Planeacin de la auditora en informtica

Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una
serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea
dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos
determinar el nmero y caractersticas del personal de auditora, las herramientas
necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso
necesario, poder elaorar el contrato de servicios.
!entro de la auditora en general, la planeacin es uno de los pasos ms importantes, ya
que una inadecuada planeacin provocar una serie de prolemas que pueden impedir
que se cumpla con la auditora o ien hacer que no se efecte con el profesionalismo que
dee tener cualquier auditor.
"l traa#o de auditora deer incluir la planeacin de la auditora, el e$amen y la
evaluacin de la informacin, la comunicacin de los resultados y el seguimiento.
%a planeacin de la auditora deer ser documentada e incluir&
"l estalecimiento de los o#etivos y el alcance del traa#o.
%a otencin de informacin de apoyo sore las actividades que se auditarn.
%a determinacin de los recursos necesarios para realizar la auditora.
"l estalecimiento de la comunicacin necesaria con todos los que estarn
involucrados en la auditora.
%a realizacin, en la forma ms apropiada, de una inspeccin fsica para
familiarizarse con las actividades y controles a auditar, as como identificacin de
las reas en las que se deer hacer 'nfasis al realizar la auditora y promover
comentarios y la promocin de los auditados.
%a preparacin por escrito del programa de auditora.
%a determinacin de cmo, cundo y a quien se le comunicarn los resultados de
la auditora.
%a otencin de la aproacin del plan de traa#o de la auditora.
"n el caso de la auditora en informtica, la planeacin es fundamental, pues har que
hacerla desde el punto de vista de varios o#etivos&
"valuacin administrativa del rea de procesos electrnicos.
"valuacin de los sistemas y procedimientos.
"valuacin de los equipos de cmputo.
"valuacin del proceso de datos, de los sistemas y de los equipos de cmputo
(soft)are, hard)are, redes, ases de datos, comunicaciones*.
+eguridad y confidencialidad de la informacin.
,spectos legales de los sistemas de la informacin
Para lograr una adecuada planeacin, lo primero que se requiere es otener
informacin general sore la organizacin y sore la funcin de informtica a evaluar.
Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y
con ase en esto planear el programa de traa#o, el cual deer incluir tiempos, costos,
personal necesario y documentos au$iliares a solicitar o formular durante el desarrollo de
la auditora.
"l proceso de planeacin comprende el estalecer&
-etas
Programas de traa#o de auditora
Planes de contratacin de personal y presupuesto financiero.
.nformes de actividades.
%as metas se deern estalecer de tal manera que se pueda lograr su
cumplimiento, sore la ase de los planes especficos de operacin y de los presupuestos,
los que hasta donde sea posile deern ser cuantificales. !eern acompaarse de los
criterios para medirlas y de fechas lmite para su logro.
%os programas de traa#o de auditora deern incluir& las actividades que se van a
auditar, cundo sern auditadas, el tiempo estimado requerido, tomando en consideracin
el alcance del traa#o de auditora planeado y la naturaleza y e$tensin del traa#o de
auditora realizado por otros. %os programas de traa#o deern ser lo suficientemente
fle$iles para curir demandas imprevistas.
%os planes de contratacin de empleados y los presupuestos financieros /incluyendo el
nmero de auditores, su conocimiento, su e$periencia y las disciplinas requeridas para
realizar su traa#o0, deern contemplarse al elaorar los programas de traa#o de
auditora, as como las actividades administrativas, la escolaridad y el adiestramiento
requeridos, la investigacin sore auditora y los esfuerzos de desarrollo.
Revisin preliminar
"l primer paso en el desarrollo de la auditora, despu's de la planeacin, es la revisin
preliminar del rea de informtica. "l o#etivo de la revisin preliminar es el de otener
la informacin necesaria para que el auditor pueda tomar la decisin de como proceder
en la auditora. ,l terminar la revisin preliminar el auditor puede proceder en uno de los
tres caminos siguientes.
!iseo de la auditora. Puede haer prolemas deido a la falta de competencia
t'cnica para realizar la auditora.
1ealizar una revisin detallada de los controles internos de los sistemas con la
esperanza de que se deposite la confianza en los controles de los sistemas y de
que una serie de prueas sustantivas puedan reducir las consecuencias.
!ecidir el no confiar en los controles internos del sistema. "$isten dos razones posiles
para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costo0
eneficio el realizar prueas sustantivas directamente. +egundo, los controles del rea de
informtica pueden duplicar los controles e$istentes en el rea del usuario. "l auditor
puede decidir que se otendr un mayor costo0eneficio al dar una mayor confianza a los
controles de compensacin y revisar y proar me#or estos controles
%a revisin preliminar significa la recoleccin de evidencias por medio de entrevistas
con el personal de la instalacin, la oservacin de las actividades en la instalacin y la
revisin de la documentacin preliminar. %as evidencias se pueden recolectar por medio
de cuestionarios iniciales, o ien por medio de entrevistas, o con documentacin
narrativa. !eemos considerar que 'sta ser slo una informacin inicial que nos
permitir elaorar el plan de traa#o, la cual se profundizar en el desarrollo de la
auditora.
%a revisin preliminar elaorada por un auditor interno difiere de la realizada por un
auditor e$terno en tres aspectos. "n primer lugar, el auditor interno normalmente requiere
de menos revisiones y traa#os, especialmente en la parte gerencial y de organizacin, ya
que 'l es parte de la organizacin y est familiarizado con la misma.
"n segundo, el auditor e$terno se enfoca ms en las causas de las p'rdidas y en los
controles necesarios para #ustificar sus decisiones2 el auditor interno tiene una amplia
perspectiva, la cual incorpora en sus consideraciones sore la eficiencia y la eficacia con
la que se traa#a.
"n tercero, si el auditor interno supone serias deilidades en los controles internos, en
lugar de proceder directamente con las prueas sustantivas, deer continuar con la fase
de revisin detallada para sealar recomendaciones para me#orar los controles internos.
Revisin detallada
"l auditor dee decidir si dee de continuar elaorando prueas de consentimiento, con la
esperanza de otener mayor confianza por medio del sistema de control interno, o
proceder directamente a la revisin con los usuarios (prueas compensatorias*, o a las
prueas sustantivas. "n algunos casos el auditor puede, despu's de hacer una anlisis
detallado, decidir que con los controles internos se tiene suficiente confianza, y en otros
casos que los procedimientos alternos de auditora pueden ser ms apropiados.
"n la fase de evaluacin detallada es importante para el auditor identificar las causas de
las p'rdidas e$istentes dentro de la instalacin y los controles para reducir las p'rdidas y
los efectos causados por 'stas. ,l terminar la revisin detallada el auditor dee evaluar en
qu' momento los controles estalecidos reducen las p'rdidas esperadas a un nivel
aceptale.
%os m'todos de otencin de informacin al momento de la evaluacin detallada son los
mismos usados en la investigacin preliminar, y lo nico que difiere es la profundidad
con que se otiene la informacin y se evala.
Evaluacin de los sistemas de acuerdo al riesgo
3na de las formas de evaluar la importancia que puede tener para la organizacin un
determinado sistema, es considerar el riesgo que implica el que no sea utilizado
adecuadamente, la p'rdida de la informacin o ien el que sea usado por personal a#eno a
la organizacin.
,lgunos sistemas de aplicaciones son de ms alto riesgo que otros deido a que&
+on susceptiles a diferentes tipos de p'rdida econmica.
"#emplo& 4raudes y desfalcos entre los cuales estn los sistemas financieros.
"l auditor dee de poner especial atencin a aquellos sistemas que requieran de un
adecuado control financiero.
"#emplo& 4lu#o de ca#a, inversiones cuentas por pagar y corar, nmina.
%as fallas pueden impactar grandemente a la organizacin.
"#emplo& 3na falla en el procesamiento de la nmina puede tener como consecuencia
el que se tenga una huelga.
.nterfieren con otros sistemas, y los errores generados permean a otros sistemas.
Potencialmente, alto riesgo deido a daos en la competencia. ,lgunos sistemas
le dan a la organizacin un nivel competitivo muy alto dentro de un mercado.
"#emplo& +istema de planeacin estrat'gica. Patentes, derechos de autor, los cuales son
las mayores fuentes de recursos de la organizacin. 5tros a trav's de los cuales su
p'rdida puede destruir la imagen de la organizacin.

+istemas de tecnologa de punta o avanzada. +i los sistemas utilizan tecnologa
avanzada o de punta.
"#emplo& sistemas de ases de datos, sistemas distriuidos o de comunicacin,
tecnologa sore la cual la organizacin tenga muy poca e$periencia o respaldo, la cual es
ms proale que sea una fuente de prolemas de control.
+istemas de alto costo. +istemas que son muy costosos de desarrollar, los cuales
son frecuentemente sistemas comple#os que pueden presentar muchos prolemas
de control.
Investigacin preliminar
"s necesario iniciar el traa#o de otencin de datos con un contacto preliminar que
permita una primera idea gloal. "l o#eto de este primer contacto es perciir
rpidamente las estructuras fundamentales y diferencias principales entre el organismo a
auditar y otras organizaciones que se hayan investigado.
%a investigacin preliminar dee incorporar fases de evaluacin del control gerencial y el
control de las aplicaciones. !urante la revisin de los controles gerenciales el auditor
dee entender a la organizacin y las polticas y prcticas gerenciales usadas en cada uno
de los niveles, dentro de la #erarqua de la instalacin en que se encuentran las
computadoras.
!urante la revisin de los controles de las aplicaciones, el auditor dee entender los
controles e#ercidos sore el mayor tipo de transacciones que fluyen a trav's de los
sistemas de aplicaciones ms significativos dentro de la instalacin de computadoras.
+e dee recopilar informacin para otener una visin general del departamento por
medio de oservaciones, entrevistas preliminares y solicitudes de documentos2 la
finalidad es definir el o#etivo y el alcance del estudio, as como el programa detallado de
la investigacin.
+e deer oservar el estado general del departamento o rea, su situacin dentro de la
organizacin, si e$iste la informacin solicitada, si es o no necesaria y la fecha de su
ltima actualizacin.
"n el caso de la auditora en informtica deemos comenzar la investigacin preliminar
con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar
una serie de documentos. %a investigacin preliminar se dee hacer solicitando y
revisando la informacin de cada una de las reas, asndose en los siguientes puntos&
Administracin. +e recopila la informacin para otener una visin general del
departamento por medio de oservaciones, entrevistas preliminares y solicitud de
documentos para poder definir el o#etivo y alcances del departamento
Para poder analizar y dimensionar la estructura a auditar se dee solicitar&
, nivel organizacin total&
5#etivos a corto y largo plazos
-anual de la organizacin
,ntecedentes o historia del organismo
Polticas generales
, nivel del rea de informtica&
5#etivos a corto y largo plazos.
-anual de organizacin del rea que incluye puestos, funciones, niveles
#errquicos y tramos de mando.
-anual de polticas, reglamentos internos y lineamientos generales.
6mero de personas y puestos en el rea.
Procedimientos administrativos del rea.
Presupuestos y costos del rea.
1ecursos materiales y t'cnicos&
+olicitar documentos sore los equipos, as como el nmero de ellos, su
localizacin y sus caractersticas.
"studios de viailidad
4echas de instalacin de los equipos y planes de instalacin.
Contratos vigentes de compra, renta y servicio de mantenimiento.
Contrato de seguros.
Covenios que se tienen con otras instalaciones.
Configuracin de los equipos y capacidades actuales y m$imas.
Configuracin de equipos de comunicacin y localizacin de los equipos.
Planes de e$pansin
3icacin general de los equipos.
Polticas de operacin
Polticas de uso de los equipos
Polticas de seguridad fsica y prevencin contra contingencias internas y
e$ternas.
+istemas&
!escripcin general de los sistemas instalados y de los que est'n por instalarse,
que contengan volmenes de informacin.
-anual de formas.
-anual de procedimientos de los sistemas.
!escripcin gen'rica.
!iagramas de entrada, archivos, salida.
4echa de instalacin de los sistemas.
Proyecto de instalacin de nuevos sistemas.
7ases de datos, propietarios de la informacin y usuarios de la misma.
Procedimientos y polticas en casos de desastre.
+istemas propios, rentados y adquiridos.
"n el momento de hacer la planeacin de la auditora o ien en su realizacin deemos
evaluar que pueden presentarse las siguientes situaciones&
+e solicita la informacin y se ve que&
6o se tiene y se necesita.
6o se tiene y no se necesita.
+e tiene la informacin pero&
6o se usa
"s incompleta
6o est actualizada
6o es la adecuada
+e usa, est actualizada, es la adecuada y est completa.
"l '$ito del anlisis crtico depende de las consideraciones siguientes&
"studiar hechos y no opiniones. .nvestigar las causas, no los efectos.
,tender razones, no e$cusas.
6o confiar en la memoria, preguntar constantemente.
Criticar o#etivamente y a fondo todos los informes y los datos recaados.
Personal participante
3na de las partes ms importantes en la planeacin de la auditora en informtica es el
personal que deer participar.
3no de los esquemas generalmente aceptados para tener un adecuado
control es que el personal que intervenga est' deidamente capacitado, que tenga un alto
sentido de moralidad, al cual se le e$i#a la optimizacin de recursos y se le retriuya o
compense #ustamente por su traa#o.
+e dee contar con personas asignadas por los usuarios para que en el momento que se
solicite informacin, o ien se efecte alguna entrevista de comproacin de hiptesis,
nos proporcionen aquello que se est solicitando, y complementen el grupo
multidisciplinario, ya que deemos analizar no solo el punto de vista de la direccin de
informtica, sino tami'n el del usuario del sistema.
Para complementar el grupo, como colaoradores directos en la realizacin de la
auditora, se deen tener personas con las siguientes caractersticas&
8'cnico en informtica
Conocimientos de administracin, contadura y finanzas.
"$periencia en el rea de informtica.
"$periencia en operacin y anlisis de sistemas.
Conocimientos y e$periencia en psicologa industrial.
Conocimiento de los sistemas operativos, ases de datos, redes y comunicaciones,
dependiendo del rea y caractersticas a auditar.
Conocimientos de los sistemas ms importantes.
"n el caso de sistemas comple#os se deer contar con personal con conocimientos y
e$periencia en reas especficas como ase de datos, redes, comunicaciones, etc.
3na vez planeada la forma de llevar a cao la auditora, estaremos en
posiilidad de presentar la carta / convenio de servicios profesionales 0 y el plan de
traa#o.
%a carta convenio es un compromiso que el auditor dirige a su cliente para su
confirmacin de aceptacin. "n ella se especifican el o#etivo y alcance de la auditora,
las limitaciones y la colaoracin necesaria, el grado de responsailidad y los informes
que se han de entregar.
3na vez que se ha hecho la planeacin, se puede utilizar el formato sealado en la
siguiente figura, el cual servir para resumir el plan de traa#o de la auditora. "ste
formato de progrma de auditora nos servir de ase para llevar un adecuado control del
desarrollo de la misma. "n el figuran el organismo, la fecha de formulacin, las fases y
sufases que comprenden la descripcin de la actividad, el nmero de personas
participantes, las fechas estimadas de inicio y terminacin, el nmero de das hiles y el
nmero de das0 homre estimados.
4ormato de planeacin de la auditora
"l control de avance de la auditora lo podemos llevar mediante el formato de la siguiente
figura, el cual nos permite cumplir con los procedimientos de control y asegurarnos que
el traa#o se est llevando a cao de acuerdo con el programa de auditora, con los
recursos estimados y en el tiempo sealado en la planeacin.
"l hecho de contar con la informacin del avance permite que el traa#o
elaorado pueda ser revisado por cualquiera de nuestros asistentes.