Beruflich Dokumente
Kultur Dokumente
Etapa 1
Antecedentes de la Auditoría
La auditoría se ha practicado desde tiempos remotos. El hecho de que los soberanos
exigieran el mantenimiento de las cuentas de su residencia por dos escribanos
independientes, pone de manifiesto que fueron tomadas algunas medidas para evitar
desfalcos en dichas cuentas. Podemos intuir que la primera auditoría nació desde el
momento en que fue necesario rendir cuentas de algún negocio y revisar que éstas fueran
correctas; es evidente que dicha función fue evolucionando a la par que el crecimiento de la
actividad de registros de operaciones mercantiles. En los que podría llamarse los días en los
que se formó la auditoria, a los estudiantes se les enseñaban que los objetivos primordiales
de ésta eran: La detección y prevención de fraude. La detección y prevención de errores; sin
embargo, en los años siguientes hubo un cambio decisivo en la demanda y el servicio, y los
propósitos actuales son: El cerciorarse de la condición financiera actual y de las ganancias de
una empresa. La detección y prevención de fraude, siendo éste un objetivo menor.
ETAPA 2
Estructura Organizacional
Ubicación de la Auditoría en informática:
Área de Auditoria/Área de Informática. A menudo la función de la auditoría en informática
se encuentra ubicada dentro del área de auditoría y en un número menos de empresas o
negocios en la función de informática.
Funciones de la Auditoría en Informática:
En cualquiera de las estructuras mencionadas hay que asegurar al negocio un conjunto e
acciones mínimas que vuelvan rentable la auditoría en informática.
• Funciones Mínimas:
*Evaluación y verificación de los controles y procedimientos relacionados con la función
informática.
*Validación de controles y procedimientos utilizados (evaluación, verificación e
implantación oportuna.
*Utilización de los recursos de informática de acuerdo a las políticas de la organización.
*Desarrollar la AI conforme a normas y políticas estandarizadas.
*Evaluar y justificar las áreas de riesgo de la función de informática.
*Elaborar un plan de AI en los plazos determinados por el responsable de la función.
*Aprobación y difusión del plan de AI entre los involucrados para su compromiso
*Administrar o ejecutar de manera eficiente los proyectos del plan de AI.
ADMINISTRACIÓN DE LA AUDITORÍA EN INFORMÁTICA
Una vez formalizada la función en cualquiera de las situaciones organizacionales señaladas,
se define un mecanismo de administración y función.
Dicho mecanismo tiene la función de garantizar que los recursos involucrados obedezcan los
principios básicos de un proceso administrativo, como: la planeación, el personal, el control
y el seguimiento del desempeño.
Objetivos principales de la administración de AI:
1. Cubrir y proteger los riesgos informáticos
2. Asegurar los recursos sean orientados al logro de objetivos
3. Asegurar la formulación, elaboración, difusión y cumplimiento de las políticas, funciones y
procedimientos
4. Asegurar resultados esperados por el negocio
5. Para el éxito: Elaborar y formalizar
Elementos de la Administración.
Planificación.
• Desarrollar una matriz de la planeación de AI para determinar las áreas que serán
evaluadas.
• Tener información de los sistemas, equipos, Software, planes de informática y de
auditoria, actuales.
• Coordinar los planes con Gerencia de Auditoría interna
• Componentes de éxito de la Planeación:
*Juntas formales de discusión de planes periódicas.
*Seguimiento de deficiencias y debilidades
*Reportes de Auditoria y aseguramiento de calidad
*Capacitación conjunta
*Metodología, técnicas y herramientas comunes.
Personal
• Políticas de selección y reclutamiento
• Preparación suficiente y confiable Informática/Auditoría
• Personal con experiencia, educación, adaptabilidad, entendimiento, determinación y
diligencia.
• Establecer el número de auditores y horas de auditoría
Control
• Supervisión oportuna garantiza un producto consistente
• Ayuda en el desarrollo y control de los presupuestos
• Es un proceso continuo, desde la planeación hasta el informe final
• Verificación con los estándares y procedimientos.
29
Reportes de desempeño
Herramientas muy importantes para evaluar:
– Productividad y calidad de los proyectos
– Resultados
– Avances de los proyectos
– Áreas susceptibles de control y seguimiento individual y de grupo.
ETAPA 3
PROCESO DE PLANEACIÓN DEL NEGOCIO
Este proceso consiste en determinar las estrategias y cursos de acción del negocio; se
establece mediante entrevistas y análisis detallados de cada proceso básico de la
organización como:
Producción, ventas recursos humanos o administración en una empresa de manufactura.
Recursos humanos, administración, ventas u compras en una empresa dedicada a la
comercialización de productos ya manufacturados.
Inversiones, ahorros y recursos humanos en una empresa bancaria
Secretaría académica, posgrado, control escolar y recursos humanos en una institución
educativa.
Auditoría, finanzas, administración, informática y recursos humanos en una empresa de
auditoría y consultoría de negocios.
Otras áreas de empresas con giros bien definidos
CUESTIONARIOS
Las auditorías informáticas se materializan recabando información y documentación de todo
tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las
situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del
auditor consiste en lograr toda la información necesaria para la emisión de un juicio global
objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
ENTREVISTAS
El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de
tres formas:
1. Mediante la petición de documentación concreta sobre alguna materia de su
responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método
estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de
antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste
recoge más información, y mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.
CHECKLIST
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en
función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus
cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual
no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no
conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales",
que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus
Checklists.
SOFTWARE DE INTERROGACIÓN
Hasta hace ya algunos años se han utilizado productos software llamados genéricamente
“paquetes de auditoría”, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático. Más tarde, dichos productos evolucionaron
hacia la obtención de muestreos estadísticos que permitieran la obtención de consecuencias
e hipótesis de la situación real de una instalación.
En la actualidad, los productos Software especiales para la auditoría informática se orientan
principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos
de la empresa auditada. Estos productos son utilizados solamente por los auditores
externos, por cuanto los internos disponen del software nativo propio de la instalación.
ETAPA 4
ETAPA PRELIMINAR O DIAGNÓSTICO
METODOLOGIA DE DIAGNOSTICO
1. Primer paso práctico para estimar el grado de satisfacción de la alta dirección en los
productos, servicios y recursos de informática del negocio (fortalezas, aciertos y apoyo). Es
el primer paso práctico del AI dentro de las empresas o instituciones al efectuar un proyecto
de AI. Se busca la opinión de la alta dirección al efectuar el proyecto para estimar el grado
de satisfacción y confianza que tiene en los productos, servicios y recursos de informática
del negocio; así mismo es posible detectar las fortalezas, aciertos y apoyo que brinda dicha
función desde la perspectiva de los directivos del negocio.
Aspectos relevantes a considerar:
• Misión del negocio
• Áreas o proceso del negocio
• Organigrama
• Relación entre las áreas
• Relación con las áreas externas
• Políticas referentes a informática
• Otros
Apoyo al negocio: Obtener una idea global del grado de apoyo y satisfacción que existe en el
negocio y de la orientación de la función informática: Apoyo a alta dirección (SI
estratégicos), apoyo a las gerencias (SI integrales), apoyo a niveles operativos (SI
transaccionales)
Aspectos a conocer:
- Participación de la función informática en los pys. clave
- Difusión de las políticas y planes informáticos en los niveles del negocio
- Imagen de informática ante la alta dirección y los responsables de área
- Grado de satisfacción y expectativas
- Fortalezas y debilidades de informática
- Áreas de oportunidad
- Otros
ETAPA DE JUSTIFICACIÓN
Una vez finalizada la etapa anterior, el auditor informático se centrará en elaborar un
documento que es fundamental para la aprobación del proyecto.
El documento contiene tres partes que contemplan
1. Las áreas que se auditarán (matriz de riesgo),
2. El tiempo sugerido para hacerlo (plan de auditoría informática) y
3. El visto bueno (compromiso ejecutivo).
Matriz de riesgo:
El objetivo principal es detectar las áreas de mayor peligro en relación con informática y que
requieren una revisión formal y oportuna. Ejemplos de las áreas susceptibles a auditar:
· Administración de informática (misión, organización, servicios, etc.)
· Usuarios de informática (comunicación e integración, proyectos conjuntos)
· Sistemas de información (planeación, desarrollo, operación)
· Mantenimiento (hardware, software, telecomunicaciones)
· Redes locales (administración, instalación, operación/ seguridad)
· Software (administración y legalización de lenguajes de programación, sistemas
operativos)
· Seguridad (hardware, software/ aplicaciones)
· Investigación tecnológica (metodologías, técnicas, herramientas, capacitación)
Procedimiento de análisis y elaboración de la matriz:
Es importante identificar el nivel de riesgo de cada uno de los elementos en el negocio a
través del diagnóstico de la situación actual de informática. Las áreas que se van a
diagnosticar pueden variar según el tamaño y estructura del negocio.
El auditor debe utilizar los elementos de medición y evaluación posibles sin caer en un
análisis detallado, ya que solo se trata de detectar la problemática principal de cada área. Si
se producen dificultades de considerable importancia de algún elemento evaluado, se
deben tomar acciones inmediatas para eliminar o minimizar el problema.
ETAPA DE ADECUACIÓN
Esta etapa es un conjunto de tareas estructuradas para que el proyecto de auditoría
informática se adapte a las necesidades de la empresa estudiada, pero sin olvidar la
referencia de los estándares, políticas y procedimientos de auditoría que siempre son
aceptados y recomendados por las asociaciones relacionadas con el proceso.
A continuación se mencionan los elementos que se deben contemplar antes de iniciar
formalmente la revisión de las áreas aprobadas en la etapa anterior.
ETAPA DE FORMALIZACIÓN
Las etapas anteriores brindan en conjunto, al auditor, un panorama de la situación de la
empresa y de la función de informática; en ellas se detectaron las debilidades y fortalezas
más relevantes, también se definió la planeación y proyección de las áreas que requieren
ser auditadas, y se documentaron las adecuaciones.
En esta etapa corresponde a la alta dirección dar su aprobación y apoyo formal para el
desarrollo del proyecto de auditoría (presentado por el líder de proyectos y el responsable
de auditoría informática), de manera tal que, su función es justificar el desarrollo del
proyecto basándose en lo que se hizo en las etapas anteriores.
ETAPA DE DESARROLLO
En esta etapa, el auditor informático va a ejercer su función de manera práctica, es decir,
comienza a ejecutar sus tareas con profesionalismo, ética personal y aplicando sus
conocimientos y experiencias, de acuerdo con el plan aprobado en la etapa anterior; con el
fin de obtener un producto final de calidad y beneficios tangibles para el negocio.
IMPLANTACIÓN
· Definición de requerimientos para el éxito de la etapa de implantación (la ejecuta el
responsable de informática):
Se analizan algunos aspectos (recursos humanos, materiales tecnológicos, inversiones, etc.)
que se necesitan para ejecutar las acciones recomendadas en los plazos acordados
anteriormente.
· Desarrollo del plan (también a cargo del responsable de informática):
Se documentan dichos requerimientos y, de ser necesario, solicitar la aprobación de la alta
dirección.
· Implantación de las acciones sugeridas por auditoria en informática (responsable de inf.):
· Primero hay que verificar que se cuente con los recursos estimados en la tarea anterior.
· Consultar los informes para verificar acciones y tiempos de terminación
· Elaborar un plan de implantación que tenga:
Tareas.
Productos terminados
Responsables e involucrados
Fechas de inicio y término
Fechas de revisión
· Verificar tareas, productos terminados, etc. del plan de implantación
· Ejecutar cada una de las tareas