AUDITORIA INFORMÁTICA.

Planificación Es el proceso consciente de seleccióny desarrollo del mejor curso de acción para lograr elobjetivo. La planificación de la auditoría: es unconjunto de procedimientos documentados ydiseñados para alcanzar los objetivos de auditoríaplanificados. En la Planificación se identifica losrecursos, procedimientos y acciones que senecesitan para realizar el trabajo Una planificaciónadecuada es el primer paso necesario para realizarauditorías de sistema eficaces. El auditor desistemas debe comprender el ambiente del negocioen el que se ha de realizar la auditoría así como losriesgos del negocio y control asociado.

FASES DE LA AUDITORIA.

Fase I: Conocimientos del Sistema

Fase II: Análisis de transacciones y recursos

Fase III: Análisis de riesgos y amenazas

Fase IV: Análisis de controles

Fase V: Evaluación de Controles

Fase VI: El Informe de auditoria

Fase VII: Seguimiento de las Recomendaciones

Entendimiento general de la entidad: Consiste en identificar las relaciones entre el Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área de TI que están expuestos a riesgos.

Análisis de riesgos: El objetivo de esta fase es desarrollar un análisis de riesgos que permita identificar que plataforma de tecnología y sistemas de información, son los más críticos para la operación de la Entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas.

Plan inicial: En función de los resultados del análisis de riesgos realizado y la normativa de control de tecnología aplicable a la Entidad, elaboraremos un plan inicial de auditoría, describiendo el enfoque de evaluación para los controles generales del computador y ciclos de negocio (controles automáticos

PLANIFICACIÓN ESTRATÉGICA.

La planificación estratégica, como primera etapa del proceso deplanificación, reúne el conocimiento acumulado de la organización, lainformación adicional obtenida como consecuencia de un primeracercamiento a las actividades ocurridas en el periodo a auditar y resumeeste conocimiento en la definición de decisiones preliminares para cadacomponente. Corresponde definir cual es el concepto de componente. Parasimplificar la planificación de auditoría, cada ente se divide en partes

manejables denominadas “componentes”.

El proceso de identificación de componentes debe reflejar una

perspectiva “de arriba hacia abajo” y concentrarse en los asuntossignificativos.

CONOCIMIENTO ACUMULADO

La comprensión del negocio del ente es fundamental para realizar unaplanificación efectiva y una auditoria eficiente. El conocimiento adquirido entrabajo de auditoria recurrente para un ente, en particular tiene un valoragregado que debe aprovecharse en años sucesivos.

En una auditoria recurrente, se acumulan conocimientos sobre el negocio, sumedio de control, su gerencia y sus sistemas de información. Además, laevidencia de auditoria obtenida como parte de exámenes anteriores, por logeneral continúa teniendo relevancia.

OBTENCIÓN DE INFORMACIÓN ADICIONAL

Luego de reunir el conocimiento de auditoria acumulado, corresponde revisar quesucedió desde la última visita para poder definir la estrategia cumplir. Además, en estaetapa se analizan ciertos temas que son aplicables a la auditoria en su conjunto.

En primer lugar se definen los “términos de referencia”. La definición delos términos de referencia consiste en determinar cuales son las responsabilidades queel auditor asume en el trabajo, cuales serán las responsabilidades en materia deinformes, cuales serán las expectativas, informes especiales e instrucciones quedeberán ser completadas, restricciones al alcance del trabajo, si las hubiera, etc. Luegode analizar que sucedió en el negocio de la organización y cuales son sus riesgosinherentes, es esencial contar con suficiente información acerca del negocio a fin deevaluar el medio en el cual opera, los individuos que conducen la empresa y los factoresque influyen sobre su éxito o fracaso. Luego corresponde analizar que sucede en el

ambiente del sistema de información. Una parte integral del conocimiento delnegocio y de los sistemas que registran sus transacciones es el desarrollo de unacomprensión global de los sistemas de información presentes

DECISIONES PRELIMINARES PARA LOS COMPONENTES

En este momento es cuando se divide el conjunto de la labor de auditoria en partesmanejables denominadas componentes.

Pueden existir circunstancias donde la empresa tenga tal dimensión, diversificaciónde líneas

de producción, subsidiarias

o divisiones importantes que a su vez

el en la definición de este enfoque

concurren el análisis de dos elementos

presentes en cada componente, ellos

son, el ambiente de control y los riesgos

inherentes. El ambiente de control

permitirá determinar que grado de

control y que grado de confianza se puede

depositar en los controles existentes

en los sistemas de información y

contabilidad del ente. Un análisis del

ambiente de control y del riesgo inherente permitirá concentrar la labor de auditoriatotal en aquellas áreas que presenten mayor riesgo.

REVISIÓN PRELIMINAR

El primer paso en el desarrollo de la auditoría, después de la planeación, es la revisión preliminardel área de informática. El objetivo de la revisión preliminar el auditor puede proceder en unodelos tres caminos siguientes.

Diseño de la auditoría. Puede haber problemas debido a la falta de competencia técnica pararealizar la auditoría.

Realizar una revisión detallada de los controles internos de los sistemas con la esperanza de quese deposite la confianza en los controles internos de los sistemas y de que una serie de pruebassustantivas puedan reducir las consecuencias.

Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles paraesta decisión.

Primero, puede ser más eficiente desde el punto de vista de costo-beneficio el realizar pruebassustantivas directamente.

Segundo, los controles del área de informática pueden duplicar los controles existentes en el áreadel usuario.

El auditor puede decidir que se obtendrá un mayor costo-beneficio al dar una mayor confianza alos controles de compensación y revisar y probar mejor estos controles.

La revisión preliminar significa la recolección deevidencias por medio de entrevistas con elpersonal de la instalación, la observación de lasactividades en la instalación y la revisión de ladocumentación preliminar. Las evidencias sepueden recolectar por medio de cuestionariosiníciales, o bien por medio de entrevistas, o condocumentación narrativa.

Debemos considerar que ésta

será sólo una información

inicial que nos permitirá

elaborar el plan de trabajo,

la cual se profundizará en

el desarrollo de la auditoría.

PERSONAL PARTICIPANTE

Una de las partes más importantes en la planeación de laauditoría en informática es el personal que deberá participar.En este punto no veremos el número de personas quedeberán participar, ya que esto depende de las dimensionesde la organización, de los sistemas y de los equipos; lo que sedeberá considerar son las características del personal quehabrá de participar en la auditoría.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que elpersonal que intervenga esté debidamente capacitado, que tenga un alto sentido demoralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya ocompense justamente por su trabajo. Con estas bases debemos considerar losconocimientos, la práctica profesional y la capacitación que debe tener el personal queintervendrá en la auditoría.

En primer lugar, debemos pensar que hay personal asignado por laorganización, que deba tener el suficiente nivel para poder coordinar eldesarrollo de la auditoría, proporcionarnos toda la información que se solicite yprogramar las reuniones y entrevistas requeridas. Éste es un punto muyimportante ya que, de no tener el apoyo de la alta dirección, ni contar con ungrupo multidisciplinario en el cual estén presentes una o varias personas delárea a auditar, será casi imposible obtener información en el momento ycon las características deseadas. También se debe contar con personasasignadas por los usuarios para que en el momento que se soliciteinformación, o bien se efectúe alguna entrevista de comprobación dehipótesis, nos proporcionen aquello que se está solicitando, y complementenel grupo multidisciplinario, ya que debemos analizar no sólo el punto de vistade la dirección de informática, sino también el del usuario del sistema.

Para complementar el grupo, como colaboradores directos en la realización de la auditoría, se deben tener personas con las siguientes características:

Técnico en informática.

Conocimiento de administración, contaduría y finanzas.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Conocimientos y experiencia en psicología industrial.

Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del área y características a auditar.

En el caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, rede, comunicaciones, etcétera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias señaladas, pero sí que deben intervenir una o varias personas con las características apuntadas.

CONCLUSIÓNLa creciente importancia asignada a los sistemas de información comoayuda inestimable e imprescindible en el desarrollo de los procesos denegocio, aportando información, que apoye la correcta toma dedecisiones, se le atribuye esa misma importancia a la auditoría de lossistemas de información.

La planificación de la auditoria de sistemas de información, si bien esuna etapa de la auditoria, es un proceso en si mismo, son una serie deactos u operaciones que conducen a un fin específico.

Ese fin será determinar cuales serán los procedimientos de auditoria a emplear que permitan obtenerla satisfacción necesaria para emitir una opinión mediante un informe que apoye a las organizaciones.Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces, elauditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoríaasí como los riesgos del negocio y control asociado. La auditaría de sistemas es un examen críticoque se realiza con el fin de evaluar la eficacia y eficiencia de los sistemas que operan en laorganización. Es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo quea TIC/SI se refiere. Una auditoría(externa o interna) nos brinda la información necesaria para tomardecisiones sobre una base sólida y con garantías de éxito.