo que se va a cubrir con dicha auditoria. P.3.2 Objetivos Particulares Son los fines individuales que se pretenden alcanzar con el desarrollo de la auditoria, ya sea de un rea especfica, de un sistema en especial o de alguna funcin en particular. Estos pueden ser mltiples, de acuerdo con las necesidades concretas de evaluacin. P.3.3 Objetivos especficos de la auditoria de sistemas computacionales Es la determinacin, en forma detallada, de los fines que se pretenden alcanzar con la auditoria de sistemas, sealando concretamente las reas
31
a evaluar y, especficamente, los sistemas, componentes o elementos concretos que deben ser evaluados. A continuacin citaremos algunos ejemplos que pueden ser tomados como referencia para elaborar los objetivos de una auditoria de sistemas computacionales, de acuerdo con la empres donde se realizar dicha auditoria: Realizar una revisin con personal multidisciplinario y capacitado en el rea de sistemas, a fin de evaluar dicha rea y emitir un dictamen independiente sobre las operaciones del sistema y la gestin administrativa del rea de informtica. Hacer una evaluacin sobre el aspecto financiero, la utilizacin de los recursos financieros en las reas del centro de informacin y el aprovechamiento del sistema computacional, sus equipos perifricos e instalaciones. Evaluar la utilizacin y aprovechamiento de los equipos de cmputo, de sus perifricos, de las instalaciones, mobiliario y equipos del centro de cmputo, as como del uso de sus recursos tcnicos y materiales para el procesamiento de informacin. Evaluar el aprovechamiento de los sistemas de procesamiento, sus sistemas operativos, los lenguajes, programas y paqueteras de aplicacin y desarrollo, as como el desarrollo e instalacin de nuevos sistemas. Evaluar el cumplimiento de planes, programas, estndares, polticas, normas y lineamientos que regulan las funciones y actividades de las reas y de los sistemas de procesamiento de informacin, as como de su personal y de sus usuarios. Realizar la evaluacin de las reas, actividades y funciones de la empresa, contando con el apoyo de los sistemas computacionales, los programas especiales y la paquetera que sirve de soporte para el desarrollo de auditoras por medio de la computadora. P.4 Determinar los puntos que sern evaluados en la auditoria Despus de haber determinado el origen de la auditoria y de establecer los objetivos concretos que se pretenden alcanzar con esta, el siguiente paso es determinar los puntos concretos que sern evaluados.
32
Esta definicin de los puntos que tienen que ser evaluados debe ser realizada considerando aspectos muy especficos de los sistemas computacionales, tales como los siguientes: La gestin administrativa e informtica del centro de cmputo. El cumplimiento de las funciones del personal informtico y usuarios de los sistemas. El anlisis, diseo y desarrollo de los sistemas computacionales. La operacin de los sistemas computacionales. La capacitacin y adiestramiento del personal y usuarios del sistema. La proteccin, custodia y niveles de acceso a las bases de datos. La proteccin y respaldo de archivos e informacin. La seguridad y proteccin de los usuarios, de la informacin, de los archivos y en general del centro de cmputo, Muchos otros aspectos que se deben considerar. Es de suma importancia destacar que la definicin y establecimiento de los puntos que se deben evaluar es el elemento fundamental de apoyo del auditor, debido a que esto es producto de un anlisis previo, tanto del origen de la auditoria y de la visita previa como de los objetivos que se pretenden satisfacer con la realizacin de esta auditora. Sin este anlisis previo difcilmente se pueden establecer los puntos que se deben evaluar. De ah su importancia. Adems, en este paso de la planeacin de la auditoria debemos establecer aquellos aspectos de sistemas que vamos a evaluar, para despus establecer las herramientas y la manera en que realizaremos la evaluacin. Un error muy comn al realizar una evaluacin de sistemas, es que dicha evaluacin muchas veces se lleva a cabo sin una adecuada planeacin, lo cual no solo conduce al empobrecimiento de la evaluacin, sino que el auditora tiene serias deficiencias en la aplicacin de las herramientas de auditora; por lo tanto, los resultados tambin son muy deficientes y de dudosa calidad. En algunos casos, esta planeacin puede ser deficiente y de dudosa calidad. En algunos casos, esta planeacin puede ser
33
deficiente, limitada y sin bases reales, lo cual tambin conduce a las deficiencias antes indicadas. En relacin con la definicin de los puntos que sern evaluados, puede existir muchos criterios en la seleccin de tales puntos, los cuales, por su propia diversidad, pueden y deben ser establecidos de acuerdo a las necesidades de evaluacin de la empresa, del equipo y del sistema operativo, as como a la forma de procesamiento de informacin que se tiene establecida en la empresa, a la experiencia, conocimientos y caractersticas profesionales del auditor, a las tcnicas, mtodos y procedimientos de auditora de sistemas que se aplicaran. En s, depender de los muchos criterios que se establezcan en torno al desarrollo de la auditoria. Debido a esa mltiple opcin para definir los puntos que sern evaluados en una auditora, a continuacin proponemos una serie de puntos especficos, con los cuales solo pretendemos anticipar un criterio de seleccin, ms o menos homogneo, de aquellos aspectos fundamentales que se debern evaluar en una auditoria de sistemas. Cabe aclarar que este criterio de seleccin es de carcter general y solo se presenta al nivel de sugerencia, y el responsable de la auditoria deber determinar su aplicacin real, de acuerdo con las necesidades de evaluacin, con su experiencia profesional y con los conocimientos que tenga sobre este trabajo. Los puntos que se deben evaluar se pueden agrupar de la siguiente manera: Evaluacin de las funciones y actividades del personal del rea de sistemas. Evaluacin de las reas y unidades administrativas del centro de cmputo. Evaluacin de la seguridad de los sistemas de informacin. Evaluacin de la informacin, documentacin y registros de los sistemas. Evaluacin de los sistemas, equipos, instalaciones y componentes. Evaluacin de los recursos humanos del rea de sistemas. Evaluacin del hardware. Evaluacin del software. Evaluacin de la informacin y bases de datos. Evaluacin de otros recursos informticos.
34
Evaluacin de equipos, instalaciones y dems componentes. Elegir los tipos de auditora que sern utilizados. Determinar los recursos que sern utilizados en la auditoria. Personal de auditora de sistemas Personal del rea que ser evaluada. Apoyo de los sistemas y equipos tcnicos e informticos. Apoyos materiales y administrativos. Otros apoyos. Recursos econmicos.
A continuacin analizaremos una por una esta propuestas de puntos que se deben evaluar. P.4.1 Evaluacin de las funciones y actividades del personal del rea de sistemas La determinacin de los puntos que se deben evaluar en estos aspectos se refieren a una valoracin del cumplimiento de las funciones y actividades establecidas para cas uno los puestos que integran el centro de computo, as como de la observancia de las obligaciones de los funcionarios, usuarios o personal del rea. El propsito fundamental de esta evaluacin es verificar si existen o no las funciones y actividades para cada uno de los puestos del rea, si se encuentran por escrito y contempladas en documentos formales o informales, si tienen la suficiente difusin, si el personal que las debe cumplir las conoce y tiene acceso a los documentos donde se encuentran, y como, en qu grado y de qu manera los ocupantes de esos puestos satisfacen las funciones que tienen encomendadas. Tambin se evala el aprovechamiento del sistema y de sus recursos por medio del cumplimiento de estas funciones y actividades. P.4.2 Evaluacin de las reas y unidades administrativas del centro de cmputo En este punto se busca evaluar, mediante tcnicas y procedimientos de auditora, todos aquellos aspectos que puedan influir en el grado de cumplimiento de las funciones, actividades y operacin de las reas y unidades de trabajo del centro de cmputo.
35
Esto se puede realizar a travs de la evaluacin de carcter individual, es decir un rea a la vez, o de manera integral, contemplando a todas las reas del centro de cmputo. Es importante sealar que uno de los principales criterios para el desarrollo de esta evaluacin, es que se debe sujetar al estilo y tamao de los equipos computacionales, a la distribucin de los sistemas y la forma de operacin del citado centro de cmputo. Lo mismo para el acatamiento en la evaluacin de la estructura de organizacin por reas, o en su caso por la divisin del trabajo de dichos centros. Respecto a estas reas y unidades de trabajo del centro de cmputo, existen muchos criterios y opiniones que se deben contemplar al realizar una evaluacin. P.4.3 Evaluacin de la seguridad de los sistemas de informacin Uno de los rubros que estn incrementando su popularidad dentro del ambiente informtico, es el relacionado con la seguridad en el rea de sistemas; con ello se incrementa cada da ms la necesidad de evaluar la seguridad y proteccin de los sistemas, ya sea en los acceso al centro de computo, en el ingreso y utilizacin de los propios sistemas y en la consulta y manipulacin de la informacin contenida en sus archivos, la seguridad de las instalaciones, del personal y los usuarios de sistemas, as como de todo lo relacionado con el resguardo de los sistemas computacionales. Es evidente que uno de los aspectos bsicos que se deben contemplar en la evaluacin de sistemas, es precisamente la proteccin y resguardo de la informacin de la empresa, tanto en el hardware, as como de los equipos adicionales que ayudan al adecuado funcionamiento de los sistemas. En esta evaluacin tambin se incluyen el acceso al rea de sistemas, el acceso al sistema, la proteccin y salvaguarda de los activos de esta rea, las medidas de prevencin y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una auditoria de sistemas. Para un mejor entendimiento de estos puntos, a continuacin veremos las principales reas de seguridad que se pueden evaluar en una auditoria de sistemas: Evaluacin de la seguridad fsica de los sistemas. Evaluacin de la seguridad lgica del sistema.
36
Evaluacin de la seguridad del personal del rea de sistemas. Evaluacin de la seguridad de la informacin y las bases de datos. Evaluacin de la seguridad en el acceso y uso del software. Evaluacin de la seguridad en la operacin del hardware. Evaluacin de la seguridad en las telecomunicaciones.
P.4.4 Evaluacin de la informacin, documentacin y registros de los sistemas Dentro de lo que se contempla en la evaluacin a las reas de sistemas se encuentra todo lo relacionado con la informacin, ya sea de las bases de datos y sistemas de almacenamiento, los respaldos o simple y sencillamente la forma de archivar los datos por parte de los usuarios del sistema. Precisamente con esta apreciacin se busca evaluar la proteccin y custodia del activo ms valiosos de los sistemas, la informacin, e incluso como se hace la captura, procesamiento y emisin de los resultados. Todo de acuerdo a las caractersticas, forma de procesamiento y sistemas de la empresa. P.4.5 Evaluacin de los sistemas, equipos, instalaciones y componentes En esta evaluacin intervienen muchos factores, tanto de la auditoria como de la propia rea de sistemas, ya que se pretende dictaminar como estn funcionando casi todos los componentes del sistema computacional de la empresa. Para esta auditora es conveniente dividir la evolucin en aspectos concretos que se pueden dictaminar por separado o en forma integral; por esta razn proponemos evaluar los siguientes puntos: P.4.5.4 Evaluacin de los recursos humanos del rea de sistemas Es la evaluacin del adecuado cumplimiento de las actividades, tareas, funciones de los integrantes del rea de sistemas. En esta valoracin se incluye una opinin sobre la experiencia, conocimientos y habilidades que debe tener este personal para el manejo de las actividades y operaciones del sistema de cmputo, as como la disponibilidad y grado de cumplimiento de sus funciones.
37
P.4.5.5 Evaluacin del hardware Es la evaluacin del aprovechamiento y utilizacin de los sistemas de cmputo, de sus componentes y conexiones, as como de sus perifricos y equipos asociados. Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de procesamiento de informacin de la empresa. P.4.5.6 Evaluacin del software Es la evaluacin del aprovechamiento y explotacin de los sistemas operativos, lenguajes, programas de aplicacin, paqueteras y de los dems aspectos que integran el software institucional, as como de los sistemas y programas de desarrollo del mismo. Con la identificacin de estos objetivos se busca dictaminar si se satisfacen las necesidades de procesamiento de informacin de la empresa. a) Evaluacin de la informacin y las bases de datos Es la evaluacin de la proteccin y el aprovechamiento de los sistemas de almacenamiento de la informacin que se procesa en el rea, en cuanto al acceso a las bases de datos, los niveles de consulta, manipulacin y modificacin de los datos, los programas y paqueteras de aplicacin y manejo de la informacin institucional, as como a la proteccin y operacin relacionadas con el manejo de los archivos de informacin. Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de proteccin y operatividad de la informacin de la empresa, en cuanto al volumen, periodicidad, oportunidad, utilidad y disponibilidad de las bases de datos institucionales. b) Evaluacin de otros recursos informticos Es la evaluacin del aprovechamiento de los dems recursos informtico con que cuenta el rea de sistemas para el procesamiento de la informacin, tales como sistemas de telecomunicacin interno o externos, sistemas multimedia para explotacin institucional, sistemas de proteccin de informacin y de acceso a las bases de datos, avances tecnolgicos en los programas y paqueteras de aplicacin institucional.
38
Con esta evaluacin se busca dictaminar si se satisfacen las necesidades de proteccin y operabilidad de la informacin de la empresa. c) Evaluacin de equipos, instalaciones y dems componentes Es la evaluacin del aprovechamiento de los bienes muebles e inmuebles, instalaciones y otros recursos que estn directamente involucrados con el bienestar y comodidad del personal y usuarios del rea de sistemas, as como del aprovechamiento de la comunicacin telefnica y de datos, ya sea dentro de la empresa o con sistemas computacionales externos, tales como redes de computo, mdems u otros sistemas de telecomunicaciones. P.4.6 Elegir los tipos de auditora que sern utilizados En esta etapa de la planeacin de la auditoria de sistemas, una vez que determino los puntos que sern evaluados, es imprescindible que el encargado de esta determine los tipos de auditora, las herramientas e instrumentos y los mtodos de evaluacin que utilizara para dictaminar acerca del funcionamiento del rea de sistemas, de acuerdo con sus necesidades especificas de revisin y con las caractersticas y requerimientos especiales que se pueden auditar en sistemas. Evidentemente es difcil establecer un tipo de auditora que se pueda aplicar uniformemente en la evaluacin de los sistemas de una empresa, ya que en mucho depender de los objetivos que se busca satisfacer con la auditoria de sistemas, as como del tpico que ser analizado, y desde que punto de vista lo evaluara el auditor. Es indiscutible que no es lo mismo evaluar el funcionamiento de una red de cmputo, que evaluar la seguridad en el acceso fsico de la instalaciones de la rea; tampoco se aplican los mismos procedimientos para evaluar las metodologas de anlisis y diseo de los nuevos sistemas, que para verificar la veracidad de los resultados de un procesamiento de datos en un microsistema; cada uno de estos tiene aspectos diametralmente opuestos entres si, los cuales deben ser forzosamente auditados desde diferentes puntos de vista y con diferentes mtodos y herramientas. Estas son la razones por la que el auditor tiene que determinar el tipo de auditora que va a realizar, de acuerdo con sus objetivos; por eso es de
39
suma importancia identificar cada uno de los anteriores aspectos que hemos tratado a lo largo de esta etapa de planeacin. P.4.7 Determinar los recueros que sern utilizados en la auditoria Es necesario considerar que los recursos cualesquiera que sean, son de carcter limitado; por esa razn, despus de haber identificado los puntos que sern evaluados, es de suma importancia determinar los recursos que se necesitaran para poder realizar la auditoria de sistemas, siempre en concordancia con lo planeado. En el caso especial de esta auditora y por lo tcnico del ambiente donde se realiza, estos recursos tienen que ser muy especializados, tanto para la auditoria de sistemas como para el aspecto informtico. Para una mejor comprensin de cmo determinar los recursos necesarios para la auditoria de sistemas, a continuacin sealaremos brevemente los principales aspectos de estos recursos: Es el caso especial de esta auditora y por lo tcnico del ambiente donde se realiza, estos recursos tienen que ser muy especializados, tanto para la auditora de sistemas como para el aspecto informtico. Para una mejor comprensin de cmo determinar los recursos necesarios para la auditoria de sistemas, a continuacin sealaremos brevemente los principales aspectos de estos recursos: P.4.7.1 Personal para la auditoria de sistemas Es el personal especializado en auditoria de sistemas, el cual aplica sus conocimientos, habilidades y experiencia en las diferentes disciplinas de la auditoria, utilizando para ello las tcnicas, procedimientos, mtodos de evaluacin, herramientas e instrumentos de revisin especializados y tradicionales para la evaluacin de sistema. Cabe destacar que este personal tiene que ser especializado en las tcnicas y procedimientos de auditora, pero a la vez debe tener amplios conocimientos y experiencia en el rea de sistemas; en muchos casos, es preferible que sea personal multidisciplinario para que cubra todos los aspectos relacionados con sistemas.
40
P.4.7.2 Personal del rea que ser evaluada Es la estimacin de los recursos del rea de sistemas con los que contara el auditor para la evaluacin. Debemos sealar que este personal no est a disposicin del auditor y que no tiene ningn tipo de autoridad sobre l ni injerencia en su trabajo. Lo mas que les puede pedir es que cooperen en la realizacin de la auditoria proporcionando la informacin y que participen en las entrevistas, cuestionarios, pruebas y dems herramientas que utilizara para evaluar los sistemas. P.4.7.3 Apoyo de los sistemas y equipos tcnicos e informticos. Es la seleccin de los recursos tcnicos, equipos y sistemas computacionales que sern necesarios para la auditoria de sistemas, los cuales pueden ser muy diversos y especializados, de acuerdo con las necesidades concretas establecidas en la planeacin de la evaluacin. Dichos recursos incluyen el hardware, software, instalaciones, el personal especializado en la operacin de los sistemas, los sistemas operativos, los programas de aplicacin, las paqueteras, las bases de datos y la informacin del rea auditada. Adems se contemplan todos los aspectos logsticos que necesitara el auditor para el desempeo de sus actividades, tales como sistemas computacionales para su uso exclusivo, software de evaluacin especializado para auditoria, apoyo tcnico informtico especializado en sistemas computacionales, materiales consumibles de sistemas y todos los dems requerimientos informticos, de acuerdo a las necesidades especificas del rea que ser evaluada. P.4.7.4 Apoyos materiales y administrativos. Estos son los recursos que no tienen que ver con los sistemas, pero que son imprescindibles para el buen desempeo de los auditores, tales como la asignacin de oficinas privadas, y lugares de trabajo exclusivos, el apoyo de mobiliario, equipos, materiales y tiles de oficina, as como el apoyo logstico y secretaria necesario para realizar una evaluacin. Todo ello de acuerdo con las necesidades contempladas en la auditoria. Conviene destacar que el auditor necesita de todo el apoyo logstico y administrativo del rea de sistemas para que no tenga preocupaciones ni dificultades administrativas y pueda realizar una correcta evaluacin, en
41
caso de que no xito este apoyo, el auditor recurrir al apoyo administrativo de cualquier otra rea de la empresa, ya que es importante que realice sus actividades lo ms cmodamente posible. P.4.7.5 Otros Apoyos. En algunos casos, dependiendo de las necesidades especificas de la evaluacin de sistemas, es necesario contar con recursos especializados para la revisin de ciertos aspectos del rea de sistemas que se tengan que auditar de manera particular, los cuales la mayora de las veces no son de uso comn en dicha rea. Algunos ejemplos de estos aspectos pueden ser los programas especializados de evaluacin de sistemas, hardware, equipos y perifricos asociados, tambin los sistemas de telecomunicacin, de interredes los protocolos de comunicacin, adems de otros aspectos tcnicos especializados que sirven de apoyo para la evaluacin de los sistemas, de las instalaciones o de cualquier otro rubro importante que se tenga que evaluar, de acuerdo a las necesidades de la auditoria y de la propia empresa. P.4.7.6 Recursos Econmicos. Otros de los recursos de gran importancia para el desarrollo de una auditoria es el apoyo financiero que necesita el auditor, en el caso de auditoras externas, para transportarse al lugar donde este el rea o empresa que vaya a evaluar. El auditor necesita comprobar los gastos efectuados durante la evaluacin o, por el contrario, dichos gastos pueden ser libres de comprobacin, de acuerdo a las normas y polticas de la empresa, estos gastos estn representados por los siguientes rubros: Viticos: Es la cantidad de dinero que se le asigna al auditor, por da, semana o cualquier periodo, para cubrir sus gastos de viaje, estancia y alimentacin durante la evaluacin de los sistemas de la empresa. Pasajes: es la cantidad de dinero que se entrega al auditor para cubrir su traslado al lugar donde realiza la evaluacin, en algunos casos, es la entrega de los boletos y derechos de viaje que amparan el uso de los transportes.
42
Otros gastos: Es la cantidad de dinero que se entrega al auditor para cubrir sus gastos inherentes al desarrollo de la evaluacin, ya sea para transporte, gasolina, casetas de peaje, derechos, compras de material informtico, utensilios de oficina o cualquier otro gasto.
P.5 Elaborar planes, programas y presupuestos para realizar la auditoria. Despus de haber considerado todos los puntos antes sealados, el siguiente paso es realizar la planeacin formal de la auditoria de sistemas, en la cual se concreten los planes, programas y presupuestos para dicha auditoria, es decir, se deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoria, los tiempos de ejecucin para cumplir con el objetivo, as como los presupuestos de la auditoria, documentos en donde se deben asignar los costos de los recursos que sern utilizados y el tiempo que sern utilizados para determinada actividad. P.5.1 Elaborar el documento formal de los planes de trabajo para la auditoria. Es la elaboracin especfica y escrupulosa de los planes formarles de trabajo para la auditoria de sistemas computacionales. Estos planes se presentan en un documento oficial llamado plan de auditora de sistemas, el cual contiene todos los aspectos relacionados con la realizacin de dicha auditoria. A continuacin tenemos algunos de estos aspectos: Las actividades que se van a realizar, los responsables de realizarlas, los recursos materiales y los tiempos. Los eventos que servirn de gua de accin. La estimacin de los recursos humanos, materiales e informticos que sern utilizados. Los tiempos estimados para las actividades y para la propia auditoria. Los auditores responsables y participantes en dichas actividades. Las dems especificaciones del programa de trabajo para la auditoria.
El auditor responsable de elaborar la planeacin de la auditoria determinara, en base a sus conocimientos, habilidades y experiencia, el contenido formal de este documento, sin embargo, en este inciso
43
presentamos los aspectos de forma y contenido que se deben considerar en el documento formal. P.5.1.1 Cartula de identificacin del plan de auditora. Es la primera hoja del documento de planeacin, en la cual se establecen lo ms claramente posible los siguientes puntos: Nombre y logotipo de la empresa responsable de la auditoria: contiene la identificacin oficial de la empresa responsable de realizar la auditoria, en caso de ser auditora externa, es indispensable que esta caratula este en un papel membreteado de la institucin, despacho o auditor independiente que la llevara a cabo. Si la responsable de realizar esta evaluacin es el rea de auditora interna de la empresa, el logo y nombre ser de la empresa, pero con la clara identificacin del rea de auditora interna. Indicacin del nombre del documento: Es la clara identificacin de que se trata de un documento oficial, en el cual se indica claramente que su contenido se refiere al plan de auditora de sistemas de la empresa o del rea que se indica en la misma caratula. Nombre de la empresa (rea) auditada: Se anota lo ms notoriamente posible el nombre de la empresa o del rea especfica de sistemas que ser auditada, de preferencia inmediatamente despus del punto anterior. Nombre del responsable de elaborar el plan de auditora: Se seala el nombre del auditor responsable de llevar a cabo la auditoria, por lo general este auditor es el mismo que supervisa la realizacin de la auditoria, aunque nada impide que otro lo haga. Fecha de vigencia del plan: En algunos casos es el periodo de realizacin de la auditoria, desde que inicia hasta que concluye con la entrega del dictamen formal. En otros casos es la fecha en que se presenta a discusin y aprobacin el plan de auditora. En ambos casos deber indicar el da (dos dgitos), el mes (dos dgitos), y el ao (cuatro dgitos).
44
P.5.1.2 ndice de contenido. Es conveniente que en estos documentos siempre se incluya una seccin en donde se sealen, por nombre del contenido o apartados y por pgina, todos los puntos en que se dividi el plan de la auditoria, con objeto de ayudar a una rpida consulta del documento. P.5.1.3 Definicin de objetivos. Es la definicin formal, por escrito, de los objetivos que se pretenden alcanzar con la auditoria, conforme a lo sealado al principio de este captulo. P.5.1.4 Delimitacin de estrategias para el desarrollo de la auditoria. En algunos casos es conveniente que en este plan se contemplen las estrategias para las diferentes partes de la auditoria de la empresa, as como de acuerdo a los estndares de documentacin establecidos por la empresa responsable de la evaluacin. P.5.1.5 Planes de auditora. Son los planes formales de la auditoria, en los cuales se detalla cada una de las acciones para la evaluacin, estos planes sern presentados de acuerdo a las preferencias y necesidades especificas de auditora de la empresa, as como de acuerdo a los estndares de documentacin establecidos por la empresa responsable de la evaluacin. P.5.1.6 Definicin de normas, polticas y lineamientos para el desarrollo de la auditoria. Es muy conveniente que los aspectos que regularan las actividades de los auditores estn perfectamente establecidos en este documento, incluyendo sus alcances y limitaciones. Tambin se deben establecer las polticas y lineamientos de accin, de acuerdo al tipo de auditora y a la experiencia de los auditores en revisiones similares, todo de acuerdo con las especificaciones de las empresas, tanto de la responsable de realizar la auditoria como de la que ser auditada. Estos son algunos de los puntos ms importantes que debe contener este documento.
45
P.5.2 Contenido de los planes para realizar la auditoria. Es la elaboracin escrupulosa de todos los planes formales que el auditor debe plasmar en un documento oficial llamado plan de auditora de sistemas, el cual deben contener muy detalladamente las fases, etapas, actividades, recursos y tiempos para realizar la auditoria. Es evidente que el auditor determinara el contenido mnimo de estos planes, en base a sus conocimientos y experiencia, sin embargo, en la elaboracin de este documento gua de auditora, cuando menos se debe considerar los siguientes aspectos: P.5.2.1 Definir los objetivos finales de la auditoria Es la definicin formal de los objetivos finales de la auditoria, mismos que establecidos perfectamente en el punto, establecer los objetivos de la auditoria de esta primera etapa de planeacin. P.5.2.2 Establecer las estrategias para realizar la auditoria Como producto de las anteriores etapas de planeacin en este documento se redactan en forma precisa las estrategias para realizar la auditoria, con el fin de que los auditores las entienden rpida y perfectamente. P.5.2.3 Disear las etapas, eventos y tareas en que se dividir la auditoria Es la determinacin precisa detalladla de cada una de las etapas, eventos y tareas que deber cumplir el personal encargado de realizar la auditoria, de acuerdo a lo definido en los anteriores puntos de esta planeacin. P.5.2.4 Calcular la duracin de las tareas y eventos para satisfacer los objetivos de la auditoria Una vez que fueron precisadas las etapas, eventos y tareas concretas del plan para la auditoria, el siguiente paso es estimar, lo ms exacto posible, su duracin, de acuerdo con su importancia, necesidades concretas y forma en que se satisfacer en objetivo concreto de la auditoria. Tambin se debe considerar la disponibilidad de los recursos para la auditoria.
46
P.5.2.5 Distribuir los recursos que sern utilizados en las diferentes etapas, actividades y tareas de auditora Con base en los aspectos que analizamos en la etapa de planeacin, y con la perfecta definicin de las etapas, eventos y tareas indicadas en la parte anterior, en esta parte se establece, en forma precisa y lo ms detalladamente posible, la asignacin de los recursos que sern utilizados en la auditoria, as como el tipo de recursos, el tiempo que sern utilizados en la tarea, y en s todos los detalles sobre su utilizacin. P.5.2.6 Confeccionar los planes concretos para la auditoria Es el establecimiento formal, de preferencia por escrito y de manera grafica, de las etapas, eventos, tareas y actividades que integran el plan de auditora, incluyendo la duracin de cada uno de estos aspectos, as como el tiempo de asignacin de los recursos, el tipo de recursos y en s todos los aspectos formales del plan de auditora, los cuales hacen que este documento sirva de base a los auditores para realizar la evaluacin. Debemos reitera que el auditor es el responsable de identificar y establecer los puntos que sern evaluados, con base en un estudio concienzudo de lo sealado en las secciones anteriores. P.5.3 Elaborar el documento formal de los programas de auditora. En este documento se anotan, de preferencia en forma de grafica, todas las etapas eventos y actividades que se realizaran durante la auditora; adems, se anota el periodo de duracin de cada una de las partes en que se dividi el trabajo de evaluacin. En algunos caos, tambin se anotan los recursos que sern utilizados y la forma de identificarles, y si es necesario, su costo. P.5.3.1 Grfica del programa de actividades Es un documento visual de fcil comprensin, en donde se describe detalladamente y en forma de grafica el plan de trabajo; es decir, todas las etapas, eventos y actividades contempladas para la evaluacin de los sistemas, as como su duracin y los recursos necesarios para llevarlas a cabo. Este documento puede ser una grafica de Gantt, de ruta critica, de pert o cualquier otra herramienta de planeacin y control. En este documento no solo se describen las etapas y actividades de la auditoria, sino que tambin se puede utilizar para su control y supervisin.
47
P.5.3.2 Definicin de las etapas y eventos que se deben llevar a cabo Es la descripcin documental y detallada de la forma de planear el desarrollo y cumplimiento de las etapas o eventos en que est dividida la evaluacin de los sistemas. Todo de acuerdo con lo determinado en la planeacin. P.5.3.3 Definicin de las actividades y tareas Es la descripcin detallada de las acciones y pasos que se deben realizar en cada una de las etapas de la evaluacin, de las herramientas, instrumentos y mtodos de los sistemas. Todo de acuerdo con lo determinado en la planeacin. P.5.4 Elaborar los programas de actividades para realizar la auditora. En este punto se establecen por escrito y de preferencia en forma de grfica todos los tiempos en que se llevara a cabo cada una de las etapas, eventos y actividades de la auditoria, considerando para ello el periodo de duracin de cada de las partes en que se dividi el trabajo de evaluacin. En algunos casos tambin se anotan el tiempo que se utilizaran los recursos y, de ser necesario, sus periodos de asignacin, descanso y cualquier otro uso de estos recursos, tanto en lo individual como en lo colectivo. Este documento se elabora con el anterior, ya que es parte integral del documento de planeacin, y debe contener los mismos aspectos sealados para el plan de auditora. Este documento se divide en esta solo para su identificacin y conocimiento, los cuales tambin se pueden elaborar por separado o en forma conjunta. P.5.4.1 Definir de manera precisa las etapas de la auditoria El responsable de la planeacin de la auditoria de sistemas deber definir, lo ms preciso que pueda, las posibles etapas en que se dividir la misma, buscando ser congruente y coherente en la divisin de las actividades, en cuanto al volumen de trabajo, importancia del aspecto que ser evaluado, en los recursos requeridos y en el peso especifico que tendrn dichas etapas para toda la auditora.
48
P.5.4.2 Identificar concretamente los eventos que se deben llevar a cabo en cada etapa de la auditora Tomando como base las etapas establecidas con anterioridad, el siguiente paso es definir, lo ms concretamente posible, cada uno de los eventos que integraran cada una de las etapas propuestas en que se dividi la auditoria, de acuerdo con las necesidades concretas identificadas en los puntos anteriores. Se recomienda utilizar la grafica de ruta critica, la grafica de Gantt o el programa Project de Microsoft. Tomando el evento como un suceso esperado, al cual se debe llegar despus de una serie de actividades, la identificacin de todos estos eventos es una parte fundamental en la definicin de las etapas en que se divide la auditoria de sistemas. P.5.4.3 Delimitar lo ms claramente posible las actividades tareas a cabo en cada etapa de la auditoria Una vez que se han definido los eventos que se requieren para integrar las etapas en que se dividi la auditoria, el siguiente paso es determinar, lo ms clara y concretamente posible, todas y cada una las actividades y tareas concretas que se debern llevar a cabo para cada evento. P.5.4.4 Distribuir los recursos que sern utilizados en las diferentes etapas, eventos, actividades y tareas Una vez establecidas todas las acciones, actividades y tareas para cada uno de los eventos de las etapas de la auditoria, el siguiente paso es determinar tanto los recursos humanos como los recursos adicionales que sern utilizados en cada una de estas etapas, ya sea en forma individual o en forma conjunta. P.5.4.5 Calcular la duracin de las etapas, actividades y tareas planeadas para la auditora Otro de los puntos fundamentales para elaborar el programa de auditora, es determinar la duracin de cada uno de los eventos, etapas, actividades tareas y acciones que integraran dicho programa; para ello, se deben considerar los recursos que se utilizaran en la evaluacin, ya sean de carcter humano o los adicionales que apoyan el trabajo del auditor.
49
P.5.4.6. Determinar fechas de inicio y fin de las etapas, actividades y tareas Contando con la estimacin de recursos, la duracin de cada evento y la asignacin de las actividades, tareas y acciones necesarias para realizar la auditora, se podrn establecer las fechas de inicio y fin, no slo de la auditora, sino de cada una de sus etapas, fases, actividades y eventos. Todo de acuerdo con lo determinado en la etapa de planeacin y lo establecido en cada uno de las partes de este programa. P.5.5 Elaborar los presupuestos para la auditora Este presupuesto es parte integral los dos documentos anteriormente analizados, ya que se contemplan los recursos que se utilizarn en el plan y programa de trabajo, slo que se agregan los costos y el tiempo que se utilizarn estos recursos durante la evaluacin. Para complementar los anteriores documentos, veremos que en la elaboracin de presupuestos se deben contemplar, dentro de un mismo documento, cada uno de los siguientes aspectos: P.5.5.1 Asignacin de los costos de los recursos Es la designacin en nmero, tiempo y costo que, de acuerdo con los programas de trabajo de la auditora, se hace para utilizar los recursos contemplados para el desarrollo de dicha auditora. P.5.5.2 Control de los costos de los recursos Debido a lo limitado de los recursos para el cumplimiento de las actividades de la auditora, y aunque no es indispensable esta parte del presupuesto, es conveniente dar a conocer en este documento los costos.de dichos recursos, con el propsito de valorar el aprovechamiento y adecuada utilizacin no. slo de los recursos humanos, sino de los otros recursos informticos. P.5.5.3 Seguimiento y control de los planes, programas y presupuestos Propiamente esta parte no es del contenido de un presupuesto de una auditoria, sino es una herramienta de control utilizada por el responsable de la auditora; sin embargo si es conveniente su inclusin en este documento de presupuesto. Aunque tambin puede formar parte de
50
cualquier de los anteriores; lo importante es que se contenga en el documento. De este presupuesto no se citan ejemplos, en virtud de que sera demasiado presuntuoso, a la vez que inoperante, el tratar de encasillar el desarrollo de los presupuestos en un solo formato, razn por la cual, nicamente se deja al nivel de mencin este punto. P.6 Identificar y seleccionar los mtodos, herramientas, instrumentos y procedimientos necesarios para la auditora El siguiente paso es determinar los documentos y medios con los cuales se llevar a cabo la revisin a los sistemas de la empresa, lo cual se lograr a travs de la seleccin o diseo de los mtodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la auditora. Para lograr esto, sugerimos considerar los siguientes puntos: P.6.1 Establecer la gua de ponderacin de los puntos que sern evaluados Una de los aspectos ms importantes que se deben considerar para realizar una auditora de sistemas es la tcnica de ponderacin, la cual, como se seala en el captulo 9 de este libro, es un mtodo especial que ayuda a definir la forma de valorar cada una de las partes importantes del rea de sistemas, con el fin de aplicar los mismos criterios de evaluacin en todos los aspectos que sern evaluados. EI propsito de utilizar esta herramienta es buscar un equilibrio entre las reas o sistemas de informtica que tienen mayor peso y trascendencia con aquellas que tienen poco peso importancia en la evaluacin; es decir, para que el auditor realice la evaluacin de todas las reas y sistemas de la misma manera, y de acuerdo con lo establecido en los planes, programas y presupuestos de la auditora. Como hemos visto, esta tcnica de evaluacin es un instrumento que permite al auditor compensar las posibles descompensaciones de las reas o sistemas de informtica que tienen mayor peso e importancia en la evaluacin, comparadas con aquellas que tienen poco peso e importancia. Esta ponderacin se logra mediante los siguientes puntos: P.6.1.1 Definir las reas y puntos de sistemas que sern auditados De acuerdo con la planeacin de la auditora, el primer paso es definir las reas, los aspectos de sistemas o los puntos de inters que se van a
51
evaluar, dndole un peso especifico a cada factor; el auditor establece ese peso a su libre albedro, y de acuerdo a su experiencia, habilidad y conocimientos sobre el tema. Lo que se busca en este paso es definir los factores de mayor jerarqua o los ms representativos de un grupo o sector de sistemas que se desea evaluar. El propsito fundamental de esta definicin es darle a cada uno de estos factores un valor porcentual (peso especfico), el cual representar la importancia de cada factor evaluacin P.6.1.2 Definir el peso de la ponderacin por las reas y puntos que sern evaluados Una vez que fueron definidos las reas, tpicos o aspectos que sern ponderados el siguiente paso es asignarle un valor porcentual a cada uno de los factores elegidos el cual es un valor particular que establece el auditor para cada una de las actividades que sern evaluadas, de acuerdo a su libre albedro. La suma total de estas actividades invariablemente ser 100%. El ejemplo del siguiente cuadro es una aplicacin de un peso especfico determinado para una gestin informtica. P.6.1.3 Realizar el documento de ponderacin de la auditora Despus de los puntos anteriores, el siguiente paso es elaborar el documento de ponderacin de manera formal, sometindolo a la opinin y consenso de los dems participantes en la auditora, a fin de que entre todos elijan criterios ms o menos homogneos de ponderacin; esto tiene el propsito de buscar que todos los tpicos que sern evaluados sean aplicables de manera similar. Este documento se presenta a todo el personal de auditora, a fin de que cada auditor entienda cul ser su participacin en esta evaluacin de sistemas. P.6.2 Elaborar la gua de la auditora Despus de disear la ponderacin de la auditora de sistemas, el siguiente paso es elaborar la gua de la auditora; ste es un documento de carcter formal, en el cual se anotan todos los puntos que debern ser evaluados, ya sea del centro de cmputo, del sistema en evaluacin, de la gestin informtica o de cualquiera de los aspectos del rea sistemas. Tambin se anotan la tcnica y la forma en que ser evaluado cada punto as como su ponderacin o peso especfico.
52
Ya sea que el auditor tenga experiencia o que carezca de ella, la gua de evaluacin ser el documento que le permitir realizar, en forma eficiente y electiva, su investigacin la auditora del sistema, centro de cmputo, gestin informtica o de cualquiera de los puntos que se tenga que evaluar, y que le indicar todo el procedimiento que debern seguir, los puntos que deber evaluar y las herramientas e instrumentos que deber utilizar para hacer su revisin. Es decir, este documento le puede guiar paso a paso en todos los aspectos que sern auditados. Entre los principales aspectos que se deben considerar en la elaboracin de la gua de la auditora encontramos los siguientes: P.6.2.1 Determinar las reas y puntos concretos que sern evaluados en el ambiente de sistemas Es la eleccin especfica de todas las reas, puntos concretos y dems aspectos de sistema que sern evaluados, determinados de acuerdo con el programa de auditora que se aplicara. Primero se debe elaborar una lista de las reas y los puntos que sern evaluados listndolos de manera ordenada. En el captulo 10 se explica ms detalladamente la elaboracin de la gua de la auditora. P.6.2.2 Seleccionar los mtodos, procedimientos, herramientas e instrumentos de evaluacin Una vez identificadas las reas y puntos que sern evaluados, se deben seleccionar las tcnicas mtodos, procedimientos, herramientas y/o instrumentos que servirn para realizar la evaluacin de cada punto especfico. Esto con el propsito de que el auditor sepa lo que debe utilizar para evaluar el punto que se le indica, as como la manera de efectuar la evaluacin; en algunos casos tambin se puede incluir un breve detalle de los que se desea obtener con el uso de tales herramientas. P.6.2.3 Elaborar el documento formal de la gua de auditora Una vez hechos los trabajos anteriores, se debe elaborar formalmente un documento llamado gua de auditora de sistemas; tambin se recomienda que ste sea sometido a la opinin y consenso de los dems participantes en la auditora, a fin de que entre todos seleccionen las tcnicas, mtodos, procedimientos, herramientas y/o instrumentos que sean aplicables a todos los tpicos que sern evaluados.
53
Este documento sirve para disear las partes que el personal de auditora evaluar, a fin de que cada auditor entienda cul ser su participacin en esta evaluacin. P.6.3 Elaborar los documentos necesarios para la auditora Una vez definidos todos los aspectos sealados en las fases anteriores, y de acuerdo con lo indicado en los documentos terminados de la ponderacin de la auditoria y la gua de auditora de sistemas, el siguiente paso es elaborar los documentos formales que servirn para recopilar la informacin til para hacer la valoracin de los aspectos que sern auditados en el rea de sistemas. Concretamente, y de acuerdo con lo establecido en la gua de auditora, se deben disear, seleccionar o elaborar los documentos formales que se utilizarn para la recopilacin de informacin y para la aplicacin y uso de pruebas e instrumentos que servirn para comprobar el buen funcionamiento de los sistemas de la empresa. El propsito es contar con las herramientas, procedimientos e instrumentos que permitan obtener informacin til para la auditora a los sistemas computacionales de la empresa, lo cual se logra por medio de los siguientes puntos: P.6.3.1 Disear los instrumentos y herramientas de recopilacin de informacin para la auditora El responsable de la auditora en la etapa de planeacin debe definir lo ms claramente posible los instrumentos de recopilacin de informacin que se requiere en la auditora, de acuerdo con las caractersticas y necesidades de evaluacin de sistemas que realizar, razn por la cual debe adoptar, disear y aplicar los instrumentos de recopilacin que estn definidos en los captulos 9, 10y 11 de este libro. Cabe sealar que en la gua de auditora se deben elegir, preferentemente, los instrumentos, tcnicas, procedimientos y herramientas de recopilacin que satisfagan las necesidades de evaluacin, de acuerdo con las caractersticas de los sistemas computacionales que se van a auditar y de acuerdo con la experiencia y conocimientos de los auditores que participarn en la misma.
54
P.6.3.2 Disear los cuestionarios Como resultarlo de la planeacin de la auditora o derivado de la gua de auditora, el encargado de la auditora ser el responsable de elaborar y autorizar los cuestionarios que necesitan para el levantamiento de informacin til para la evaluacin de los aspectos de sistemas que se trate; de acuerdo con las necesidades, caractersticas y requerimientos especficos que fueron sealados en la gua de auditora. Es de suma importancia que el auditor de sistemas computacionales sepa cmo elaborar correctamente estos cuestionarios, ya que se debe seguir un mtodo especfico en su formulacin mediante el cual le permitirn: definir el objetivo del cuestionario, elegir el tipo de preguntas (dicotmicas, opcin mltiple, abiertas, etctera) y el numero de estas; tambin establecer el universo y la muestra de quienes respondern este instrumento y en s, debe cumplir con caractersticas especficas para el mejor diseo de estos instrumentos de recopilacin. Recordemos que los cuestionarios son las formas de recopilacin de informacin ms utilizadas y de mayor utilidad para el auditor, y consisten en recopilar datos, mediante la aplicacin de cdulas con preguntas impresas, en donde el encuestado responde de acuerdo con su criterio, a fin de que el auditor concentre, agrupe y tabule las respuestas para obtener, por medio del anlisis e interpretacin, informacin significativa para poder evaluar lo que est auditando. P.6.3.3 Disear las guas para realizar entrevistas Similar al cuestionario, corno resultado de la planeacin de una auditora o de la gua de auditora, el auditor o el responsable de la auditora deben definir el tipo de entrevista que ms le conviene a su evaluacin. A fin de establecer las formas como se debe conducir la entrevista y las maneras de obtener la mejor informacin. Esto obliga al auditor a definir la gua de preguntas que realizar, de acuerdo con su experiencia y conocimientos en la aplicacin de esta herramienta de recopilacin de informacin. Recordemos que una de las tcnicas ms utilizadas en la auditora de sistemas es la entrevista que se define como: la recopilacin de informacin que se obtiene en forma directa, cara a cara, a travs de algn medio de captura de datos, en donde el auditor interroga, cuestiona, investiga ir confirma sobre los aspectos que est auditando, siguiendo una serie de preguntas preconcebidas, las cuales va
55
adaptando conforme recibe la informacin del entrevistado y de acuerdo con las circunstancias que se le presentan para obtener mayor informacin. Es indiscutible de esta tcnica, pero debe saber manejarse adecuadamente para lo cual el auditor debe contar con amplia experiencia y conocimientos para utilizarla, adems de apegarse a la gua de entrevista, en donde se definen todos los puntos que tendr que seguir para que este instrumento sea til y valioso para su trabajo de auditor. P.6.3.4 Disear los formularios para encuestas Tambin, como resultado de la planeacin de auditora o de la gua de auditora, el auditor debe definir los tipos de encuestas que utilizar, sus caractersticas y los formularios de preguntas que utilizar en su auditora, a fin de obtener las opciones de los auditados en relacin con los sistemas computacionales, sus servicios, satisfaccin de la funcin informtica y muchos otros tpicos de opinin tiles para su evaluacin. La encuesta se define como: La recopilacin de datos concretos, dentro de un tpico de opinin especfico, mediante el uso de cuestionarios y/o entrevistas, diseados con preguntas precisas para medir opiniones de los encuestados y con ellas obtener respuestas confiables, las cuales permiten conocer sentimiento hacia aspectos especficos, despus de hacer una rpida tabulacin, anlisis e interpretacin de esa informacin. Es un valioso instrumento de obtencin de informacin y por lo que debe saber bien utilizar este instrumento. P.6.3.5 Disear los modelos y formatos para los inventarios del rea de sistemas Como resultado de la planeacin de auditora o de la gua de auditora, surge la necesidad de levantar informacin sobre los activos informticos del rea de sistemas, por esa razn el auditor deber elaborar los formatos en donde se levantarn los inventarios de hardware, software, mobiliario y equipos, personal de sistemas, informacin y de todos los dems bienes asignados al rea, a fin de compararlos contra los registros contables de los mismos y evaluar su uso adecuado. Los inventarios se definen como: La recopilacin de todos los bienes y materiales que posee un rea de sistemas, a fin de comparar las existencias reales y confrontarlas con los registros contables. Es uno de los medios ms valiosos para evaluar el uso adecuado de los bienes de la empresa, por eso es de suma importancia
56
definir, previamente, el tipo de inventarios a realizar y los modelos o formatos que nos servirn para su aplicacin adecuada. P.6.3.6 Disear los mtodos e instrumentos de muestreo En su recopilacin de informacin, el auditor no puede ni debe recopilar toda la informacin disponible en el rea de sistemas, ya que a la vez que sera inoperante, resultara fatigoso y muy dilatado el proceso de recopilacin de datos, por ello deber saber aplicar las herramientas estadsticas y matemticas que le permitan obtener informacin que sea til para su evaluacin, mediante la eleccin correcta de los mtodos e instrumentos de muestreo que le permitan tratar mejor a este tipo de recopilacin P.6.3.7 Disear los instrumentos especiales de evaluacin de sistemas De igual manera que en el punto anterior, el responsable do la auditora debe de adoptar disear y aplicar los instrumentos de especiales de evaluacin, que le permitan definir, lo ms claramente posible, todos aquellos mtodos, tcnicas, herramientas e instrumentos de evaluacin que sean aplicables en la auditora de sistemas computacionales. Esto se define en la etapa de planeacin de auditora, de acuerdo con las necesidades de evaluacin de los sistemas computacionales de que se trate P.6.3.8 Determinar los puntos que sern evaluados con pruebas Como productos de la planeacin de auditora, puede surgir la necesidad de determinar puntos que permitan evaluar el funcionamiento adecuado del hardware, equipos perifricos y sus componentes o del software institucional, sistemas operativos, los programas, aplicaciones, paquetes, utileras, o tambin de procesamiento de informacin, las bases de datos o cualquier otro tipo de evaluacin a los sistemas computacionales de la empresa. P.6.3.9 Disear las pruebas para la evaluacin Como resultado del punto anterior, y parte de importante de la planeacin de auditora, en esta etapa se determina, la ms clara posible, el tipo de pruebas su alcance e intensidad, sus caractersticas y especificaciones, de acuerdo con las necesidades de la auditoria y caractersticas de los
57
sistemas. Claro est respetando los puntos diseados en la seccin anterior y las especificaciones de procesamiento de los sistemas computacionales que se evaluaran. P.6.3.10 Disear los instrumentos y herramientas para pruebas de evaluacin Cuando ya estn perfectamente definidos los puntos a evaluar y las pruebas que se realizarn (Secciones P.6.3.8 y P.6.3.9), el auditor ya puede elegir o disear.los instrumentos, herramientas, mtodos y procedimientos que le permitirn realizar dichas pruebas; esto obedece a que los sistemas computacionales tienen caractersticas muy especfica y, antes de realizar cualquier prueba, se deben analizar a profundidad con el fin de no afectar el funcionamiento normal de los sistemas. No es lo mismo realizar un procesamiento de datos de prueba a un sistema en funcionamiento (aunque sea con datos falsos), que procesamiento de datos a un sistema paralelo (aun con datos verdaderos) P.6.4 Determinar herramientas, mtodos y Procedimientos para la auditora de sistemas Una vez que ya fueron definidos los puntos sealados en las fases anteriores y que ya se, cuenta con los documentos necesarios para aplicarse a las necesidades de auditora establecidos en la ponderacin de auditora de sistemas y Ya gua de auditora de sistemas, el siguiente paso es determinar las herramienta, mtodos y procedimientos que se utilizaran para llevar a cabo la evaluacin en el ambiente de sistemas que se auditara. P.6.4.1 Disear las herramientas e instrumentos que sern utilizados en la evaluacin Se refiere a la definicin especfica de los instrumentos y herramientas informticos que el auditor utilizar para evaluar los sistemas computacionales de la empresa. En especial, los elementos de sistemas computacionales que utilizar para evaluar a los propios sistemas y para aquellas aplicaciones especificas del sistema computacional.
58
P.6.5.4 Disear, aplicar y evaluar los resultados de los programas, mtodos y pruebas de simulacin al sistema. En algunos casos, adems de aplicar los mtodos y pruebas previamente diseados, ser necesario realizar simulaciones de los resultados, a fin de evaluar el comportamiento de estos resultados a la luz de otras pruebas simuladas en equipos similares o en el mismo equipo, pero con otro tipo de datos. Esto ayuda a complementar la evaluacin de los resultados que se obtienen del sistema en auditoria. P.6.5.5 Disear otros instrumentos de recopilacin Producto de las pruebas, programas y mtodos de evaluacin antes sealados, puede ser necesario disear otros instrumentos que ayuden a evaluar mejor los resultados alcanzados, razn por la cual se puede recurrir a nuevos instrumentos que se elaboran para complementar la evaluacin y las caractersticas especificas de los sistemas. P.6.5.6 Elaborar otros documentos de revisin En algunas ocasiones se deben elaborar otros instrumentos que contribuyen a evaluar, de mejor manera, los sistemas computacionales de la empresa, para lo cual se debe considerar las necesidades concretas de evaluacin y los requerimientos de pruebas, programas y mtodos de evaluacin que sern necesarios. P.7 Asignar los recursos y sistemas computacionales para la auditoria Una vez definidos todos los aspectos sealados en las fases anteriores, el siguiente paso es asignar los recursos que sern utilizados para realizar la auditoria, de acuerdo con los aspectos ya establecidos con anterioridad. Con la asignacin de estos recursos especializados, sean humanos, informticos, tecnolgicos o cualesquiera otros que se hayan establecido para la auditoria, es como se lleva a cabo la misma. P.7.1 Asignar los recursos humanos para la realizacin de la auditoria Los responsables de realizar la auditoria son los recursos humanos especializados en informtica y auditoria, ya que con ellos se llevan a cabo todas las actividades programadas para la revisin de los sistemas, sus bases de datos, el uso correcto y adecuado de la informacin y en s de todos los aspectos informticos que sern evaluados.
59
Estos recursos humanos, por lo especializado de la actividad que realizan para la auditoria, pueden ser auditores en el rea informtica, cuyos conocimientos les permiten evaluar casi todos los aspectos de sistemas. Sin embargo, la actividad de los sistemas computacionales de una empresa suele ser sumamente especializada, ya sea por el tipo de sistemas, la plataforma que se utilice, el software especfico que se emplee o cualesquiera otras especificaciones que solo el personal del rea domine. Los recursos a los que puede acudir para su evaluacin suelen ser aquellos especialistas que pertenecen al rea de sistemas computacionales auditada, quienes cooperan con el auditor para realizar las pruebas, programas y procedimientos de evaluacin que determine el auditor. P.7.2 Asignar los recursos informticos y tecnolgicos para la realizacin de la auditoria As como se asignaron los recursos humanos para la auditoria, tambin se tienen que asignar los recursos informticos y tecnolgicos que requiere el auditor para realizar su auditoria, los cuales vienen a ser sus herramientas de trabajo. Estos recursos informticos pueden ser los sistemas computacionales que utilizara durante su evaluacin, que incluyen los propios sistemas, sus componentes y perifricos, adems de los programas, paquetes y utilera especializadas de evaluacin, las bases de datos e informacin del sistema y en si todo el hardware, software, base de datos y dems componentes de sistemas que utilizara durante su auditoria. Todo de acuerdo con la determinacin de los recursos establecida en las etapas anteriores. P.7.3 Asignar los recursos materiales y de consumo para la realizacin de la auditoria. Al igual que los anteriores, tambin se tienen que asignar los materiales y consumibles que sern utilizados durante la auditoria, a fin de que el auditor cuente con todos los elementos necesarios para su evaluacin, que pueden ser desde disquetes, cintas, papelera, equipos de oficina, como de cualesquiera otros elementos no especializados que utilice durante su evaluacin.
60
P.7.4 Asignar los dems recursos para la realizacin de la auditoria Aqu se incluyen todos los dems recursos ajenos a los anteriores que sern utilizados por el auditor, de los cuales destacamos los apoyos materiales y financieros, los viticos, pasajes y otros gastos, por citar solo algunos. 1.2 Etapa: Ejecucin de la auditoria de sistemas computacionales. El siguiente paso despus de la planeacin de la auditoria es su ejecucin, la cual estar determinada por las caractersticas concretas, los puntos y requerimientos que se estimaron en la etapa de planeacin. Debido a que esta etapa es de realizacin especial, de acuerdo con la planeacin de la auditoria, en este inciso solo se indicaran sus puntos ms importantes, en la inteligencia de que se aplicara verdaderamente de acuerdo a las caractersticas especficas de la auditoria que se trate. Los principales puntos son los siguientes: Concretamente, tenemos los siguientes conceptos: Realizar las acciones programadas para la auditoria Aplicar los instrumentos y herramientas para la auditoria Identificar y elaborar los documentos de desviaciones Elaborar el dictamen preliminar y presentarlo a discusin Integrar el legajo, de papeles de trabajo de la auditoria. Realizar las acciones programadas para la auditoria De acuerdo con el programa de auditora, cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseadas, en la cronologa que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar, el propsito es ejecutar los eventos programados y alcanzar el objetivo de la auditoria. Aplicar los instrumentos y herramientas para la auditoria Aqu lo importante es que, conforme a la gua de auditora, se tienen que utilizaron uno a uno, los instrumentos y herramientas elegidos de la informacin, la observacin, las pruebas y simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se disearon previamente para esta revisin.
61
Identificar y elaborar los documentos de desviaciones encontradas. Una vez que se realizaron las actividades diseadas en el programa de trabajo de auditora, que se utilizaron los instrumentos de recopilacin de informacin y se utilizaron los instrumentos determinados para la auditoria, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, as como los responsables de solucionar dichas desviaciones y las posibles fechas para hacerlo. El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede elaborar conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo importante es que conforme el auditor detecte las desviaciones de inmediato el documento de desviaciones. Elaborar el dictamen preliminar y presentarlo a discusin Una vez que el auditor determino las desviaciones encontradas durante la evaluacin, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez hecho esto, es obligacin del auditor comentarlas con las personas que estn involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y derivando de este intercambio de opiniones, debe determinar las posibles soluciones para cada una de estas causas. Es muy conveniente sealar que la importancia de la auditoria no solo estriba en reportar las desviaciones encontradas en una operacin normal, sino que las personas que estn involucrados directamente en la operacin deben conocerlas; el propsito es que estn conscientes de las desviaciones encontradas en su trabajo para que puedan emprender las acciones necesarias para corregirlas. La auditoria no se lleva a cabo para cortar las cabezas de los auditados; es una disciplina que ayuda a detectar las desviaciones en las operaciones de los auditados, as como a conocer las causas de tales desviaciones y sus posibles soluciones. Integrar el legajo de papeles de trabajo de la auditoria El auditor tiene la obligacin de conservar en el llamado legajo de papeles de la auditoria cada uno de los instrumentos aplicados en la
62
evaluacin, con el propsito de sustentar, llegando el caso, las observaciones reportadas.
1.3 Etapa: Dictamen de la auditoria de sistemas computacionales

El ltimo paso de la metodologa que hemos estudiado es emitir el dictamen, el cual es el resultado final de la auditoria de sistemas computacionales. Para ello presentamos los siguientes puntos: La informacin y elaborar un informe de situaciones detectadas Elaborar el dictamen final Presentar el informe de auditoria Analizar la informacin y elaborar un informe de situaciones detectadas La actividad previa, o ms bien paralela, a la deteccin de las desviaciones, es el anlisis de los papeles de trabajo y la elaboracin en borrador de las llamadas situaciones detectadas; el propsito es que el auditor elabore su borrador y comente las desviaciones con los auditores. Despus de comentarlas, debe elaborar las modificaciones pertinentes as como el informe definitivo de las situaciones encontradas. Analizar los papeles de trabajo El auditor debe hacer un estudio de los papeles de trabajo resultantes de la auditoria, con el propsito de detectar las posibles desviaciones en la operacin normal del rea o sistema computacional que esta auditando. Sealar las situaciones encontradas El auditor debe plasmar en forma especfica y lo ms concretamente posibles las desviaciones encontradas en la operacin del sistema o en el rea que est evaluando y, si es posible, debe sealar las causas que las generaron. El auditor, ya sea el responsable de la auditoria o el encargado de aplicarla, ser quien, basndose en los papeles de trabajo, su experiencia en el ramo y las situaciones encontradas, elaborara el borrador de las desviaciones que encontr durante la evaluacin de los sistemas, procurando detallar, hasta donde le sea posible. Comentar las situaciones encontradas con el personal de las reas afectadas
63
Una vez que ha detectado las desviaciones, es obligacin ineludible del auditor comentarlas en forma directa y abierta con los responsables de la operacin, a fin de que las conozcan, acepten, aclaren, complementen y las modifiquen con detalles y pruebas. El auditor no debe, en ningn caso y bajo ningn concepto, presentar las desviaciones encontradas sin antes haberlas comentado con el auditado. Realizar las modificaciones necesarias Despus de que le auditor haya comentado ampliamente las desviaciones con los involucrados, deber ratificar las observaciones y de ser necesario, elaborar las correcciones que sean pertinentes, modificando el borrador, las causas o las posibles soluciones. Tambin podra elaborar nuevamente el borrador del informe, e incluso lo podra comentar nuevamente si fuera necesario. Elaborar un documento de situaciones relevantes Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a lo sealado en los puntos anteriores, debe proceder a elaborar un documento que contenga las situaciones relevantes que encontr durante la auditoria y segn el plan de trabajo y la costumbre laborar, puede continuar con la elaboracin del dictamen de auditora. Elaborar el dictamen final: El auditor debe terminar de elaborar el informe de auditora de sistemas y complementarlo con el dictamen final, y despus presentarlo a los directivos del rea de sistemas auditada para que conozcan la situacin actual de dicha rea. Analizar la informacin y elaborar un documento de desviaciones detectadas El auditor responsable de la auditoria es quien analiza las desviaciones que comento con los auditados, para despus elaborar el informe final de las desviaciones encontradas. Elaborar el informe y el dictamen formales Cuando el auditor elabora su dictamen debe tomar en cuenta todas las desviaciones, analizarlas y emitir su opinin acerca de la situacin de las reas y sistemas auditados, especificando, lo ms clara y sinceramente posible, su opinin respecto a dichas desviaciones y de ser posible debe presentar una sugerencia profesional para corregirlas. Comentar el informe y el dictamen con los directivos de las reas
64
CONCLUSIONES.
Tomando en cuenta los beneficios que nos da una auditoria, seguir una metodologa dentro de la empresa que pueda facilitarnos poder recabar la informacin necesaria para realizar la auditoria pues en nuestra actualidad es de mucho beneficio. Podemos expresar a travs de los tiempos llegando hasta el da de hoy la tecnologa y la ciencia pues han avanzado por tal razn el poder realizar una auditora a los sistemas computacionales es muy importante para una empresa. De esa manera se puede llevar un control sobre los datos ingresados, datos importantes y de utilidad esta metodologa que se ampliaba en el trabajo nos ayuda a poder llevar un proceso muy especfico y esencial de lo que debemos de auditar como profesionales as teniendo una idea de la forma en que debemos llevar este proceso.
65
RECOMENDACIONES.
Se recomienda que el auditor sea el que toma la metodologa y as pueda adaptarla a su ambiente. Establecer la metodologa de revisin para as determinar correctamente los pasos a seguir en la evaluacin. Realizar cada paso que se nos indica para poder realizar una auditora confiable y segura.

Metodologia de La Auditoria Computacional.

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Metodologia de La Auditoria Computacional.

Uploaded by

Copyright:

Available Formats

1

Marco conceptual de la metodologa para realizar auditoras de sistemas computacionales

1. Metodologa para computacionales

evaluacin, con el propsito de sustentar, llegando el caso, las observaciones reportadas.

1.3 Etapa: Dictamen de la auditoria de sistemas computacionales

You might also like