Metodologa de una Auditora de Sistemas Existen algunas metodologas de Auditoras de Sistemas y todas depende de lo que se pretenda revisar o analizar,

pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin:

Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados

Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditora, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios del PAD. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas.-Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditora, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto. Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente:

Motivos de la Auditora Objetivos Alcance

Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora Caso Prctico

A continuacin se presenta una poltica en Informtica establecida como propuesta a fin de ilustrar el trabajo realizado de una auditora de sistemas enfocada en los controles de Organizacin y planificacin. Esta poltica fue creada con la finalidad de que satisfaga a un grupo de empresas jurdicamente establecidas con una estructura departamental del Area de Sistemas integrada por: Direccin , Subdireccin, Jefes Departamentales del Area de Sistemas en cada una de las empresas que pertenecen al grupo. As mismo los Departamentos que la componen son: Departamento de Desarrollo de Sistemas y Produccin, Departamento de Soporte Tcnico y Departamento de Redes/ Comunicaciones, Departamento de Desarrollo de Proyectos. Para el efecto se ha creado una Administracin de Sistemas que efecta reuniones peridicas a fin de regular y normar el funcionamiento del rea de Sistemas y un Comit en el que participan personal del rea de Sistemas y personal administrativo.

Bibliografa. Auditoria informtica un enfoque operacional Jos Dagoberto Pinilla Forero

Teoria de la Auditoria Financiera Guillermo Sierra Manuel Orta

Control Interno de Fraudes Rodrigo Estupin Gaitan

Enciclopedia de Auditoria. Ocano Centrum

Material de Auditoria Mario Piatinni

Redes y Procesamiento de Datos Nstor Gonzlez Saenz.

Auditoria conceptos y mtodos John J. Willingham D.R. Carmichael

Regulacin internacional sobre Auditora de Sistemas de Informacin

En materia de Auditora de Sistemas de Informacin existen varias metodologas desde el enfoque de control a nivel internacional. Algunas de las ms importantes para los profesionales de la contabilidad y la auditora son:
ISACA (COBIT) COSO AICPA (SAS) IFAC (NIA) SAC MARGERIT EDP

A) ISACA-COBIT
The Information Systems Audit and Control Foundation, ISACA (http://www.isaca.org). Es la asociacin lider en Auditora de Sistemas, con 23.000 miembros en 100 pases. ISACA propone la metodologa COBIT (Control Objectives for Information and related Technology). Es un documento realizado en el ao de 1996 y revisado posteriormente, dirigido a auditores, administradores y usuarios de sistemas de informacin, que tiene como objetivos de control la efectividad y la eficiencia de las operaciones; confidencialidad e integridad de la informacin financiera y el cumplimiento de las leyes y regulaciones.

COBIT

[19-ene-2007]

COBIT (http://www.isaca.org/cobit.htm). Objetivos de Control para la Informacin y Tecnologas Afines. Est disponible en espaol el Resumen Ejecutivo, Marco de Referencia, Objetivos de Control, Directrices de Auditora y Conjunto de Herramientas de Implementacin. El COBIT se desarrolla a travs de varios captulos: planificacin y organizacin, adquisicin e implementacin, desarrollo, soporte y control.

Planificacin y organizacin

Po1 Definicin de un plan estratgico Po2 Definicin de la arquitectura de informacin Po3 Determinacin de la direccin tecnolgica Po4 Definicin de organizacin y relaciones Po5 Administracin de la inversin Po6 Comunicacin de las polticas Po7 Administracin de los recursos humanos Po8 Asegurar el cumplimiento con los requerimientos Externos Po9 Evaluacin de riesgos Po10 Administracin de proyectos Po11 Administracin de la calidad

Adquisicin e implementacin

A11. Identificacin de soluciones automatizadas A12. Adquisicin y mantenimiento del software aplicativo A13. Adquisicin y mantenimiento de la infraestructura tecnolgica

A14. Desarrollo y mantenimiento de procedimientos A15. Instalacin y aceptacin de los sistemas A16. Administracin de los cambios

Prestacin y soporte

Ds1. Definicin de los niveles de servicios Ds2. Administrar los servicios de terceros Ds3. Administrar la capacidad y rendimientos Ds4. Asegurar el servicio continuo Ds5. Asegurar la seguridad de los sistemas Ds6. Entrenamiento a los usuarios Ds7. Identificar y asignar los costos Ds8. Asistencia y soporte a los clientes Ds9. Administracin de la configuracin Ds10. Administracin de los problemas Ds11. Administracin de los datos Ds12. Administracin de las instalaciones Ds13. Administracin de la operacin

Control

M1. Monitoreo del cumplimiento de los objetivos de los procesos de tecnologa de la informacin. M2. Obtener realizacin de las evaluaciones independientes

B) COSO
The Committee of Sponsoring Organizations of the Treadway Commission's Internal Control - Integrated Framework (COSO). Publicado en 1992 hace recomendaciones a los contables de gestin de cmo evaluar, informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y eficiencia de las operaciones, la informacin financiera y el cumplimiento de las regulaciones que explica en los componentes del ambiente de control, valoracin de riesgos, actividades de control, informacin y comunicacin, y el monitoreo.

C) AICPA-SAS
The American Institute of Certified Public Accountants' Consideration of the Internal Control Structure in a Financial Statement Audit (SAS 55), que ha sido modificado por el (SAS 78), 1995. Da una gua a los auditores externos sobre el impacto del control interno en la planificacin y desarrollo de una auditora de estados financieros de las empresas, presentado como objetivos de control la informacin financiera, la efectividad y eficiencia de las operaciones y el cumplimiento de regulaciones, que desarrolla en los componentes de ambiente de control, valoracin de riesgo, actividades de control, informacin, comunicacin y monitoreo.

Systrust, la respuesta de AICPA y the Canadian Institute of Chartered Accountants (CICA)

Systrust (http://infotech.aicpa.org/... ) es un producto lanzado por AICPA y CICA para que los CPA

(Contables colegiados) asesoren en temas de auditora informtica. "SysTrustTM Principles and Criteria for Systems Reliability" utiliza los siguientes cuatro principios para evaluar si un sistema de informacin es fiable:

Disponibilidad Seguridad Integridad

Que se puede mantener

D) IFAC-NIA
La Federacin Internacional de Contables IFAC (http://www.ifac.org) emiti las Normas Internacionales de Auditora NIA 15, 16 y 20 en 1991. IFAC muestra en la NIA 15 (Auditora en Entornos Informatizados) una referencia de controles para procesamiento electrnico de datos y la necesidad de estos cuando estamos en ambientes donde los instrumentos tradicionales del papel y dems pistas de auditora no son visibles para los contables en el momento de realizar su trabajo. La NIA 16 (Tcnicas de Auditora Asistida por Computador) describe tcnicas y procedimientos de auditora que se pueden hacer en entornos informatizados con ayuda de los computadores y otras tecnologas. La NIA 20 nos presenta los efectos de un entorno informatizado en la evaluacin de sistemas de informacin contables. Junto con las dems normas dan una gua al auditor de los controles en general a tener en cuenta en un ambiente informatizado y en las aplicaciones que procesan la informacin, as como tcnicas de auditora asistidas por computador y su importancia.
Para aprender ms: Descargue en IFAC el documento en pdf "Information Security Governance": (http://www.ifac.org/Members/DownLoads/Info_Security_final.pdf_1.pdf)

E) SAC
The Institute of Internal Auditors Research Foundation's Systems Auditability and Control (SAC). Realizado en 1991 y revisado posteriormente. Ofrece una gua de estndares y controles para los auditores internos en el rea de auditora de sistemas de informacin y tecnologa. Tiene como objetivos de control la efectividad y eficiencia de las operaciones, la integridad de la informacin financiera y el cumplimiento de normas y regulaciones que explica en el ambiente de control, sistemas manuales y automatizados y procedimientos de control.

F) MARGERIT
Consejo superior de informtica del ministerio de administraciones pblicas de Espaa MARGERIT (Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin). 1997

Es una metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las administraciones pblicas, emitida en el ao 1997 por el consejo superior de informtica y recoge las recomendaciones de las directivas de la Unin Europea en materia de seguridad de sistemas de informacin, esta metodologa presenta un objetivo definido en el estudio de los riesgos que afectan los sistemas de informacin y el entorno de ellos haciendo unas recomendaciones de las medidas apropiadas que deberan adoptarse para conocer, prevenir, evaluar y controlar los riesgos investigados. Margerit desarrolla el concepto de control de riesgos en las guas de procedimientos, tcnicas, desarrollo de aplicaciones, personal y cumplimiento de normas legales.

G) EDP
La E.D.P. Auditors Foundation (EDPAF) fundada en 1976, es otra entidad de carcter educativo e investigativo en los temas sobre estndares para la auditora de los sistemas de informacin. Esta fundacin ha investigado sobre controles en los sistemas de informacin, generando los diez estndares generales de auditora de sistemas y el cdigo de tica para los auditores de sistemas que relacionamos a continuacin.

Actividades para realizar una auditora Estudio preliminar.- Incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informtica para conocer detalles de la misma, elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de polticas, reglamentos, Entrevistas con los principales funcionarios. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades. Examen detallado de reas criticas.- Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del mismo, establecer los motivos, objetivos, alcance Recursos que usara, definir la metodologa de trabajo, la duracin de la auditoria, Presentar el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto. Comunicacin de resultados.- Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoria. El informe debe contener lo siguiente:

Motivos de la Auditoria Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditoria