Metodologia para realizar auditorias de sistemas computacionales Con el propésite de interpretar adecuadamente {a aplicacion de esta metodologia para realizar auditorias de sistemas, la cual puede sor aplicable para cualquier tipo de auditoria dentro del campo de sistemas, a continuacién presentamos, en for- ma gendrica, todas aquellas fases y pasos que so deben consideraron la planeacin de la evaluacién. Inicialmente sefialaremos, en tres grandes apartados, las principales eta- pas que nos sorvirdn de gufa para la realizacién de una evaluacion dentro del ambien. te de sistemas computacionales. 1 etapar Planeacién de la auditoria de sistemas computacionales PLT identiticar ef origen de la auditoria P.2 Realizar una visita profiminar al érea que serd evaluada P.3 Establecer los objetivos de Ja auditaria 4 Determinarfos puntos que serdn evaluados en la auditaria P.5 Flaborar planes, programas y presupuestos para realizar a auditoria PLB Idontiticar y seleccionar los métodos, herramiontas, instrumentos y procedi. mientos necesarios para ta auditoria PL? Asignar tos recursos y sistemas computacionales para la auditoria 2+ etapa Fjecucién de la auditoria de sistemas computacionales E.1 Roalizar las acciones programadas para a auditoria E.2 Aplicar los instrumentos y herramiontas para la auditoria £.3 Identiicar y elaborar os documentos de desviaciones encontradas E.4 Flaborar el dictamen profiminas y presentarlo.a discusién 5 Intograr ef legajo de papeles de trabajo de Ja auaitocia etapa: Dictamen de la auditoria de sistemas computacionales D1 Analizar fa informacién y elaborar un informe de situaciones dotectadas D.2 Elaborar ef dictamen final D3: Presontar al informe de auditoria42 etapa: Planeacién de la auditoria de sistemas computacionales El primer paso para walizar una auditaria en sistemas computacionales es definir las actividades necesarias para su ejecucién, lo cual so lograré mediante una adecuada planeacién de éstas; es decir, se deben identificar claramente las razones por las que eva a realizar lo auditoriay la determinacicin del abjetivo de ta misma, asi como el di- sefio de los métodos, técnicas y procedimientos necesarios para llevarla a cabo y para proparar las documentos que servirén de apayo para su gjecucién, culminando con la elaboracién documental de los planes, programas y presupuestos para dicha auditoria. Concretamente, el responsable de la planeacidn de esta primera etapa de la me- todolagia para malizar una auditoria de sistemas computacionales debora el planteamiento de los siguientes interrogantes: Por qué se realizar’ la auditoria? 2Se dobo hacer una visita proliminar al draa do sistomas? _Cual es of objetivo que se protendo aleanzar con esta auditoria? Debido @ que existon miltiples métodos y téenicas de planeacion, asf como una abundante literatura al respecto, a continuacién tnicamente ulifizaremos los principales conceptos que fueron definidos en el inciso antoriory que, de alguna manera, intorvie- nen ena planeacién de une auditoria de sistemas computacionales, a fin do identificar aquellos puntos que se pueden establecer como la base fundamental para definir las elapas y eventos que sirvan para planear el desarrollo de fa auditoria, Esta fase de pla- neacién culmina con la elaboracién formal de planes, programas y presupuestos en do- ccumenitos que sirven para consulta y control de las actividades de la revision, Iniciaremos nuestra estudio de esta etapa de planeacién con los siguientes puntos** 1+ctapa: Planeacién de la auditoria de sistemas computacionales PI Idontificare! origen de fa auditoria P2. Realizar una visita proliminar al area que soré evaluada P3_Establecer los objetivo de la auditoria P4 Doterminar los puntos quo soran ovaluados en Ia auditoria P5. Elaborar planes, programas y presupuestos para roalizar la auditoria PB Identificar y seleccionar los métedos, procedimientos, instrumentos y horra- mientas necesarios para la auditoria PZ Asignar los recursos y sistemas computacionales para la auditoriaCuadro de I etapa: Planeacién de la auditoria de sistemas computacionales Debido a la importancia de identificar cada uno de los puntos que integran esta pri- mora etapa de la motodologia para la auditoria do sistemas computacionalos, a conti- nuscién presentamos un cuadra completo de los principales puntos propuestos para la planeaciGn de dicha auditoria: P.1_ Identificar ef origen de la auditoria PAA Por si itud expresa de procedencia interna PILI A poticién de accionistas, sacios y dueftos P11.2 Por orden de ta direccion general PILL3- Por orden de tas gerencias 0 dopartamentos a nivel superior PILL4 A solicitud de funcionarios y empleados de otras niveles P12. Por solicitud expresa de procedencia externa P11.2.1 Por mandato de auioridades judiciales P1.2.2 Por ordenamiento de las autoridades fiscalos R129 Por cevisiones de autoridades de segucidad social y del trabajo P24 Por revisiones de otras autoridades P25. Por solicitud de proveedores y acroedores iud de distribuidores y desamolladores de software y hardware 1.2.7 A peticién de empresas externas P.1.3 Como consocuencia de emergencias y condiciones especiales P13. Do incidencia interna P1.3.2 De incidencia externa P.L4 Por iesgos y contingencias informaticas P14] Rriesgos y contingoncias del personat infarmiitico P14.2 Riesgos y contingencias fisicas P1483 Riesgos y contingencias operativas (légicas) P44 Riesgos y contingencias de software PIAS Riesgos y contingencias en las bases do datos P46 Otros riasgas y contingoncias en ef érea do sistemas P15 Como resultado de los planes de contingencia PLEA. Por fa earoncia de planes de contingencia P15.2 Por la elaboracion de planes de contingencia P1.5.3 Por ta aplicaeién do Jos planes de contingencia P.1.6 Por msultados obtenidos de otras auditorias PA.7 Como parte del programa integral de auditoriaP.2. Realizar una visita prefiminar al area que serd evaluada P21 Visita profiminar de arranque P.22 Contacto inicial con funcionarios y empleadas del drea P23 Identificacién proliminar de la problemética del droa de sistemas P.24 Provor los objotivos inicisles do la auditoria P25 Calcular los recursos y personas necesarias para la auditoria P.2 Establecer los objetivo de la auditoria P38. Objetive general 3.2. Objotivas particulares P33. Objetivos especificos de la auditoria do sistemas computacionales P.4 Determinar los puntos que seran evaluados en la auditoria P41 Evaluacidn de las funciones y actividades del personal del area de sistemas P42 Fyaluacion de las areas y unidades administratives de! centro de computo P.4.3 Eyaluacién de fa seguridad de los sistemas de informacion P44 Eyaluacién de Is informacién, documentacién y registros de los sistemas P45 Evaluacién de los sistemas, equipos, instalaciones y componente 4.5.1 Evaluaciéin de los recursos humanas del drea de sistemas P4.5.2 Evaluacién def hardware 4.5.3. Evaluacion dot software 4.5.4. Evaluacién de ta informacién y las bases de datos 4.5.5 Evaluacion de otres recursos informaticos 4.5.6 Evaluacién de oquipos, instalaciones y demés componontes P.4.6 Elegir los tipos de auditoria que seran utilizados P.47 Detorminar los recursos que serdn utilizados en la auditoria 4.71 Personal para la auditoria de sistemas P4.72 Personal del érea que seri evaluada P4.73. Apoyo de los sistemas y oquipos técnicos o informsiticos Apoyos materiales y administrativos 5 Olros apoyes 6 Recursas econdmicos P.5 Elaborar planes, programas y presupuestos para realizar la auditoria P.5.1 Elaborar el documento formal de los planes do trabajo para la auditoria PST Cardtula de identi P5.1.2 Indice de contenido 5.1.3 Detinicién de objetivos 5.1.4 Delimitacién de estrategias para el desarrollo de ta auditeria icién del plan de auditartsP55 Planes do auditoria P5.1.6 Delinicién de normas, politicas y lineamientas para ol desarrollo de ka auuditoria P5.2 Contenido de los planes para realizar la auditoria 5.2.1 Definir los objetivos finales de fa auditoria P5.2.2 Establocer las estrategias para realizar le auditoria P5.2.3 Disenar las etapas, eventosy tareas en que se cividird Ja auditeria P5.24 Calcular ta duracién de tas tareas y eventos para satisfacer los obje~ tives de fa auditoria P5.2.5 Distribuir los rocursos quo serén utilizados on las diforentos etapas, actividades y tareas de ta auditoria 75.2.6 Confeccionar fos planes concretas para fa auditoria P5.3. Elaborar el documento formal de los programas de auditaria P5.3.1 Grafica del programa de setividades P5.3.2 Dofinicién do fas etapas y eventos quo se debon Movar a cabo P5.3.3- Definicién de tas actividades y tarcas P.5.4 Elaborar los programas de actividades para realizar la auditoria Bs 1 Definir de manera precisa las etapas de ta aueitosta 2 Identificar concretamente las eventos que se deben llevar a caba en cada etapa de fa auditoria P54. Delimitar Jo mas claramente posible las actividades, tareas y accio- nos para cada evento P54.4 Distribuir los recursos que serar utilizados on Jas diferentes etapas, eventos actividades y tnreas 75.4.5. Calcular la duracién de las etapas, actividadesy tareas planeadas pa- ra la auditoria P5.4.6 Determinar fechas de inicio y fin de Jas etapas, actividades y taroas P5.5 Elaborar los presupuestos para la auditoria P.5.5.1. Asignacisn de los costos de los recursos 2 Control de los costos do fos recursos P5.5.8 Seguimionto y control do las planes, programas y presupuestos P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria P.6.1 Establocor la guia de ponderacién de los puntos: que seran evaluadas PGI Dofinir las éroas y puntos de sistemas que sorén auditados P62 Dofinir ol peso de fa ponderacién por las éreas y puntos. que serdn evaluados P6.1.9 Realizar el documento de panderacién de la auditoriaP62 Elaborar la guia de la auditoria P62 Determinar las areas y puntos concretos que serdn evaluados en ef ambiente de sistemas P6.2.2 Seleccionar los métodos, procedimientos, herramiontas e instrumen- tas de evatuacién 26.2.3 Elaborar of documento formal de la guia de evaluacién P.6.3 Elaborar los documentos necosarios para la auditoria 6.3.1 Diseftar fos instrumentos de rocopilacién do informacién para la au- diltoria P.6.3.2. Disefar fos cuestionarios P6.3.3 Disefar las gulas para realizar entrevistas P63.4 Disefiar los formularios para encuestas 6.3.5 Disefiar los modolas y formatos para los inventarios del drea de sis- temas: P.6.3.6 Disefiar los métodos o instrumentos de muestroo 6.3.7 Disenar Jos instrumentos especiales de evaluacian de sistemas P6.3.8 Dotorminar los puntos qure serén evaluados con pruebas 6.3.9 Disefar las pruobas para la evaluacién P6310 Diseriar los instrumentos y herramientas para pruebas de evaluacior P.6.4 Determinar herramientas, métodos, y procedimientos para la auditoria de sistemas P64] Disenar jas herramientas & instramentos que serdn utilizados en la evaluacion P64.2 Establecer los métodos y procedimientos que soran utilizades ert fa auditoria 64.2 Detorminar las técnicas y procesos espoaificos que serén utilizados en ta auditoria 6.4.4 Elaborar ios documentos formales para los procedimientos, métodos, herramientas © instrumentos que serdr utilizados on la auditoria P65 Disofiar los sistemas, programas y métodos de prucbas para fa auditoria P6541 Determinar tos puntos de interés, programas, bases de datos archives y sistemas quo seran evaluados modianlo programas y pruo- bas de cémputa PE.S2 Diseiiar las pruobas, programas y sistemas para realizar tas evalua ciones necesarias para ol fincionamienta de jas sistomas compu- lacionales, bases de datos y archivos 26.3.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las evaluaciones necesariasF654 Disofer, aplicar y evaluar los cosultados de Jos programas, métodas y pruebas de simulacién al sistema 6.5.5 Disenar otros instrumentos de recopilacion P6.5.6 Flaborar atros documentos de revisién P7_ Asignar los recursos y sistemas computacionales para ta auditoria P71 Asignarlos mcursos humanos para la realizacidn do ta auditoria P.2. Asignar los recursos informaticos y tecnologicos para la realizacién de la au- ditoria 7.3. Asignar los recursos materiales y de consumo para la realzacién de la auditor P7.4_ Asignar los damés recursos para Ia realizacion de ta audlitoria A continuacion se presenta el desglose detallado de cada uno de los puntos antes sonalados, a fin do hacer mas clara su aplicacién on la planeacién do la auditoria. 63.1 P.1 Identificar el origen de la auditoria El primer paso formal para iniciar la planeacién de una auditoria en el drea de siste- mases identificar el origen de la auditoria; es decir, lo primero es saber por qué surge fa necesidad 0 inquietud de realizar una suditoria. Para esto nos debernos proguntar de dénde?, zpor qué?, gquién? 0 para qué se requiere hacer la evaluacién de algin aspecto de sistemas de la empresa. Para el responsable de realizar la planeacién de la auditoria de sistemas es de su- rma importancia identificar el origon de la auditoria, dobida a que ademas de propor- cionarle los elementos necesarios para hacer una buena planeacién de la revision, iambién le ayuda a definir los elementos de juicio que contribuirn a normar su crite- rio de evaluacién, Ademés, eonociendo el origen de la auditoria, el auditor también puede dofinir la manera de enfocar la revision, También puede saber de antemiano cudles serdn los aspectos primordiales en la evaluacién; es decir, puede saber cudles sordn los asuntos mas relevantes sobre los que dobora trabsiar, a fin do satisfacor lo que so espera do Ia auditoria de sistemas. Dentro de esto punto do la auditoria do sistomnas encontramos estas posibles causas: Por solicitud express de procedencia interna Por solicitud exprasa de procedencia externa Goma consecuencia de emergencias y condiciones especiales Por riesgos y contingencias informéticas Como resultado de los planes de contingeneia Por resultados abtenidos de otras auditorias Como parto del programa intogral de auditoria A continuacién analizaremos con mayor dotalle cada uno de estas aspectos.Pita Por solicitud expresa de procedencia interna Podemos decir que éste es un origen oficial sobre la necesidad de realizar una audito- rfa al area de sistemas de la empresa, debido a que surge de una peticién formal de al- guien que perienece a la empresa. Con esta solicitud se marca el requisito formal para poder llevar a cabo una evaluacion en el area de sistemas, Esta peticién de revisién a los sistemas de la empresa puede obedocer a muchas causas y generalmente so oncomionda a un auditor externa, ya soa a una empresa, des- pacho 6 profesionista independiente que no tiene ninguna relacién laboral con la em- presa o, segiin laestructura y nevesidades de fa evaluacién, se puede encomendar a los mismos empleados de la institucion, si es que ésta cuenta con una drea de auditoria, Concretamente, de esta peticién podemos identificar los siguientes origenes internas: P.111 A peticion de accionistas, socios y duefios Este es el mas comin de los origenes de una auditoria, incluso de sistemas computa- cionales, debido a quo fa solicitud es formulada (ordenada) por los duefios de la em- presa, sean accionistas, socios 0 duefios Unicos, con el prapésito de saber como se administra su patrimonio, como se ulifizan los recursos de su empresa, cudl es el ren dimiento de su patrimonia, si no existen fugas, malos usos o cualquier otro aspecto que interosa a los duenos de la empresa. En el caso de los sistemas, la solicitud de audito- fa va enfocada hacia el aprovechamiento de Ios recursos del drea de sistematizacién de la empresa, Este origen también puede sor requerido por el consejo de accionistas. La mayoria de las veces estas revisiones se encargan a auditors externos, sean ‘ompresas, profesionistas 0 despachos indopondientes, siempre y cuando san ajonos a la empresa, con el propésito de contar con un criterio mas objetivo, imparcial y pro- fesional sobre el aprovechamiento de los sistemas computacionales. En contados ca- sos, esta auditoria también se realiza de manera interna, ya sea como parie de la ‘evaluacién total de la empresa, por revisién especial de algiin aspecto de sistemas, pa- ra medir el comportamiento y administracién del area de sistemas por cualquier otro aspecto interno relacionado con los sistemas que les interesa evaluar a los poscedores de la institucion. En estos casos la solicitud de auditoria se considera como una orden y se hace la revisién casi por obligacién, P1412 Por orden de la direccién general Esta revision so realiza por una orden directa de quien ejerce la maxima autoridad en la ‘empresa, pudiendo toner multiples mativos, tales como una evaluacion periddica del rea de sisternas, por desconfianza de la actuacién de los dirigentes del area, para veri ficar el cumplimiento de sus actividades, para verificar ol aprovechamiento de los siste- mas computacionales de la institucién o por algin otro motive. Lo singular de esto esque se ordona la auditoria © invariablemente se tione que realizar. Lo deseable es que cl msponsablo de la planeacién de la auditoria pueda averiguar previamente los verda- deros motivos de ésta, para enfocar su revision hacia la satisfaccién de dichos motives. P.n3. Por orden de las gerencias 0 departamentos a nivel superior Esta auditoria se origina por una peticién de las gerencias y departamentos da mando superior de la empresa, segan sus caracteristicas, estructura de organizacién y funcio- nes que desompefian para la misma; en estos casos, por alguna razon laboral valida, estos funcionarios demandan Ia realizacién de una auditoria al area de sistemas com- putacionales de la empresa, misma que puede 0 no realizarse; todo dependera del ti- po de demanda de auditorfa que se realice, de la importancia que tendra su realizacién y de los niveles de autoridad que afecten la realizacion de dicha auditoria, Pita A solicitud de funcionarios y empleados de otros niveles El origen de esta auditorfa es algo irregulary poco usual on fas empresas, ya que la som licitud do la auditoria parte de los nivelos mas bajo de la jerarquia institucional y, so- gin ls alton y procedimientos de la empresa, para que esta solicitud soa atendida, ‘en muchos de los casos se tienen que seguir los canales formales de comunicacién y aulorizacion establecidos en la empresa, Es muy frecuente que para autorizar la realizacién de esta evaluacién, ésta tiene quo ser analizada por los mandos intermedios © superiors do la omprosa, y si oxisto algiin motive real y valido que justifique su ojecucién, entonens se llovard a cabo. Aun- quo por la general, esta ovaluacién no procede por el nivel de donde proviene la peti- cin; pero si fuera ol caso, seria muy importanto averiguar los vordadoros motivas de esta solicitud. P.12 Por solicitud expresa de procedencia externa Podemos decir que éste es otro crigen oficial sobre la necesidad de realizar una audi- toria al area de sistemas en la empresa, debido a que surge de una peticién formal de alguien ajeno a la empresa, a quien, por alguna causa, le inleresa que sean auditados los sistemas computacionales de ésta Esto tipo de solicitud puede sor obligatorio si es por mandato expreso de alguna autoridad, o bien @ voluntad de la empresa si alguion ajeno a ésta solicita la auditoria por tener algiin vinculo leve o amplio con ella; en estos casos, la empresa no tiene la obligacién de acatar estas solicitudes de suditoriss. Estos casos se clasifican de Ia si- guiente manera: P.1.2.1 Por mandato de autoridades judiciales Este origen es el mas comin y siempre se deriva de un mandato de las autoridades ju- diciales, quienes por algiin motivo solicitan (imponen) la realizacién de una auditoria 9la empresa; esta auditoria puede tonor varios origones especificas como resultado de alguna auditoria anterior, a peticién do algtin tercoro, por la suposicién de un dolita por cualquier atro motivo. En el caso concroto de los sistomas computacionales, éstos son algunos de los origenes més comunes: + Casi siempre es por la sospecha de pirateria icién do caroncia de ficoncias para uso de software nde utilizacion indebida del mismo software de la informacion de los sistemas * Por sospecha de un supuesto delito de caracter informatica Es indispensable aclarar que, por lo menos en Méxica, las auditorias ol de caracter legal a los sistemas computacionales solamente se pueden realizar me- dianto una orden judicial; pero, en este caso, en dicho mandato se deben aclarar per- fectamente los-aspectos especificos de los sistemas computacionales que se tienen que evaluar, hasta dande sera su aleance, cudles aspectos de sistemas se pueden au- ditar y cuales no, y si la auditoria debera ser de tipo interno © extemo, entre muchos casos, pero tados en funcién al tipo de mandato judicial que sea impuesta. 1.2.2. Por ordenamiento de las autoridades fiscales Este es uno de los origenes mas importantes de una auditoria externa y es cuando las autoridades fiscales solicitan (imponen) la realizacion de una auditoria; por lo general sta es de fipo externa, walizada por una empresa, despacho o auditor independion- te, y casi siempre esta enfocada a revisar la informacién de tipo impositiva que se pro- cosa en los sistemas computacionales de la empresa, Para el caso eoncreto de sistemas, estas auditorias por lo general son de tipo ax- terno y se derivan de algin mandato de carieter fiscal, en el cual se deben aclarar es- pecificamente todas los aspectos que se requieren evaluar, Aunque debemos aclarar que estas auditorias solamente se practican con el propdsito de revisar la informacion sistomatizada de Ia empresa, ya queen la mayoria de los casos solamente se realizan para verificar el funcionamiente del sistoma en el ambito contable, ol correcto y opor- tuno célculo de impuestos o los resultados financieros y obligaciones impositivas simi- fares que so manejan en los sistemas de la empresa, Aunque estas auditorias también pueden realizarse ocasionalmente para verificar las ficoncias de uso del software y la paquoteria institucional, con el fin de evitar la pi- taleria informatica o para algin aspecto similar de los sistemas computacionales, Cabe aclarar que estas solicitudes de auditoria solamente pueden ser abligatorias cuando son por un mandata de las autoridades fiscales (formatizade por oficia); de otra manera dificilmente pueden ser abligatorias, mucha menos cuando son por salicitud de alguien que no cuente con la autoridad fiscal para ello,P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo Esto tipo de solicitud de auditoria, aunque también es de tipo impasitivo, os de erigen muy especial, debida a que sélo puede ser derivado de casos inesperadas que aiecten a los trabajadores y patrones 0 por la sospechs de algdn dolito o ine gularidad que re- percula en la seguridad social y la del trabajo. Se debe especificar, mediante manda- to judicial, ol tipo de auditoria de sistemas computacionsles que se solicite (imponga). En la mayoria de los casos, estas revisiones son similares a los aspectos contables manejados anteriormente, ya sea porque se requiere de alguna revision a los sistemas de cémputo, en cuanto al manejo de la informacion relacionada con los aspectos con- tables, impositivas o de aquellos que estan relacionados con el maneja de las némi- nas, prostaciones y obligaciones de los trabajadoros de la empresa. Esto puede llegar @ pasar, pero no es comin que suceda dentra del ambiente de sistemas. En cualquier caso, so deben aclarar concretamente los aspectos que sordn evalua dos, asi como los alcances y limites de la auditoria, De esta manera, ol auditado pue- do-exigir que no se vaya mas alld de lo especificado en la auditoria, P.12.4 Por revisiones de otras autoridades Serian muy escasas y poco probables las auditorias do sistemas solicitadas (ordens- das) por autoridades foderales, estatales © municipales distintas a las senaladas ante- Fiormente, debido @ que en la legislacién mexicana no existen reglamentas, norma 0 feyes que faculien a los representantes de estos poderes piiblicos a que impongan la realizacién de algiin tipo de evaluacién en el ambiente de sistomas, cualquiera que sea su origen necesidad especifica. Conviene destacar que actualmente, por lo menos en México, ni los colegios de profesionales, ni las universidades, ni las asociaciones, cémaras o gremins de cualquier indole, ni alguna otra instancia gubernamontal o representativa de la sociodad estén facultados para realizar u ordenar auditorias al area do sistemas do una empress sin la autorizacién expresa de ésta, Ademés, tampoco existe autorizacién alguna para que, a peticién de cualquiera de estas instancias, puedan ser auditados el software, hardwa- re, equipos, instalaciones, informacién o cualquier atro aspecto infarmatica de una em- presa, ya que esto es privado y Gnicamente le compete a la propia empresa. Enel supuesto caso de que se malizara alguna auditoria en una empresa sin que me- diara un mandato judicial, se incurriria en un delito sancionado por las leyes mexicanas. P.1.2.5 Por solicitud de proveedores y acreedores Actualmente no es dificil encontrar una solicitud de auditoria de sistomas por parte de los proveedores y acreedores de una empresa, pero no pasa de ser una solicitud, ya que la empmsa a la que se pretende auditar no est obligada a dar acceso a su infor- macién, ni a sus sistemas, nia sus bases do datos.Estas auditorias Gnicamente pueden realizarse con la autorizacién de Is empresa y sélo bajo las condiciones y en los campos de sistemas en donde ésta lo permita, La nica excepcidn es que Ios acreedores y/o proveedores turnen dicha peticion ante una autoridad judicial de manera oficial y especifica; en caso de que dicha auditoria fuera aprobada, ésta ya sorfa de cardcter impositivo y las autoridades tendrfan que aplicarla do manora externa. P.1.2.6 Por solicitud de distribuidores y desarrolladores de software y hardware Este requerimiento es muy similar al caso anterior, debido a que cuando la solicitud de auditoria parte de los distribuidores y desarroiladores de harcware y software, la em- presa tiene [a facultad de acceder a realizarla o de negarse a ello, sogdn sus intereses particulares, pera jamas puede ser una auditoria de caracter impositiva, Uns gran parte de estas solicitudes se origina por la suposicin de que exision de- litos informaticos relacionades con la pirateria de software, presuncién de carencia de licencias y/o desconfianza acerca del buen uso del hardware © de las sistemas de la ‘empresa, Sin embargo, aunque dichas saspechas estén bien fundadas, sdlo-se podran auditar los sistemas de una empresa cuando ésta lo pormita, y jamas por imposicién de los distribuidores 0 desarrofiadores. Esta auditoria sélo puede ser de caricter im- positivo mediante una orden judicia sin la mediacién de alguna autoridad, su roaliza- cidn seria un delito sancionable, P.1.2.7 A peticién de empresas externas Es igual a fos casos anteriores, s6lo que esta auditoria se maliza a peticién de una insti- tucién ajena a [a empmsa:para este caso, dicha auditoria solamente se puede llegar a ojecutar si es la voluntad de {a empresa, la cual tiene la facultad de rechazar la evalua- cidn 9 aceptar que ésta se malice, especificanda sus condiciones, alcanees y limites. P.1.3. Como consecuencia de emergencias y condiciones especiales Esto tipo de auditorias se realiza cuando se presentan situaciones de jomergencia y condiciones oxtrao jas on el droa de sistemas, las cuales estan fuera de control y parémetros normales de operacion enel centro de cémputoen dichas situa cionos, la auditoria so realiza casi do modiato y, en muchos casos, sin que medio la autorizacin do funcionarios. ‘También so ralizan debido a la no- cesidad de medir y valorar las repercu- Ss siones qua tuvioron esas emorgoncias “ay/o condiciones especiales, ya quo se tienen que evaluar el impactoy posibles dafios a las actividades y funciones del Area de sistemas de Ia empresa, los cuales pueden ser desde loves problemas hasta verdaderas catastrofes, Las auditorias que so realizan como resultado de una solicitud de cualquiera de los anteriores puntos, tienen un origen muy particulary estén vinculadas con los aspectos do seguridad y protecci6n de los sistomas computacionales de Ia emprmsa, Goncreta- menie, encontramos que los origenes de estas auditorias pueden sor los siguientes: P.1.3.1 De incidencia interna Estas auditorias se realizan cuando se presenta alguna erergencia o ineidencia de tipo interno en el éres de sistomas, la cual repercuto en alguno de sus recursos ya sea en el personal o los usuarios en el equipo de cémputo, lb informacién, instala- ciones 0 on algin otro elemento mlacionado con el area de sistemas. Dicha contingen- cia interna puede sor causada por alguna nogligencia, por sabotajo, pirateria de informaciGn o por algin otro elemento accidental ocurride dentro de la propia érea que pueda iniluir en el procesamiento de fa informacién, Evidentemente, al presentarse una emergencia interna, la peticion de la auditoria de sistemas es de cardcter interno y casi siempre se realiza inmedialamente e incluso, en algunos casos, no tiene que existir tal solicitud sino que, por procedimiento interno, la evaluaci6n de las repercusiones es inmediata o la auditoria forma parte de un pro grama de emergencia en el érea de sistemas de la empresa, Pi3.2 De incidencia externa Por fo general, esta solicitud de suditoria so presenta por contingoncias, emergencias y/o incidencias de caracter externo que afectan al aa de informatica, ya sean acasia- nadas por alguna otra dres do la empmosa, por empresas ajenas o por algdn otro agon- te extemo que tenga 0 que no tenga contacte con la institucién. Al presentarse las contingencias externas en la empresa, repercuien directamen- tw en el érea do informética, Io cual hace necesaria la realizacion de una auditoria los sistemas. Tomemes como ejemplos las con- tingencias ocasionadas por virus informalicos, un temblor, una inundacion, ete. Al presentar- se estos casoses necesario realizar, casisin | roquisitos y de inmediato, la evaluacion de =" los danos sufridos en el area de sistemas. Dentro de este rubro también encontra- mos solicitudes de auditorias ocasionadas por as- pectos externos que tienen repercusién interna, pero que al ser solicitudes de auditorias por origen externa, tienen que ser autorizadas por los directivos dol drea de sistemas y, en muchas acasiones, esto no ocurre de inmediato, Entre algunos ejemplos —‘encontramos la repercusién del avance tecnaldgico de hardware y software en el fun cionamiento de los sistomas de la emprosa, ya que su aiectacién puode sor minima a irelevante para el sistema y se debe valorar la realizacién de una auditoria, 0 por el contrario, se requiere una auditoria cuando ol efecto os mayor. P.4 Por riesgos y contingencias informéticas Es frecuonte que funcionarios, personal o usuarios del érea de sistomas soliciten la rea- zacién de alguna auditoria cuando ha ocurrido alguna contingencia que aieete el pro- cesamiento de informacién en la empresa; aunque también puede. suceder cuando ‘existe algiin riesgo que pueda repercutir on las actividades y funciones del area do sis- tomatizacién, asi como en el manojo de los recursos que so le han asignado. Por esta raz6n se deben evaluar, mediante una auditoria de sistemas, las repercusiones de cual- quiera de estas incidencias, ya sean por riesgos a por la ocurrencia de alguna contin- gencia de caracter informatica. Los siguientes son algunas de los riegos o eontingencias informaiticas mas comu- nes de estas areas: P.tp.t Riesgos y contingencias del personal informatico Esta solicitud de auditoria so origina por los posibles riesgos derivados de la actuacién dol factor humano del érea de sistemas, ya sea del personal, de los usuarios, los ase- sores o consultores y de los desarrotiadores o praveedores de sistomas de la empresa: asimismo, se origina por las contingencias que le puoden ocurrir a este personal. En ambos casos, éstos son algunos de los aspectos que pueden generar la necesidad do realizar una auditoria a estas dreas, ya sea porque pucden existir doficiencias y proble- mason el cumplimiento de las actividades, oporaciones y funcionos de osto porsonal, @ por los posibles riesgos a los que esta expuesto, P.1g.2. Riesgos y contingencias fisicas La solicitud do una auditoria de este tipo so origina por una contingencia o posible ries 20 derivado de les aspectos tangibles de la empresa, es decir, de aspectos fisicos co- mo acceso del personal al equipo de cémputo, periféricos y componentes, y en si a taro Io que corresponde al hardware del area de sistemas, asi como en fo relacionado con las instalaciones, mobiliario, oquipos, construcciones y demas elementos palpa- bles del centro de informatica de In empresa. P.tut.3 Riesgas y contingencias operativas (Légicas) Son las solicitudes de auditoria do sistemas derivadas de las contingencias y riesgos que posiblemente repercutiran en el funcionamiento operative (légico) del sistema, encuanto al comportamionta do sus longuajes y programas, asi como en los niveles de accesos, privilogios y limitaciones en el manejo de sus archivas, bases de dalos, formas de procesamionto de informacion y en si de todos aquellos aspectos que de alguna manera van a influir on el buen funcionamiento dol sistema computacional.* P14 Riesgos y contingencias de software Muy similar al anterior, tan es asi que a veces se puede confundir; el origen de esta so- licitud se debe a las contingencias y riesgos que se pueden presentar debido al mane- jo de los sistemas operatives, los longuajes de programacién y las paqueterias de aplicacién del area de sistemas. La mayoria de solicitudes de este tipo se originan por mal uso del software, pira- feria, robos, falta de licencias y otros delitos informaticos, Pius Riesgos y contingencias en las bases de datos Esta solicitud de auditoria se hace exelusivamente para evaluar el manejo de los datos de la empresa, los cuales estén contemplados en la operacion de las bases de datos; en este caso Is auditoria so enfocard en forma exclusiva a las contingoncias y posiblos Fiesgos derivados de la administracion, procesamiento, custadia, acceso y uso de los datos, ya sea para detectar alguna negligentia, alteracién, dolo 0 cualquier otra afecta- cidn on ta informacién de ta emprosa, P.1.4.6 Otros riesgos y contingencias en el drea de sistemas Los riesgos y contingencias que se derivan de otras aspectos relacionadas can las sis- temas pueden ser innumerables, y forzosamente tienen que ser distintos a los que analizamos anteriormente; sin embargo, cuando la solicitud de auditoria tiene este origen, so debe a quo dichos aspectos estén muy rolacionados con las caracteristicas y nocesidades concrotas de procesamiento de informacién de la empresa; an este ca- 50, identificar el origon de la solicitud de auditoria es de suma importancia, ya que de esta manora so onfocard la evaluacién on los aspectos de sistemas quo se quioron au- ditar, los cualos sordn contemplados coma atros riesgos y contingencias diforenios a los tradicionales.P..5 Como resultado de los planes de contingencia Otro de los posibles origenes de una solicitud de auditoria en el drea de sistemas lo canstituyen los planes de contingencia; ya sea que se carezca de éstos en el area do sistemas y so necesite ovaluar su posible efecto, a que ya estén establecidas y so re- quiera evaluar su funcionamiento y grado de utilidad para dichos sistemas. Concretamente, una auditoria de este tipo se puede originar por los siguientes aspectas: P.i.5.1 Por la carencia de planes de contingencia El origen de esta auditoria de sistemas se debe a que no existe ningtin plan de contin- gencia, ni un documenta similar en donde se conemplen medidas proventivas 0 co- rroctivas relacionadas con [a seguridad de la inforacién del droa de sistemas. Es entonces cuando, al conocer el nacimiento de la solicitud de una auditoria ba- joeste rubro, mucho ayudaria a valorar la necesidad de evaluar Ia implementacién do los planes, programas y medidas preventivas de seguridad pars el érea de sistemas. P.i5.2 Por la elaboracién de planes de contingencia Esta solicitud de auditoria se origina debido 4 que se observan ciertas deficiencias en la elaboracién de algiin plan de riesgos y contingencias, ya sea preventivo 0 correctivo, ya que mediante esta auditoria se pueden prevenir dichas deficiencias. En algunos casos esta necesidad de evaluacién se debe a la ausencia de difusion, conocimiento y/o utilizacién de dichos planes. P.1.5.3. Por la aplicacién de las planes de contingencia Cuando la solicitud de la auditoria se debe a la aplicacién dol plan de contingencias, 6s porque se observan deficiencias en los sistemas computacionales, y en muchos casos es necesario evaluar su funcionamiento y correcta aplicacién mediante una auditoria, También suelo suceder que después de haber ocurrido alguna contingencia, y al aplicar la fase final de este plan, es decir en la etapa de restauracién, se delectan de- ficiencias en la recuperacién de informacion, en el funcionamiento de los sistemas 0 problemas con el software, hardware, periféricos o en la propia area de sistemas; por esta razén es necesario evaluar Ia eficacia y eficiencia en Ia operacién de los anterio- res aspectos, Por resultados obtenidos de otras auditorias Es frecuente que como resultado de la practica de una auditoria en otra drea de la em- presa, o atin dentro de la propia érea de sistemas, surja algiin aspecto especifien que se tiene que evaluar mediante una auditoria mas detallada.Esta solicitud también puede originarse por algiin agpecto especial derivado de los resultados de una auditoria anterior, los cuales por alguna raz6n repercuten en dicho aspecto, el cual se debe evaluarya que puede afectar el comportamiento de los siste- mas computacionales do la omprosa. Paz Como parte de un programa integral de auditoria También es frecuente que existan programas concretos de auditoria integral o global, los cuales se aplican en la empresa para evaluar la correcta administracion y compor- tamiento de todas sus dreas; en este caso, la solicitud de auditoria do sistomas forma parte de dichos proyectos de evaluacién intogral Estos programas pueden ser de caricter global y se pueden aplicar una sola vez, cuando la auditoris so roaliza en forma conjunta, a fin de hacer Ia evaluacion de todas, las unidades de la institucién, También puede ser que, dependiondo del programa, se pueda cubrir por etapas cada una de sus éreas en forma progresiva y secuencial, Todo ello depondera del estilo de direccién, Is forma en quo la empresa realiza las audito- rias y si éstas se realizan de manera extema o interna, Lo importante a destacar en este caso es que el origen de esta auditoria se debo alos resultados do una auditoria antorior Aqui no existe propiamente una solicitud, sino que la auditoria es una disposicién conereta de Ia institucién; sin embargo, para entender mejor este punto, la vamos a considerar como una peticién de auditoria 6.3.2 P.2 Realizar una visita preliminar al érea que sera evaluada Es recomendable, driamos que casi imprescindible, que el auditor realice una visita pre- liminar al éroa de informatica que sora auditads, justo después de conocer o| origon do la petician de auditoria, y antes de iniciarla formalmente; el propdsito es que tenga un contacto inicial con el personal do dicha dreay que observe cémo se encuentran distr- buidos los sistemas, cudnios y cuales son los oquipos quo estan instalados en el centro de cémputo, cudles son sus principales caracteristicas, de qué tipo son las instalaciones, cudles san las medidas de seguridad visibles que existen, y en si, que conazea la proble- mitica a la cual sp enfrontara, de manera muy simplo y de cardcter tentativo, Para ello, ef auditor debe contemplar los siguientes aspectos en dicha visita: P.24 Visita preliminar de arranque Esta es una visita proparatoria al area de informatica que sord auditada, la cual tiene eo- mo finalidad que el auditor advioria de manera proliminar alguna de estas cuestiones: 2Cémo se encuentran distribuidos Jos sistomas en el drea? {Cuintos, cules, como y de qué tipo son las equipos que estin instalados en ef cen tro de sistemas?{Cudles son, a simple vista, las principales caracteristicas fisicas de los sistemas que serdn auditados? {Qué tipo do instalaciones y conexiones fisicas hay on ol droa de sistomas, y cémo es- tan distribuidas? {Cémo reacciona el personal anto fa visita def auditor? ¢Cudles son las medidas de seguridad visibles que existen? {Céme aetiian los usuarios y ol personal del grea: ya sea que ignoren ta posible audi- toréa 0 cuando ya lo sabon? £ Qué limitaciones se observan para lis realizacién de ta auditoria? En si, el auditor debe obtener un panorama general del Area que va.a auditar, a fin do conocer ta prablomatica que so le prosentara on la auditoria, Contando con ese co- nocimiento inicial, podré disonar las medidas nevesarias para una adecuada planea- cién de fa auditoria y podra establecer acciones concretas quo le seran de gran ayuda en el desarrollo de dicha evaluaci P.2.2 Contacto inicial con funcionarios y empleados del érea Dentro de esta visita profiminar, el auditor también aprovecha para establecer un con- tacto inicial con los funcionarios, empleados y usuarios del érea de sisternas; el propé- silo es que observe sus reacciones ante la realizacion de la auditoria, y que identifique las posibles limitaciones y temores que influiran en la cooperacién de dicho personal. Conviene dostarar quo 1s visits de! auditor casi nunca es bien recibida, mas bien ccurre lo contrario, cma molestias en el personal, hace que éste so ponga a la dofen- sivay casi mecanicamente trate de evadir cualquier contacto con el auditor; en muchos casos tiende a ocultar informacién y presenta resisiencia o se niega a cooperar en la auditoria; a veces busca bloquear la evaluacién, entre muchos otros problemas a los cuales se enfrenta el auditor, Esto es muy frecuente en el personal auditade, ya que toda- via existe el nefasto conce pto de que el auditor sélo va a tum bar las cabezas de los auditades; por esta razén, la mayoria de los empleados se rsiste a la realizacion de cualquier audito- ria y tratan de evitarla, sintiéndose culpables anticipa- damente, aunque no sean responsables de ningun problema o mala accién que se llegue a detectar. Dobido a todo lo anterior, es muy conveniiente que-el auditor tenga un contacto preliminar con el personal del rea quo ostard irvolucrado en Ia au- ditoria, ya que se pretende, utépicamente, que tra- to de limar asporezas mediante este contacto antes de iniciar la'evaluacién y que encuentre la caope-racién de eso personal. En realidad, lo que se busca es que el auditor pueda vislum- brar of panorama al cual se enfrantara, para que de abi disone su estrategia para ol de- sarrollo de la evaluaci6n, bajo la expectativa de los funcionarios, empleados y usuarios mspecto a fa auditoria, P,2.3. Identificacian preliminar de la problematica de sistemas Ademés de lo anterior, en esta visita preliminar ol auditor puede (y debe) aprovechar para saber cual es la principal problematica a la que se enirenta e| area de sistemas, su personal y usuarios, su pracesamienta de informacién y la administracion de sus ba- sos de datos, otoStora, aunque ésta sea sélo do cardcter preliminar, Lo que se pretends con esta identificacién preliminar de las posibles dificultades ay hay en los sisternas de la empresa, es que el auditor tenga un panorama anticipa- de! comportamiento de dichos sistemas, aunque éste sea de caracter muy somero y do dudosa confiabilidad. P.24 Prever los objetivos iniciales de la auditoria Olro aspecto que también se puede oblener de esta visita al area que sera auditada, os que se puede anticipar cuales objetivos se pueden satisfacer con la auditaria, o por la me- nos tratar de entender cudles son las metas que se quieren alcanzar con la evaluacién. Evidentemente, estos objetives serian muy poco confiables y podrian desviar al au- ditor do los verdaderos objetivos de Ia auditoria; sin embargo, le servirian para normar su criterio respecto al objetivo que pretende alcanzar con dicha auditoria, En el mojor de fos casos, y contando con Ia habilidad, experiencia y conocimientos para identificarlos, el auditor podria sefialar los objetivos que se protenden salisfacer con su auditoria, o tal vez podria selectionarlos con osta visita proliminar. P.2.5 Calcular los recursos y personas necesarias para la auditoria Otro beneficio de esta visita preliminar al érea que sera auditads, es la posibilidad de calcular tanto el tipo como la cantidad de recursos que seran necesarios para llevar cabo la evaluacién, contomplando los recursos de cardc~ for humane, informatica, material, técnice y econdmica, Dicho célculo se mfiere al personal necesario para realizar la audiloria y al apoya informatico, asi como a las recursos del area que se requieren en la revisién, entre los cuales destacan el personal informatica y los apayos adicionales de! harcware, software, infor- macion, bases de datos, equipos y domas aspectos relacionados con el eentro de cémputo. Es evidente que Ia informacion que el auditor abtione de Ia visita prefiminar, se deriva de una ob-servacién personal o por entrovistas y platicas de earactor informal, a veccs aparento- mente carentes de fundamentos. No obstante, con estas entrevistas también puede obtener datos importantes que fe ayuden a calcular las necesidades de recursos apli- cables en Ia auditoria de sistemas. 6.33. Pig Establecer los objetivos de la auditoria El siguiente paso, después de haber identificado el origen de la auditoria y haber rea- {izado una visita preliminar al érea que sera auditada, os establecer lo mas claramente posible el (los) objetivo(s) de Ia auditoria, ajustandase lo mis posible a las necosida- des de Ia evaluacién, El propésito es establecer claramente lo que se busca con este tipo de trabajo. Corviene que iniciemas o! tratamiento de este incisa con la Objetivo: “En términos sencillos, Jas objetivos ropresentan las condiciones futuras deseadas que Jos individuas, grupos w arganizaciones Juchan por alcanzar. En ese sentido se incluyen misiones, propositos, metas, fines, cuotas y plazos |. En ocasiones se utilizan para le- gitimar y justificar la funcién de la organizaeién en fa sociedad [...] En otro semtido, los objetivas podrian ser considaradas como ef conjunta de limitaciones a fas que debe restringirse la organizacién [..] Los abjotivos puedon ser considerados desde tres pers- pectivas primordiales: 1) ef ambiental, fimitaciones impuestas a la organizacién por la sociedad: 2) el arganizacional, fas objetivos de la organizacién, 3) al individual, fas ob- jetivos de Jos participantes en la organizacién [J guionte definici Comb podemos observar en esta dofiniciGn, el objetivo 1 presenta las condiciones futuras que protenden alcarzar los individuos, grupos w organizaciones, lo cual es su- mamente aplicable para el caso do la auditoria de sistemas, ya que al establocer el ob- jotivo de una auditoria se busca anticipar lo que se desea alcanrar, ya seaen el érea de sistemas o en toda la institucin, Mas concretamente, desde el punto de vista de los autores de referencia, en el ca- so de una auditoria de sistemas ol establecimiento del objetivo es el establecimiento de Jo que so protende satisfacer con dicha auditorie; se incluyen los siguientes conceptos: Mision: Deber moral que se impone a la roalizacin do fa auditoria de sistemas. La forma come se ve la realizacién de la auditoriay lo que so espera de ella : Objotiva que se pretende alearear con la auditoria Fines especiticos do la auditoria Son los iftimos aspectos quo se busca satisfacer con la auditoria. Los términos en unidades de tiempo en que se satistace el fin que se pre- tende con la auditoria.Dichos abjetives también se pueden complementar, de acuerdo con su ambiente de aplicacién, con los aspoctos que analizaromas a continuacion: P.3.4 Objetivo general Es ol fin global que se profende alcarvar con el desarrollo de la auditoria do sistemas, nel cual se plantean todos los aspectos que se pretenden evaluar, De hecho, ta de- terminacién de este objetivo dard el fundamento en la realizacién de la auditoria y la idea total de Io que se va a cubrir con dicha auditorfa, P.3.2. Objetivos particulares Son los fines individuales que so pretenden aleanzar con el desarrollo de la auditoria, ya sea de un rea especifica, de un sistema on especial o de alguna funcién en particular. Estos pueden sor miltiples, de acuerdo con las necesidades coneretas de evaluacién, P.3.3 Objetivos especificos de la auditoria de sistemas computacionales Es la determinacién, en forma detallada, de los fines que se pretenden alcanzar con la auditoria de sistemas, sofialando concrotamente las awas a evaluar y, especificamon- te, los sistemas, componentes o elementos concretos que deben ser evaluados. A continuacién citaremos algunos ejemplos que pueden ser tamados como refe- rencia para claborar los objotivos de una auditorfa de sistemas computacionales, de acuerdo con la empresa donde se realizar dicha auditoria: Reslizar una revisién con personal multidisciplinario y capacitado on al érea do sisto- mas, a fin do evaluar dicha area y emitir un dictamen indopendionte sobre las opora- ciones del sistema y la gestion administrativa del area de informatica, Hacer una evaluacin sobre ol aspocto financioro, la utilizacién de los recursos finan- cieros on las éreas del centro do infarmacién y of aprovechamiento del sistema com. Putacional, sus equipos peniféricos e instalaciones. Fvaluar Ja utilizacién y apravechamionto de los equipos de cémputa, de sus periféricas, de las instalaciones, mobiliasio y equipas del centro de cémputa, asi como del uso de suis recursos técnicos y materiales para ef procesamienta de informacion. Fvaluar of aprovechamionto do fos sistemas de procesamiento, sus sistemas oporati- vos, los lenguajes, programas y paquoterias de aplicacién y desarrollo, asi como el do- sarrollo o instalaciGn de nuevos sistomas. Faluar of cumplimionto de planes, programas, estindares, politicas, normas y linoa mientos que regulan las funciones y actividades do las areas y de los sistamas de pro- cesamiento de informacién, asi como de su personal y do sus usuarios.Realizar Ia evaliracién de las areas, actividades y funciones de la empresa, contando con el apayo de los sistemas camputacionales, los programas especiales y la paquete- ria que sirve do soporte para el desarrollo de auditorias por medio de la Computadoraa 6.3.4. P.4 Determinar los puntos que serén evaluados en la auditoria Después de haber determinado el origen de la auditoria y de establecer los objetivos coneretos que se protenden alcanzar con ésta, el siguiente paso es determinar los pun- tos coneretos que seran evaluados. Esia definicién de los puntas que tienon que ser evaluados debe ser realizaca con- siderando aspectos muy especificos de los sistemas computacionales, tales como los siguientes: La gestion administrativa e informatica del centro de cémputo Hl. cumplimiento de las funciones del personal informatica y usuarios de los sistemas Fl andlisis, diseno y desarrolfo de los sistemas computacionales La oporacién de fos sistomas computacionales La capacitacion y adiestramiento de! personal y usuarios del sistema La protoccién, custadia y nivolos de accoso a las basos do datos La proteccién y respaida de archivos e informacic La seguridad y proteceién de los usuarios, de la informacién, de los archivos y en go- noral dol contro de cémputo Muchos otras aspectos que se deben cansiderar Es de suma importancia destacar quo la definicién y establecimiento de los pun- tos que se deben evaluar es e| elemento fundamental de apoyo del auditor, debido quo esto es producto de un andlisis previo, tanto del origen de la auditoria y do ta visi- Ja previa como de los objetives que se protenden satisfacer con la realizacian de esta auditoria. Sin este anéilisis previo dificilmente se pueden establecer los puntos que se deben evaluar. De ahi su importancia. Ademés, en este paso de la planeacién de la au- ditoria debemos establecer aquellos aspectos de sistemas que vamos a evaluar, para después establecor las horramiontas y la manera en que realizaromos la evaluacion, Un error muy comin al realizar una evaluacién de sistemas, es que dicha evalua- cidn muchas veces se lleva a cabo sin una adecuada planeacién, lo cual no sélo con- duce al empobrecimiente de fa evaluaci6n, sino quo el auditor tiene sorias deficiencias en la aplicacién de tas herramiontas de auditoria; por lo tanto, los resultados también son muy deficientesy de dudosa calidad. En algunos casos, esta planeacion puede ser deficionte, limitada y sin bases males, lo cual también conduce a las deficiencias an- tos indicadas. En rolacidin com la definicién de los puntos que seran evaluados, puedenexistir mu- chos critorios on Ia soloccién do tales puntos, los cuales, porsu propia diversidad, puo-deny deben ser establecidos de acuerdo a las necesidades de evaluacién de la empre- 8a, del equipo y del sistema operative, asi como a [a forma de procesamiento de infor- macién que se tiene establecida en la empresa, a la experiencia, conocimientos y caracteristicas profesionales del auditor, a las técnicas, métodos y procedimientos de auditoria de sistomas que so aplicaran, etc. En si, dependerd de los muchos criterios que se establezcan en torno al desarrollo de Is auditoria. Debide a esa miiltiple opeién para definir los puntos que serdn evaluados en una auditoria, a continuacién proponemos una serie de puntos especilicos, con los cuales sdlo protendemos anticipar un criterio de soleccién, mas o menos homogéneo, de aquellos aspectos fundamentales que se deberan evaluar en una auditoria de sislemas. Cabe aclarar que este criteria de seleccidn es de caracter general y s6lo'se prosenta al nivel de sugeroncia, y el responsable de la auditoria deberd determinar su aplicacién real, de acuerda con las necesidades de evaluacién, con su experiencia profesional y con los conocimientos que tenga sobre este trabajo, Los puntos que se deben evatuar se pueden agrupar de la siguiente manera: Evaluacién de fas funciones y actividades del personal det droa de sistemas Evaluacién do las areas y unidades administrativas del centro de computo Evaluacién do ts seguridad do los sistomas de informacion Evaluacién de Is informacién, documentacién y registros de los sistemas Evaluacién de los sistemas, equipos, instalaciones y componentes Fvaluaciéin de los recursos humanos del ares de sistemas Evaluaciin del hardware Fvaluacin del software Evaluacién de Ia informacién y bases de datos Evaluacién de otros recursos informaticos Evaluacién de equipos, instalaciones y demas componentes Elegir los tipos de audiloria que serdin utilizados Doterminar los recursos que seran utilizados on la auditoria Personal de auditoria de sistemas. Personal del area que ser evaluada Apayo do fos sistemas y oquipos técnicas @ informaticas Apovos materiales y administrativos Otros apayos Recursos econimicos A continuacién analizaremos una por una estas propuestas de puntos que se de- ben evaluar.P.4.1 Evaluacién de las funciones y actividades del personal del drea de sistemas La determinacién de los puntas que se deben evaluar en estos aspectos se refiere a una valoraci6n del cumplimiento de las funciones y actividades establecidas para cada uno los puestos que integran el centro de cSmputo, ast como de la observancia de las obligaciones de los funcionarios, usuarios 0 personal del area. El propésito fundamental de esta evaluacién es verificar si existen o no las funcio- nes y actividades para cada uno de los puestos dol rea, si so encuentran por escrito y contempladas en documentos formales o informales, si tienen fa suficiente difusion, si el personal que las debe cumplir las conoce y tiene acceso a los documentos donde se encuentran, ¥ cémo, en qué grado y de qué manera los ocupantes do esos puestos sa- tisfacen las funciones que tienen encomendadas. También se evalia of aprovechamiento del sistema y de sus mcurses por medio del cumplimiento de estas funciones y actividades. P.4.2. Evaluacién de las areas y unidades administrativas del centro de cémputo En este punto se busea evaluat, mediante téenicas y procedimientos de auditoria, to- dos aquellos aspectos que pueden influir en el grad de cumplimiento de las funcio- nes, actividades y operacién de las areas y unidades de trabajo del centro de cémputo. Esto se puede realizar a través de la evaluacién de cardcter individual, es decir una area ala yez, a de manera integral, contemplando a todas las mas del centro de computo. Es importante senialar que unode los principales criterios para el desarrollo de es- ta evaluacion, es que se debe sujetar al estilo de administracion del centro de compu- to, asi como a las caracteristicas, tipo y tamafo de los equipos computacionales, a la distribucidn de los sistomas y la forma do operacién dol citado centro de cémputo, Lo mismo para el acatamiento en la evaluacién de la estructura de organizacién por dreas, en su caso por la divisién del trabajo de dichos centros. Respecto a estas mas y unidades de trabajo dol contro de cémputo, existen mu- ches ctiterios y opiniones que se deben contemplar al realizar una evaluacién. P.4.3 Evaluacién de la seguridad de los sistemas de informacién Uno de los rubros que estan incrementando su popularidad dentro del ambiente infor- mético, es o! mlacionada con la seguridad en el area de sistemas; con ello se incremen- ta cada dia més la necesidad de evaluar |a seguridad y proteccién de los sistomas ya sea ‘en los accesos al centro de cémputo, en el ingress y ulilizacion de los propios sistemas yen la consulta y manipulacién de la informacion contenida en sus archivos, la seguri- ‘dad do fas instalaciones, del personal y los usuarios de sistemas, asi como de todo lo ro- lacionado cone! resguardo de los sistemas computacionales.Es evidente que uno de los aspoctos basicos que so do- ben contemplar en Ia evaluacién de sistemas, es precisa mente fa proteccin y resguardo de ta informacién do la omprosa, tanto en ol hardware como el software, asi coma de los equipos adicionales que ayudan al adecuado funcio- namiento de los sistemas. En esta evaluacion también se in- cluyen el acceso al area de sistemas, el acceso al sistema, la proteccién y salvaguarda de los activos de esta area, las me- didas de prevencion y combate de siniestros, y muchos otros aspectos que se pueden valorar mediante una auditoria de sistemas. Para un mejor entendimienta de estas puntos, a continuacién veremos las principales amas de seguridad que se pueden evaluar en una auditaria de sistemas: Fraluacién do Ia seguridad fisiea do los sistemas Fvaluacidn do fa seguridad logica del sistema Evaluacion de la seguridad del personal del area do sistomas Evaluacion de ta seguridad de la informacion y las bases de datos Fialuacién do fa seguridad on ol acceso y usa del software Evaluacién do fa soguridad en la operacién dol hardware Fvaluaciin de la seguridad on las tafecomunicaciones P.4.4. Evaluacién de la informacién, documentacién y registros de los sistemas Denitro de lo que se contompla on fa evaluacion a las aroas de sistemas se encuentra toda lo relacionado con la informacién, ya sea de las bases de datos y sistemas de al macenamiento, los respaldas o simple y sencillamente la forma de archivar los datos por parte de los usuarios dol sistema. Procisamento con esta apreciacion se busca evaluar la proteccién y custodia del activo mas valioso de los sistemas, la informacién, ¢ incluso como se hace la captura, pracesamiento y emisién de los resultados. Todo de acuerdo a las caracteristicas, for- ma de procesamionto y sistemas de la empresa, P.4.5. Evaluacion de los sistemas, equipos, instalaciones y componentes En esta evaluacion intervienen muchos factores, tanto de la auditoria como de la pro- pia érea de sistemas, ya que se pretende dictaminar como estén funcionando casi to- dos los componentes del sistema computacional de laempresa. Para esta auditoria es conveniente dividir la evaluacién en aspactos concretos que se pueden dictaminar por separado o en forma integral: por esta razén proponemos ‘ovaluar los siguientes puntos:P.4.5.1 Evaluacién de las recursos humanos del drea de sistemas Es la evaluacién del adecuado cumplimiento de las actividades, tareas y funciones de Jos integrantes del area de sistemas. En esta valoracién se incluye una opinién sobre fa experioncia, conocimientos y habilidades que dobe tener este personal para el mano- jo de las actividades y operaciones del sistema de cmputo, asi como la disponibilidad y grado de cumplimionto de sus funciones. P.4.5.2. Evaluacion del hardware Es la evaluacién del aprovechamiento y utilizacién de los sistemas de cémputo, de sus componentes y conexiones, asf como de sus periféricos y equipos asociados. Con es- ta evaluacién se busca dictaminar si se salislacen las necesidades de procesamiento de informacién de la empresa P.4.5.3 Evaluacion del software Es la evaluacién del aprovechamiento y explotacién de los sistemas operativos, longua- jes, programas de aplicacion, paquoteriasy de los demas aspectos que integran el soft- war institucional, asf camo de fos sisternas y programas de desarrollo del mismo. Can 1a idontificacién do estos objetivos so busca dictaminar si so satisfacon las necosida- dos do procesamiento do infarmacién de la empresa. P.4.5.4 Evaluacién de la informacion y las bases de datos Es la evaluacién de la proteccién y el aprovechamienta de los sistemas de almacena- mionto de la informacion que se process en el drea, en cuanto al acceso a las bases de datos, los niveles de consulta, maniputaciény modificaci6n de tos datos, los programas y paqueterias de aplicacién y manojo de la informacién institucional, asf como a la pro- tecci6n y operacién relacionadas con ef manojo de los archivos de informaeién, Con esta evaluacién se busca dictaminar si se satisfacen las necesidades de pro- tecci6n y operabiliciad de le informacién de la empresa, en cuanto al volumen, periodi- cidad, oportunidad, utilidad y disponibilidad de las bases de datos institucionales. P.4.5.5 Evaluacién de otras recursos informaticos Fs la evaluacién del aprovechamiento de los demds recursos informaticos con que ‘cuenta el area de sistemas para el procesamiento de la informacién, tales como siste- mas de telecomunicacién internos o externos, sistemas multimedia para explotacién institucional, sistemas de proteccidn de informacion y de acceso a las bases de datos, avances tecnolégicos en los programas y paqueterias de aplicacién institucional Con esta evaluacién se busca dictaminar si se satisfacen las necesidades de pro- teccién y operabilidad de la informacién de la emprosa.Evaluacién de equipos, instalaciones y demés componentes Es Ia evaluacin del aprovechamienta de los bienes muebles e inmuebles, instalacio- nes y otros recursos que estan directamente involucrados con el bienestar y comodi- dad del personal y usuarios del area de sistemas, asi como del aprovechamiento de la comunicacién telefénica y de datos, ya sea dentro de la empresa o con sisiemas com- putacionales externos, tales como redes de cémputo, médems u otros sistemas de te- lecomunicacién. Con esta evaluacién se busca dictaminar si las conexiones de vor (ielofénicas), de datos (médems, redes y otras sistemas de comunicacién) y de lur (Jas canexionos de energia eféctrica) son las adecuadas para lograr las metas de operabilidad del area de sistemas. P.q.6 Elegir los tipos de auditoria que seran utilizados En-esta etapa de la planeacién de la auditoria de sistemas, una vez que determiné los puntos que seran evaluados, es imprescindible que el encargado de dsta determine los tipos de auditoria, las herramientas ¢ instrumentos y los métodos de evaluat que utilizar para dictaminar acerca del funcionamiento del drea de sistemas, de acuerdo: con sus necesidados especificas de revision y con las caracteristicas y requerimientos especiales que se pueden auditar en sistomas, Evidentemente es dificil establecer un tipo de auditoria que se pueda aplicar uni- formemente en la evaluacian de los sistemas de una empresa, ya que en mucho de- pendera de los objetives que se busca salisfacer con la audiloria de sistemas, asi como: del fopico que sera analizado, y desde qué punto de vista lo evaluara el auditor. Es indiscutible que no es fo mismo evaluar el funcionamiento de una red de com- puto, que evaluar la seguridad en el acoosa fisico de las instalaciones del area; tampo- co se aplican los mismos procedimientos para evaluar las metodologias de andlisis y disefio de los nuevos sistemas, que para vorificar la veracidad de los resultados de un procesamiento de datos en un microsistema; cada uno de éstos tiene aspectos diame- tralmente opuestos entre si, los cuales deben ser forzosamente auditados desde difo- rentes puntos de vista y con diferentes métodos y herramientas. Estas son las razones por las quo el auditor tiene que determinar ol tipo de audita- ria que va_a realizar, de acuerdo con sus objetivos; por eso es de suma importancia identificar cada uno de los anteriores aspactos que Feros trelado ¥ bo larga de esta etapa de planeacién. P.4.7 Determinar los recursos que serén utilizados en la auditoria Es necesario considerar que los recursos, cualesquiera que sean, son de cardcter limi- tado; por esta razon, después de haber identificado los puntos que seran evaluados, es de suma importancia determinar los meursos que se necesitardn para poder realizar la auditoria de sisternas, siempre en concordancia can lo planeado.En ol caso especial do esta auditoria y por lo tecnico del ambiente donde se reali- 7a, estos recursos tienen que ser muy especializados, tanto para la auditoria de siste- mas como para el aspecto informatica, Para una mejor comprensién de cémo determinar los recursos necesarios para la auditoria de sistemas, a continuacién sefialaremos brevemenie los principales aspoc- tos de estas recursos: P.4.7.1 Personal para la auditoria de sistemas Esl personal especializado en auditoria de sistemas, el cual aplica sus conocimientos, habilidades y experiencia en las diferentes disciplinas de la auditoria, utilizando para ello las técnicas, procedimientos, métodos de evaluacién, herramientas o instrumentos de revisién especializados y tradicionales para In evaluacién de sistemas. En tos capitulas 9, 10 y 11 do este libro se indican algunas de estas herramiontas. Cabe destacar que este personal tiene que ser especializado en las técnicas y pro- cedimientos do auditoria, pero a la vex debe tener amplios conocimientos y experiencia en et drea de sistemas; en muchos casos, es preferible que sea personal multidiscipli- nario para que cubra todos los aspectos relacionados con sistemas. P.4.7.2. Personal del drea que serd evaluada Es la estimacidn de los recursos del area de sistemas con los que contara el auditor para la evaluaci6n, Debomos sefialar que este personal no esta a disposicién dol auditor y quo no tie~ ne ningin tipo de autoridad sobre 61 ni injerencia en su trabajo. La mas que les puede pedir os que cooperen en la realizacién de Ia auditoria praporcionando la informacion ¥ que participen en las entrevistas, cuestionarios, pruebas y demas herramiontas que utilizard para evaluar los sisternas. P.4.7.3. Apoya de los sistemas y equipos tecnicos e informaticos Es la soleccién de los recursos técnicos, equipos y siste- mas computacionales que seran necesarios para la audi- toria de sistemas, los cuales pueden ser muy diversos y especializados, de acuerdo con las necesidades conere- tas establecidas en la planeacidn de ta evaluacion. Dichos recursos incluyen el hardware, software, instalaciones, el personal especializado en la operacion de los siste- mas, los sistemas operatives, los programas de aplica- cién, las paqueterias, las bases de datos y la informacion del drea auditada.Ademas se contemplan todos los aspectos logisticos que necesitard el auditor pa- ra el desempefio de sus actividades, tales como sistemas compulacionales para su uso exclusive, software de evaluacién especializado para auditoria, apayo tecnico in- formatico especializado on sistemas computacionales, materiales consumibles de sis- temas y todos las demés mquerimientos informéticos, de acuerdo a las necesidades especificas dol area que seré evaluads, P.4.7-4. Apayos materiales y administrativos Estos son los recursos que no tienen que ver con los sis- 4 femas, pero que son improscindibles para ol buen de- sompono de los auditores, tales como la asignacion de oficinas privadas y lugares de trabajo exclusivos, el apoyo de mobiliario, equipos, materiales y dtiles de oficina, asi como el apoyo logistico y secretarial necesario para reali- zar una evaluaci6n, Todo ello de acuerde con las necesida- des contompladas en la auditoria. Conviene destacar que ¢! auditor necesita de todo el apoyo logistico y administra. tivo de! dra de sistemas para que no tenga preocupaciones ni dificultades administra- tivas y pueda realizar una correcta evaluacién; en caso de que no-exista este apoyo, el auditor recurrird al apoyo administrative de cualquier otra 4rea de la empresa, ya que es importante que realice sus actividades lo mas comodamente posible. Ml ty P.q.7.5 Otros apoyos En algunos casos, dependiendo de las necesi- dades especificas de la evaluacién de siste- mas, @s necesario contar con recursos especializados para Ia revision de ciertos as pectos del drea de sistemas que se tengan que auditar de manera particular, las cuales la mayoria de las veces no son de uso co- min en dicha drea. Algunas ejemplos de estos aspectos pueden ser los programas especializados de evaluacién de siste- mag, hardware, equipos y periféricos asociados; también ios sistemas de telecomunicacién, de interredes, los protaca- los de comunicacin, ademas de otros aspectos técnicos espe- cializados que sirven de apoyo para la evaluacién de los sistemas, de las instalaciones © de cualquier otro rubro importante que se tenga que evaluar, de acuerdo a las neco- sidades do Ia auditoria y de la propia empresa.P.4.7.6. Recursos econdmicos Otro de los recursos de gran importancia para el desarrollo de una auditoria es el apayo financiero que necesita el auditor, en el caso de auditorias extras, para transportarso al lugar donde esté el rea 0 empresa que vaya a evaluan El auditor necesita comprobar los gastos efectuados durante la evaluacién a, por ol contrario, dichas gastos pueden ser libms de comprobacién, de acuerdo a las normas y politicas de la empresa; estos gastos estén represontados por los siguientes rubros Vidticos Fs Ia cantidad de dinero quo so le asigna al auditor, por dia, semana excl quier oro poriodo, para cutrir sus gastos de viaje, estancia y afimmenta- cién durante la evaluacion de fos sistemas do la empresa, Pasajes: Fs /a cantidad de dinero que se entzega al auditor para cubrir su traslado al lugar donde realiza la evaluacién; en algunos casos, es ta on- trega de los boletas y derechos de viaje que amparan ef uso a de ios transportes, Otros gastos: Fs la cantidad de dinora quo se entroga af auditor pa- ra cubrir sus gastos inhorenies al desarrollo de fa evaluacion, ya sea para transporte, gasolina, casetas de peaje, derechos, compras de material informatico, utensilios de oficina o cualquier otro gasto. a at 6.3.5 P.§ Elaborar planes, programas y presupuestos para realizar la auditoria Después de haber consiceraco todos los puntos antes seialados, el siguiente paso es realizar la planeacidn formal de la auditoria de sistemas, en la cual se conereten los pla- nes, programas y prosupuestos para dicha auditoria; os decir, se deben olaborar los de- cumontos que contomplen los planes formales para ol desarrollo de la auditoria, los programas en donde se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecucién para cumplir con el objetivo, asi como los presupuestos de la au- ditoria, documentas en donde se deben asignar los costos de Jos recursos que serén lizadosyy el tiempo que serdn utilizados para determinada actividad. Antes de continuar, conviene recordar que en las definiciones de la secci6n 6.3. (1° etapa: Planoacién do ta auditosia de sistemas computacionales) se sofalan los aspec- tos que se deben considerar en esta actividad. P.5.1 Elaborar el documento formal de los planes de trabajo para la auditoria Es la elaboracién especifica y escrupulosa de los planes formales de trabajo para la auditorfa de sistemas computacionales. Estos planes so prosentan en un documen- to oficial llamado plan do auditoria de sistemas, el cual contiene todos las aspoctosrelacionados con la realizacién de dicha auditoria. A continuacién tenemos algunos de estos aspectos: Las actividades quo se van a realizar, las responsables de roalizartas, los recursos ma- toriales y fos tiempos Los eventos que sorvirén de guia de accién La estimacion de fos recursos humanos, materiales e informaticas que seran utilizados Los tiempos estimados para las actividades y para la propia auditoria Los auditores responsables y participantes on dichas actividades Las demés especificacionas dal pragrama do trabaje para ta auditoria El auditor responsable de elaborar la plancacion de la auditoria determinara, en base a sus conacimientos, habilidades y experiencia, el contenido formal de este do- curnento; sin embargo, en este inciso presentamos los aspectos de forma y contenido que se deben considerar en el documento formal. P.5.1.1 Caratula de identificacién del plan de auditoria Es la primera hoja del dacumento de planeacién, en la cual se establecen fo mas cla ramente posible los siguientes puntos: re) moron : naa, 7 |4 EN SISTEMAS AC. eet eat aedaaa EMPRESA: Ihutiuto Nacional de Migracion PERIODO: (1 al 16de marzo de 1806 AUDITOR: de. Araceli Arco Giver AREA AUDITADA: Diraccion de Inlormatioa y Estacistica PLAN DE AUDITORIA DE SISTEMA Nombre y logotipo de la.empresa responsable de fa auditoria Contione la identificacién oficial de la empresa responsable de rea- lizar la auditaria, on caso de sor auditoria externa; es indispensable que esta caritula ests en un papel wembroteado de la institucion, Fi PRAY despacho 0 auditor independionte: que la levard a cabo. Si fa ws- SC ponsable de realizar esta evaluacién os of area de auditoria interna de la empresa, el logay nombre serd de la empresa, pero can la cla- ra identificacién del area de auditoria interna,Indicacién del nombre del documento Es la clara identificacién de que so trata de un documento oficial, en el cual se indica daramente que su contenido se refiere al plan de auditoria de sistemas de la empresa y/o del drea que so indica en la misma caratulas Fecha de vigencia ‘Nombre da ta empresa del plan a (area) auditada \ eau] oe 7|| svorom busses ac BLT se ee EMPRESA: Hoste Nacional de Mgraciin —-—-~PERTODO: 01 al 1 ae mare oo 196 AAUDETOR: Ha, race Arcoo Gibioe AREA AUDITADA:Oecaén de ormincay Enasisica { aa is Nombre del responsable da ~~ Indicacién del nombre slaborar el plan de auditoria del documento Nombre de la empresa (area) auditada Se anota lo mas notoriamente posible ef nombre la de empmsa o del drea especifica de sistemas que sora auditada, de proforoncia inmediatamente después del punto anterior. Nombre del responsable de ekaborar el plan de auditoria So sefala of nombre del auditor responsable de llevar a cabo la auditorfa; por lo gene- ral este auditor es ol mismo que supervisa la realizacion de la auditoria, aunque nada impide que otro lo haga, Fecha de vigencia del plan En algunos casos es ol periodo de realizacién do ta auditoria, desde quo inicia hasta que concluye con la entrega del dictamen formal, En otros casos es la fecha en que se presenta a discusién y aprobacion el plan de auditoria, En ambos casos debera indicar el dia (dos digitos), el mes (dos digitos) y el afio (cuatro digitos). P.5.42 Indice de contenido Es conveniente que en estos documentos siempre se incluya una soccién en donde se sofialen, por nombre del contenido o apartados y por pagina, todos los puntos en que se dividié ol plan do auditoria, con objeto de ayudar a una répida consulta del documento.P.5.13 Definicién de objetivos Es la dofinicién formal, por escrito, de los objetivos que se protonden aleanzar con la auditoria, conforme a lo sonalado al principio de este capitulo. P.5.1.4 Delimitacian de estrategias para el desarrollo de la auditoria En algunos casos os comveniente queen este plan se contemplen las estrategias para las diferentes partes de la auditoria de sistemas; ademas puede contener las estrate- gias de accién y de actuacién de los participantes en la revision. P.5.15 Planes de auditoria Son los planes formales de la auditoria, en los cuales se detalla cada una de las accio- nes para la evaluacién; estos planes serdn presontados de acuerdo a las preferencias y nocosidades especfficas de auditoria de la empresa, ast como de acuerdo a los estan: dares de documentacién establecidos por la cmprosa responsable de fa evaluacién. P.5.1.6. Definicién de normas, politicas y lineamientos para el desarrollo de la auditoria Es muy conveniente que los aspectos que regularan las actividades de los auditoreses. tn perfectamonte establecidos en esto documento, incluyondo sus alcances y limita- ciones, También se deben establecer las politicas y lineamientos de accion, de acuerdo al tipo de auditoria y a la experiencia de los auditores en revisiones similares; todo de acuerdo con las especificaciones de las empresas, tanto de la responsable de realizar Is auditoria como de la que sera suditads. Estos son algunos de los puntos mas importantes que debe contener este docu- mento, P.5.2. Contenido de los planes para realizar la auditoria Es la claboracién escrupulosa de todos los planes formales que el auditor debe plas- maren un documento oficial llamado plan de auditaria de sistemas, ¢| cual debe con- tener muy detalladamento las fases, ctapas, actividades, recursos y tiempos para realizar la auditoria, Es evidente que el auditor detorminara el contenido minimo de estos planes, en base a sus conocimiontos y experiencia; sin embargo, en la elaboracidn de este docu- mento guia de auditoria, cuando menos se debe considerar los siguientes espectos: P.5.2.1 Definir los objetivos finales de la auditoria Es Ia definicidn formal de los objetivos finales de la auditoria, mismas que establect mos porfectamente en el punto P.3, “Establecer los abjotiva de Ia auditoria”, de esta primera etapa de planeacion.Estos objetivos se deben redactar de manera sencilla, objetiva y concreta en el do- cumento oficial de la auditoria, P.5.2.2 Establecer las estrategias para realizar la auditoria Como producto de las anteriores etapas de planeacién, en ese documento se redac- tan on forma precisa las estrategias para realizar la auditoria, con ol fin do que los aue ditores las entiendan rapida y perfectamente. 5.2.3 Disefiar las etapas, eventos y tareas en que se dividird la auditoria Es la determinaci6n precisa y detallada de cada una de las tapas, eventos y tareas que debera cumplir el personal encargado de realizar la auditoria, de acuerdo a lo definido en los anteriores puntos de esta planeacién. P.5.2.4 Caleular la duracién de las tareas y eventos para satisfacer los objetives de la auditoria Una vez que fueron precisadas las etapas, eventos y tareas concretas de! plan para la auditoria, o! siguionte paso es estimar, lo mas cxacto posible, su duracién, do acuerdo con su importancia, necesidades concretas y forma en que so satisfacera en objetivo concreto de la auditoria. También se debe: considerar la disponibilidad de los recursos para la auditoria, P.5.2.5 Distribuir los recursos gue seran utilizados en las diferentes etapas, actividades y tareas de la auditoria Con base en los aspectos que analizamos on la etapa de planeacién, y con la poriocta dofinicién de las efapas, eventos y tareas indicadas en Ia parte anterior, en esta parte se ostablece, en forma precisa y 1o més detalladamente posible, la asignacién de los recursos que seran utilizados en I auditoria, asi como el tipo de recursos, ol tiempo que soran utilizados en la tarea, y on si todos los dotalles seit mi utleacsin P.5.2.6 Confaccionar los planes concretos para la auditoria Es ol establecimiento formal, de preferencia por escrito y de manera prafica, de las eta- pas, eventos, tareas y actividades que integran el plan de auditoria, incluyendo la dura- cién de cada uno de estos aspectos, asi como el tiempo de asignacion de los recursos, el tipo de recursos y en si todos los aspectos formales dol plan de auditoria, Ios cuales hacen que este documento sirva de base a los auditores para realizar la evaluacion, Debemos reiterar que el auditor es el responsable de identificar y astablecer los puntos que sera evaluados, con base en un-estudio concienzudo de to sefalada en las secciones anteriores.P53. Elaborar el documento formal de los programas de auditoria En este documento se anotan, de preferencia en forma de gréfica, todas las etapas, eventos y actividades que se realizarin durante Ia auditoria; ademas, so anota ol perio. do do duracién de cada una de las partes en quo se dividié el trabajo de evaluacién, En algunos casos, también se anotan los recursos que sean utilizados y la forma de identificarles, y si es necesario, su costa, [a pod AUDITOR EN SISTEMAS 31s COMPUTACIONALES EMPRESA: lnstiuto Nacional Communi 'PERIODO- 0 al 15 de marancie 1998 AUotTOR: Ma. Arcel Arceo Galvez AREA AULITADA Dracsite dolltormbicay Esaetica PLAN DE AUDITORIA DE SISTEMA ASTHEDAD, ‘SEMANAS fe] Monee wre J? [2 [2 [* |e Je] le 7 | Gisorar oan de asco pte sagnad B [Aner pam wets Dieter 5. Prepara insturnarsas ie rariin | RenpaAanion = [War praparanacs uss © | Gober views y parses ‘ud Asia [hia ve ‘audeAwgnadoe 7 [or naar ‘AueAsigragoe 8 | Ausargeation iowa uct © | Aiea Gases date uc 70 | Aun Sienna cian Aen 1 Austr pesand rfoonaies Buck 12 | Autor eogutcae cokes eiara | Aus. St 19 | Present evade dy tra Raton uae Este documonto debe estar unido al anterior, ya que es parte intogral de él, y de- be contener los mismos aspectos sefialados para el plan de auditoria, solo que se com- plementa con los siguientes apartados 2.5.3.1 Gréfica del programa de actividades Es un documento visual de féicil compronsién, en donde se describe detalladamente y en forma de gréfica el plan de trabajo; es decir, todas las etapas, eventos y actividades contempladas para Ia evaluacién do los sistemas, asf como su duraci6n y Ios recursos nec sarios para llevarlas a cabo. Este documento puodo ser una grafica de Gantt, de muta critica, de Pert o cualquier otta herramienta de planeacién y control. En este documento no sdlo se describen las etapas y actividades de la auditoria, sino quo también se puodo utilizar para su control y supervision2.5.3.2. Definicion de las etapas y eventos que se deben llevar a cabo Es la descripcién documental y detallada de fa forma de planear el desarrollo y cumpli- mionto de las etapas 0 eventos en que esta dividida la evaluacién de los sistemas. Todo de acuerdo con lo determinade en la planeacion, P.5.3.3. Definicién de las actividades y tareas Es la descripcién detallada de las acciones y pasos que se deben realizar en cada una de las etapas de la ovaluacién, de las herramientas, instrumentos y métodos de evalua- cién que se van a utilizar, asi como de los recursos para su desarrollo, P.5.4. Elaborar los programas de actividades para realizar la auditors En este punto se establecen por escrito y de preferencia en forma de prafica, todos los tiempos en que se llevara a cabo cada una de las etapas, eventos y actividades do la auditoria, considerando para ello ol perioda de duracién de cada una do las partes en que se dividié el trabajo de evaluacién. En algunos casos también se ano- ta el tiempo que se utilizardn los recursos y, de ser necesario, sus periodos de asig- nacién, descanso y cualquier otro uso de estos recursos, tanto en Io individual como en lo colectiva, ‘AGTRADAD SEMANAS | Namie reponse [1 [2 [2 [4 |# ]®# |7]# 1 | eiberar eb oe sacra ‘4 Dpte,asignade 2 | Apreb pan de avers Diaster 3 [Prepare ierumenios de emiaton | Resp. Andi [ear propane Ta Sana | bran vieneas ysanaiee ud. Asanadoe © [sir viaje Td Asia 7 star anton Tad Pina | Andtar gasnin resamaion| ‘id Sh | Auras Serine de compa. Fak Sad 71 Auer persona ntrmbicn Auk Si | Audear la soguridad co bs aetna | Aud 846 Este documento so elabora con el anterior, ya que es parte integral del documento de planeacién, y debe contener los mismos aspectos sefialados para el plan de auditoria, Este documento se divide en esta parte slo para su identificacién y conocimiento, ya que realmente no puede ser separado, y so complementa con los siguientes puntos, los cuales también so pueden elaborar por separado o en forma conjunta:P.s.4.1 Definir de manera precisa las etapas de la auditoria El responsable do la planeacién de la auditoria do sistomas debora dofinir, lo mas pro- cisa que pueda, kas posibles etapas en que se dividird ka misma, buscando ser con- gruente y coherente en la divisién de las actividades, en cuanto al volumen de trabajo, importancia del aspecto que sera ovaluado, en los cursos requeridosy enel peso os- pecifico que tendran dichas etapas para toda la auditoria. Esta definicién de las etapas de la auditoria debe estar directamente relacionada con lo determinado en los puntos anteriores y con los objetivos que se buscan satisfae cer con la auditoria, P.s.g.2 identificar concretamente los eventos que se deben llevar a.cabo en cada etapa de la auditoria Tomando como base las etapas establecidas con antorioridad, el siguiente paso es de- finir, lo mas concratamente pasible, cada uno de los eventos que integrardn cada una do las tapas propuestas en que se dividié la auditoris, de acuerdo con las necesida- des concretas identificadas en los puntos anteriores. Se recomienda utilizar la grafica do ruta critica, la grafica de Gantt o el programa Project de Microsoft. Tomando ef evento como un suceso esperado, al cual so debe Hegar después de una serie de actividades, la identificacién de todos estos eventos es una parte funda mental en la definicién de las etapas en que se divide a auditoria de sistemas. P.5.4.3 Delimitar lo mas claramente posible las actividades, tareas y acciones para cada evento Una vez que se han definide los eventos que se requieren para intograr las etapas en que se dividié fa auditoria, of siguiente paso es determinar, lo mas clara y concrotamon- te posible, todas y cada una las actividades y tareas concrotas-que se deberan llevar a cabo para cada evento, Fl auditor sera ol ’sponsable de establecer estas act idades, tareas y acciones. P.5.4.4 Distribuir fos recursos que seran utilizados en las diferentes etapas, eventos, actividades y tareas Una vez establecidas todas las acciones, actividades y tareas para cada uno de los eventos de las etapas de la auditoria, ol siguiento paso es determinar tanto los recur- sos humanos coma Ios recursos adicionales que serdn utilizados en cada una de esas etapas, ya sea en forma individual o en forma conjunta, P.s.4.5 Calcular la duracion de las etapas, actividades y tareas planeadas para la auditoria ira de los puntos fundamentales para elaborar el programa de auditoria, es determi- nar la duracién de cada uno de los eventos, etapas, actividades tareas y acciones queintograran dicho programa; para ello, se deben considerar los recursos que se uliliza- ran en Ia ovaluacién, ya sean de cardcter humeno o los adicionales que apoyan el tra- bajo del auditor. Dicha estimacién se debo hacer de acuerdo a la disponibilidad de los recursos, a la prioridad de cada etapa y a Ia habilidad del responsable de la planeacién. P.5.4.6 Determinar fechas de inicio y fin de las etapas, actividades y tareas Contando con la estimacién de recursos, la duracién de cada evento y la asignacién de: las actividades, tareas y acciones necesarias para realizar la auditoria, se podrén esta- blecer las fechas de inicio y fin, na sole de la auditaria, sino de cada una de sus eta pas, fases, actividades y eventos. Todo de acuerdo con lo determinado en la etapa de planeacién y lo establerida en cada uno de las partes de este programa, P.5.5 Elaborar los presupuestos para la auditoria Este presupuesto es parte integral los dos documentos anteriormente analizados, ya que se contomplan los recursos quo se utilizaran en el plan y programa de trabajo, 86- lo que se agregan los costos y el tiempo que se utilizaran estos recursos durante la eva- luacién. Para complementar los anteriores documentos, veremos que en la elaboracién de presupuestos se deben contemplar, dentro de un mismo documenta, cada una de los siguientes aspectos: P.5.5.1 Asignacion de los costos de los recursos Es la designacién en niimero, tiompo y costo que, de acuerdo con los programas de trabajo de la auditoria, se hace para utilizar los cursos contemplados para el desa- rrolio de dicha auditoria. P.5.5.2 Control de los costos de los recursos Debide a Io fimitado de fos recursos para el cumplimiento de las actividades dela au- ditoria, y aunque no es indispensable esta parte del presupuesto, es convenionte dar a conocer en este documento los costos de dichos recursos, con el propdsito de valorar el aprovechamiento y adecuada utilizacién no sélo de los recursos humanos, sino de Jos otros recursos informaticos. P.5.5.3 Seguimiento y control de los planes, programas y presupuestos Propiamente esta parte no es del contenido de un presupuesto de una auditoria, sino ‘es una herramienta de control utilizada por el responsable de la auditoria; sin embar-g0 si es comeniente su inclisién en este documento de presupuesto. Aunque también pudo formar parto de cualquior do los anteriores; lo importanto as quo so contenga on ol documento, De osto presupuesto no se citan-ojomplos, en virtud do quo seria demasiado pro- sunluaso, ala vez que inoperante,o|tratar de encasillar el edacrrd ds lon presupues- ios on un solo formato, razén por la cual, inicamente so deja al nivel de moncidin oste punto, P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoria EI siguiento paso es determinar los documentos y medios con los cuales so levard a cabo la revisidn a los sistemas de la ompresa, lo cual so logrard a través de la seleccién o disona do los métodas, pracedimiontos, horramientase instrumontas nocesarios,* do acuerdo con lo indicado en los planes, prosupuestos y programas establocidos para la auditoria. Para lograr esta, sugerimos considerar los siguientos puntos: P.6.1 Establecer la guia de ponderacién de los puntos que serén evaluados Una de los aspectos més importantes que se deben considerar para realizar una audi- toria de sistemas es la técnica de ponderacién, la cual, como se sefala en el capitulo 9. de este libro, es un método especial que ayuda a definir la forma de walorar cada una de las partes importantes del area de sistemas, con el fin de aplicar los miismas crito- rics do ovaluaci6n on tados los aspectas que soran ovatuados. El propésito de utilizar esta herramienta es buscar un equilibrio entre las dreas 0 sistemas de informatica que tienen mayar poso y trascendencia, con aquellas que tie- nen poca peso e importancia on Ia evaluacién; es docir, para que ol auditor realice la ‘evaluacién de todas las areas y sistemas do la misma manera, y de acuerdo con lo os- tablecido en los planes, programas y presupuostos de la auditoria, Como hemos visto, esta técnica de evaluacién es un instrumento que permite al auditor compensar las pasibles descompensaciones de las areas a sistemas de infor. mética que tienen mayor poso © importancia en la evaluacién, comparadas eon aque- llas que tienen poco peso © importancia. Esta ponderacién se logra mediante los siguientes puntos: P.8.11 Definir las dreas y puntos de sistemas que serén auditados De acuerdo con ta planeacién de la auditorfa, el primer paso es definir las arcas, los aspectos de sistomas o los puntos de interés que so van a evaluar, dandole un peso ospeeifico a cada factor; ol auditor establoce ese peso a su libre albedrio, y de acuerdo a su experiencia, habilidad y conocimientos sobre el tema. Lo que se busca en este paso es definir los factores de mayor jerarquia o los mas reprosentativas de un grupo o sector de sistemas que se desea evaluar. Fl propésito fundamental de esta definicién es darle a cada uno de estos factores un valer porcen- tual (peso especifico), el cual representara la importancia de cada factor en toda la evaluacian, P.6.1.2. Definir el peso de la ponderacion por las éreas y puntos que serén evaluados Una vez que fueron dofinidas las amas, topicas o aspectos que seran ponderados, el siguiente paso es asignarle un valor porcentual a cada uno de los factores elegidos, | cual es un valor particular que establoce el auditor para cada una de las actividades que seran evaluadas, de acuerdo a su libre albedrio. La suma total de estas actividades invariablemente seré 100%, Fl ejemplo del siguiente cuadro es una aplicacién de un peso especifico doterminado para una gestion informatica. Factores primarios que serin ponderados Peso especifico 1. Objetivos del contro de informatica 10% 2. Estructura de organizacién 10% 3. Funciones 15% 4, Sistema de informacion 20% 5. Personal y usuarios 15% 6, Documentacién de los sistemas 2% 7. Actividades y aperacién del sisterna 14% 8, Configuracién del sisterna 4% 9, Instalaciones del centro de informatica 10% Poso total de la ponderacién 100 % P.6.1.3, Realizar el documento de ponderacién de la auditoria ‘Después de fos puntos anteriores, e! siguiente paso es claborar el documenta de pon- deracién de manera formal, sometiéndolo a la opinién y consenso de los demas parti cipantes en fa auditoria, a fin de que entre todos elijan criterios mas o menos homogéneas de penderacién; esto tiene el propésito de buscar quo todos los topicos que serén evaluados sean aplicables de manera similar. Este documento se presenta a todo el personal de auditoria, a fin de que cada au- ditor entienda cual seré su participaci6n en esta evaluacion de sistemas:P.6.2 Elaborar la quia de la auditoria Despuis de disenar la ponderacién de la auditoria de sistemas, ol siguiente paso es elaborar la guia de la auditoria; éste es un documento de carécter formal, en el cual se anotan todos los puntos que deberan ser evaluados, ya sea del centro de cémputo, del sistema en evaluacion, de la gestién informatica o de cualquiera de los aspectos del Grea de sistemas, También se anotan la técniea y Ia forma en que sera evaluado cada punto, asi como su ponderacién o peso especifico, Ya sea que el auditor tenga experiencia o que carezca de ella, la guia de evaluacién sera el documento que Jo permitira ralizar, en forma eficiente y efectiva, su investiga- cin para la auditoria del sistema, centro de cémputo, gestién informatica o de cualquic- ra de los puntos que se tonga que evaluar, ya que le indicard todo el procedimionto que deberd seguir, los puntos que deberd evaluar y las herramientas e instrumentos que de- ber utilizar para hacer su revision. Es decir, este documento le puede guiar paso a pa- so on todos los aspactos que soran auditados. Entre los principales aspectos que se deben considerar en la elaboracién de la guia de la auditoria oncontramos los siguientes: P.6.2.1 Determinar las dreas y puntos concretos que serén evaluados enel ambiente de sistemas Es la eleccin especifica de todas las areas, puntos concretos y demas aspectos de sis- femas que seran evaluados, doterminados de acuerdo con el programa de auditoria que se aplicara. Primero se debe elaborar una lista de las éreas y los puntos que seran evaluados, listindolos de manera ordenada. En el capitulo 10 se explica mas dotalla- damente la elaboracién de Ia guia de la auditoria. P.6.2.2 Selaccionar los métodos, procedimientos, herramientas ¢ instrumentos de evaluacion Una ver identificadas las areas y puntos que seran ovaluados, se deben seleccionar [as técnicas, métodos, procedimientos, herramientas y/o instrumentos* que servirén para realizar la evaluacién de cada punto especifico. Esto con el propésito de que el auditor sepa la quo debe utilizar para evaluar el punto que se le indica, asi como la manera de efectuar la evaluacién; en algunos casas también se puede incluir un breve detalle de fo que se desea obtener con el uso de tales herramientas.P.6.2.3 Elaborar el documento formal de /a guia de auditoria Una vez hechos los trabajos anteriores, se debe elaborar formalmente un documenta llamado guia de auditoria de sistomas; también so recomionda quo éste sea somotida ala opinidn y consenso de los demds participantes en la auditorfa, a fin de quo entre todos soleccionen las técnicas, métodos, procedimientos, herramiontas y/o instrumen- tos que sean aplicables todos los topics que sendin evaluados. Este documento sirve para disenar las partes que el personal de auditoria debe eva- juar, a fin de que cada auditor entiends cual seré su participacién en esta evaluacién, P.6.3 Elaborar las documentos necesarios para la auditoria Una vez definidos todos los aspectos seftalados on las fases anteriores, y de acuerdo con lo indicado en los documentos terminados de fa ponderacién de la auditoria y la guia de auditoria de sistemas, e| siguiente paso es elaborar los documentos formales que serviran para recopilar fa informacin dtil para hacer la valoracion de las aspectos que serdn auditados en el Area de sistemas, Coneretamente, y de acuerdo con lo establecide en la guia de auditoria, se deben diseftar, seleccionar o elaborar [os documentos formales que se utilizardin para la reco- pilacién de informacién y para la aplicacién y uso de prucbas.e instrumentos que ser- Virdin para comprobar 6! buen funcionamionto de los sistemas do la empresa. EI propésito es contar con las herramientas, procedimientos e instrumentos que permitan obtener informacién titi! para la auditoria a los sistemas computacionales de la empresa, lo cual se logra por medio de los siguientes puntos: P.6.3.1 Disefiar los instrumentos y herramientas de recopilacién de informacion para la auditoria El responsable de {a auditorfa en la etapa de planeacién debe definir lo mas claramen- te posible los instrumentos de recopilacién de informacion que se requiere on la audi- toria, de acuerdo con las caractoristicas y necesidades de evaluacién de sistemas que realizar, razdn por la cual debe adoptar, disefiar y aplicar los instrumentas de recopi- lacin que estan dofinides en los capitulos 9, 10y 11 de este libra, Cabe sefialar que en la guia de auditoria se deben elegir, proferentomente, los ins- trumentos, técnicas, procedimientes y herramientas de recopilacién que satisfagan las necesidades do ovaluacién, de acuerdo con las caracteristicas de los sistemas. compu tacionales que se van a auditar y de acuerdo con la experiencia y conocimientos de los auditores que participaran en la misma, 6.3.2. Diseftar los cuestionarios Como resultado de ta planeacién de la suditoria o derivado de la guia de auditoria, el encargado de la auditoria seréel responsable de elaborar y autorizar los cuestionariosque so necesitan para el levantamiento de informacién itil para la evaluacién del as pecto de sistemas que se trate; de acuerdo con las necesidades, caracteristicas y re- querimientos especificos que fueron sefalados en la guia de auditoria, Es de suma importancia que el auditor de sistemas computacianales sepa cémo elaborar correctamente estos cuestionarios, ya que se debe sepuir un método espect- fico en su formulacién, mediante ol cual le permitirare dofinir ol objetivo del cuestiona- rio, elegir el tipo de preguntas (dicotémicas, opcién multiple, abiertas, etestera) y ol ndmero de éstas; también establecer el universo y la muestra de quienes responderan este instrumento y en si, debe cumplir con caracteristicas especificas para el mejor di- sefio de estos instrumentos de recopilacién.* Recordemos que los cuestionarios son las formas de recopilacién de informacion mas utilizadas y de mayor utilidad para el auditor, y consisten en recopilar datos, me- diante la aplicacién de oddulas con preguntas improsas, en donde el encuestado res: ponde de acuerdo can su criterio, a fin de que el auditor cancentro, agrupe y tabule las rospucstas para obtonor, por modio dol analisis o intorprotacién, informacién significa- tiva para poder ovaluar lo quo est auditando. P.6.3.3. Disefiar las guias para realizar entrevistas Similar al cuestionario, como resultado de la planeacién de una auditoria o de la guia de auditoria, el auditor oe! responsable de la auditoria deben definir el tipo de entre- vista que mas le conviene a su evaluacion, a fin de establecer las formas como se de- be conducir fa entrevista y las maneras de obtener la mejor informacién. Esto obliga al auditor a definir la guia de preguntas quo realizara, de acuerdo con su experiencia y conocimientos en la aplicacin de esta herramienta de recopilacién de intormacién.** Rocardemos que una de las técnicas mas utilizadas en la auditoria de sistomas es la entrevista, que se define como: la recopilacion de informacién que se obliene en for- ma directa, cara a cara, o través de alin medio de captura de datos, en donde el au- ditor interroga, cuestiona, investiga y confirma sobre los aspectos que esté auditando, siguienda una serio de preguntas preconcobidas, las cuales va adaptando conforme m- cibe Ia informacién del entrevistado y de acuerdo con las circunstancias que se le pre- sentan para obtener mayor informacion, Fs indiscutible la utilidad de esta técnica, pero debe saber manejarse adecuada- monto, para lo cual ol auditor dobe contar con amplia experioncia y conocimiontos pa- ra utilizarla, ademds de apogarse a la quia de entrevista, en donde se definen todos los puntos que tendra que seguir para que este instrumento sea util y valioso para su tra- bajo de auditor,P.6.3.4 Disefiar los formularios para encuestas También, como resultado de la planeacin de auditoria o de fa guia de auditoria, el au- ditor dobe dofinir los tips do encuostas quo utilizar, sus caractoristicas y los formu- larios de proguntas que utlfzard em su auditoria, a fin de obtener las opiniones de tos auditados en relacién con los sistemas computacionales, sus servicios, satistaccién de la funcidn informsitica y muchos otros tépicos de opinidn ttiles para su evaluacién, La encuesta se define como: La recopilacién de datas concratos, dentro de un to pica de opinion especifico, mediante ol uso de cuestionarios y/o entrevistas, disofiados con preguntas precisas para medir opiniones de os encuestadas y con ellas obtener respuestas confiables, las cuales permiten conocer su sentimiento hacia aspects es- pecificos, después de hacer una rapida tabulacién, andlisis ¢ interprotacién de esa in- formacién. Es un valioso instrumento de obtencién de informacion y opinién, por ello debo sabor bien utilizar este instrumenta* P.6.3.5 Disefiar los modelos y formatos para los inventarios del drea de sistemas Come resultado de ta planeacién de auditoria o de la guia de auditoria, surge la nece- sidad de levantar informacién sobre los activos informaticos del area do sistemas, por esa razon el auditor debera claborar los formatos en donde se levantaran los inventa- rios de hardware, software, mobiliario y equipos, personal do sistemas, informacién y do todos Jos demas bienes asignados al 4ma, a fin do compararlos contra los rogistros contables de los mismos y evaluar su uso adecuado.** Los inventarias se definen como: La recopilacién de todos los bionas y materialos que posee un drea de sistemas, a fin de comparar las existoncias reales y confrantar- Jas con los registros contables. Es uno de los medios mas valiosos para evaluar ol uso adecuado de los bienes de la empresa, por eso es de suma importancia defini, previa- mente, el tipo de inventarios a realizar y los madelas o formatos que nas servirdn po- ra su aplicacién adecuada, P.6.3.6 Disefiar los métodos e instrumentos de muestreo En su recopilacién de informacidn, el auditor no puede ni debe recopilar toda la infor- macién disponible en el érea de sistemas, ya que a la vez que seria inoperante, resul- taria fatigosoy muy dilatado el proceso de recopilacién de dates, por ello deberd saber aplicar las herramientas estadisticas y matematicas que le permitan obtener informa-cién que sea itil para su cvaluacién, mediante la elecciGn correcta de los métodos © instrumentos de muestreo que le permitan tratar mejor a este tipo de recopilaciin* Esta definicién del tipo de muestreo y herramientas estadisticas debe ser el resul- tado de Ia planeacién de Ia auditorfa que se define en la guia de auditoria, P.6.3.7 Disefiar los instrumentos especiales de avaluacion de sistemas De igual manera que en el punto anterior, el responsable de Ia auditoria debe adoptar, disefar y aplicar los instrumentos de especiales do evaluacién, que le permitan definir, lo mas claramente posible, todos aquellos métodos, técnicas, herramientas @ instru- mentos de evaluacion que sean aplicables en la auditoria de sistomas computacionales. Esto se define en la etapa de planeacién de auditoria, de acuerdo con Iss necesidades do evaluacién de los sistemas computacionales de que se trate. En los capitulas 9, 10-y 11 de este libro se profundiza sobm los instrumentas de evaluacin que puede utilizar el auditor. P.6.3.8 Determinar los puntos que serén evaluadas con pruebas ‘Como producto de la planeacién de auditoria, puede surgir la necesidad de determi- nar algunos puntas que permitan evaluar el funcionamienta adecuade del hardware, equipos periféricos y sus componentes, a dol software institucional, sistemas operati- vos, los programas, aplicaciones, paquetes, utilerias, o también del procesamiento de informacidn, las bases de datos o cualquier otro tipo de evaluacién a los sistemas com- putacionales de la empresa; por esta razin, en la etapa de planeacion de la auditoria so deben establecer concretamente los puntos que se requieren evaluar mediante ol uso de pruebas a los sistemas; esto de acuerdo can las caracteristicas especificas de los sistomas que se quieren evaluar en la empmss. P.6.3.9 Disefiar las pruebas para la evaluacion Como resultado del punto anterior, y parte importante de la planeacién de auditoria, en esta etapa se determinan, lo mas claramente posible, el tipo de pruebas, su alcan- ceo intensidad, sus caracteris y especificaciones, de acuerdo con las necesidados do la auditoria y las caracteristicas de los sistemas. Claro esta, respetando los puntos disofiados en la seccién anterior y las espocificaciones de procesamiento de las sists mas computacionales que se evaluardn.** Es de suma importancia recalcar que el disena y aplicacién de las pruchas o oxé menes de auditoria se haran en relacién con los puntos dofinidos en la seccin anterior.P.6.3.10 Disefiar los instrumentos y herramientas para pruebas de evaluacion Cuando yaestn perfectamente definidos los puntos a evaluary las pruebas que se rea- lizardn (secciones P.6.3.8 y P.6.3.9), el auditor ya puede elegir o disefiar las instrumen- tos horramientas, métodos y procedimiontos que le permitiradn realizar dichas pruebas; esto obedece a que las sistemas computacionales tienen caracteristicas muy especilicas y, antes de malizar cualquier prueba, se debon analizar a profundidad con ol fin de no alectar el funcionamiento normal de los sistemas. No es lo mismo realizar un procesa- miento de datos de prueba 8 un sistema en funcionamiento (aunque sea con datos fal- sos), que un procesarniento de datos a un sistema paralelo (aun con datos verdaderos}. Recordemos que el auditor evaliia e! funcionamiento de los sistemas a través de pruebas, pero estas pruebas no pueden ni deben interferir en el actual funcionamien- to de los sistemas. De ahi la importancia de saber elegir, perfectamente, el tipo de ins- trumentos con los cuales se realizaran las pruebas. En los capitulos 9, 10 y 11, e! auditor enconirara instrumentos valiosos que le ayu- daran a clegir estas herramientas de evaluacion de prueba de los sistemas. P.6.4 Determinar herramientas, métodos y procedimientos para la auditoria de sistemas Una_vez que ya fueron definidos los puntos sofialados on las fases anteriores y que ya se cuenta con los documentos necesarios para aplicarse a las necesidades de auditoria es- tablocidos en la ponderacién de auditoria de sistornas y la guia de auditoria de sistemas, ol siguiente paso es doforminar las herramientas, métodas y procedimiontos que so uti- lizaran para llovar a cabo la evaluacion en ol ambionte do sistomas que so auditara, En la seccidn P.6.3 senialamos que es necesario definir los documentos a utilizar, mientras que en esta etapa tenemos que seleccionar los instrumentos a utilizar en la auditorfa, ya sea que se elijan los instrumentos que ya se han probado con anteriori- dad, de los que se necositan redisofiar para esta evaluacién @ de aquellos que tienen que disefiarse para aplicar a las necesidades de esta auditoria. Todo en funcién de las caracteristicas de los sistemas que se estin auditando, En los capitulos 9, 10 y 11 de este libra se prafundizara sobre la utilidad, diseno y uso de estas herramientas de evaluacién para la auditoria de sistemas computacionales. P.6.4.1 Disefiar las herramientas e instrumentos que seran utilizados en la evaluacién Se refiere a la definicién espocifica de los instrumentos y herramientas informaticos que el auditor utilizard para evaluar los sistemas computacionales de la empresa. En especial, los lomontos de sistemas computacionales que utilizara para evaluar a los propios sistemas y para aquellas aplicaciones especificas del sistema computacional.P.6.4.2 Establecer los métodos y procedimientos que seran utilizados en la auditoria Se refiere a la definicién especifica de los métodos de trabajo y procedimientos de au- ditoria que el auditor aplica para llevar a cabo su auditoria a los sistemas computaciona- les de la empresa. Dichos métodos y procedimientos son las pufas de trabajo, rufinas, exporiencias y conocimientos espocificos de auditoria que sigue el auditor para malizar su trabajo, Estos pueden estar apayadas en los anteriores instrumentos. Estos puntos también seran tratados. con amplitud en los capitulos 9, 10 y 11 del libro, P.6.4.3 Determinar las técnicas y procesos aspecificos que seran utilizados en la auditoria Las técnicas se refieren a las habilidades, pricticas, destrezas y pericias que tiene el au- ditor para realizar su evaluacién, mientras que los procesos son las etapas, actividades yy tareas que sigue el auditor para llevar a cabo su evaluacién. Ambos, técnicas y proco- sos, dotorminan las acciones a soguir en Ia evaluacidn de los sistemas de fa empresa. También en los capitulos 9, 10 y 11 del libro, se analizan estos conceptos, P.6.4.4 Elaborar los documentos formales para los procedimientos, métodos, herramientas e instrumentos que serdn utilizados en la auditoria Cuando el auditor o responsable de la auditoria ya tienen perlectamente definidos todos y-cada uno de los puntos que utilizaré en su auditoria, como resultado de la planeacién de la auditoria, debe plasmar en un documento formal cada uno de los instrumentos, técnicas, procedimiontos y herramiontas que utiizara, Detallando lo més posible las ca- racteristicas y formas de uso de cada instrumento, asi comaol objetiva que se protende satisfacor con las mismas, Estos instrumentos, técnicas, procedimientos y herramientas vienen a conformer la guia de auditoria.* P.6.5 Disefiar los sistemas, programas y métodas de pruebas para la auditoria En una auditoria de los sistemas computacionales, entre otras muchas cosas, en audi- tor debe evaluar, forzesamente, el adecuado funcionamiento de los sistemas computa-cionales de la empresa, lo cual so realize a través del diseno de programas especificos que aplica on esas sistemas, asi como de métodos de pruebas especiales, exclusives de estos sistemas computacionales. Estos, en su conjunto, constituyen Ia evaluacién técnica al funcionamiento de los sistemas de la empresa.* Precisamente como resultado de la planeaciGn de auditoria y de manera especifi- can la guia de auditoria, el responsable de la auditoria debe plasmar, formalmente, los sistemas, programas y métodos que aplicara, en forma de pruobas, para ovaluar los sistemas computacionales de la empresa. P.6.5.1 Determinar los puntos de interés, programas, bases de datos, archivos y sistemas que seran evaluados mediante programas y pruebas de cémputo En esta fase el responsable de auditoria determina, lo mas ampliamente posible, todos los puntos que seran evaluados durante la auditoria, detallando los aspectos do siste- mas que lo conviene auditar, De preferencia, especificando el objetivo y las caractoris- ticas y las formas de la evaluacién que se utilizaran para tales puntos. P.6.5.2. Disefiar las pruebas, programas y sisternas para realizar las evaluaciones necesarias para el funcionamiento de los sistemas computacionales, bases de datos y archivos Contando con los puntos del inciso anterior, ahora disefia las pruebas, programas y sis- temas que: utilizar para las evaluaciones que determinen el funcionamionta ade cuado de los sistemas computacionales de la empresa, sus bases de datos, archivos de infor- macidn y de todos los aspectos relacionados con el procesamiento de informacién en ‘ol Ama do sistomas. Incluyondo ol hardwaro, software, instalacionos, poritéricos y do- mas componentos do! mismo, Estos puntos deben corresponder con los sefialados en ta guia de auditoria. P.6.5.3 Aplicar y obtener los resultados de las pruebas, programas y sistemas para realizar las evaluaciones necesarias Una vez quo ya so han disonado los procodimientos, técnicas y herramiontas dotermi- nados en el punto anterior, el auditor los aplica conforme fueron establecidos, para asi obtener Jos resultados de su funcionamiento y con ellos lleva a cabo el anélisis de su comportamiento en la funcién informatica de la empresa. Esto le permitira hacer las evaluaciones a estos msultados.P.6.5.4 Disefiar, aplicar y evaluar los resultados de los programas, métodos y pruebas de simulacion al sistema En algunos casos, ademis do aplicar los métodos y pruebas proviamente disefiados, sera necesario realizar simulaciones de les resultados, @ fin de evaluar el comporta- mionta do estos resultados a la luz de otras pruebas simuladas on equipos similares o enel mismo equipo, pero con otro tipo de datos. Esto ayuda a complementar la eva- juacién de los resultados que se obtienen del sistema en auditoria. P.6.5.5. Diseflar otras instrumentos de recopilacién Producto de las pruebas, programas y métodos de evaluacién antes sefialados, puede ser necosario disonar otros instrumentos quo ayuden a evaluar mejorlos msultados al- carzados, razén por la cual se puede recurrir a nuevos instrumentos que se elaboran para complomentar la evaluacién de los sistemas, Todo en funcidn de las necesidades de evaluacién y las earacteristicns especificas de ios sistemas, P.6.5.6 Elaborar otros documentos de revisién En algunas ocasionos se dobon olaborar otros instrumontos que contribuyen a evaluar, de mojor manora, los sistemas computacionales de la empresa, para lo cual so debe considerar las necesidades coneretas de ovaluiacién y las roquorimientos de pruchas, programas y métados do evaluacién que seran necesarios. 63:7 P7 Asignar los recursos y sistemas computacionales para le auditoria Una vez definidos todos los aspectos sefialados en las fases anteriores, el siguiente pa- $0 08 asignar los recursos quo sern utilizados para malizar la auditoria, do acuerdo. con log aspectos ya establecidos con anterioridad. Con la asignacién de estos recursos especializados, sean humanos, informaticos, tecnolégicas o cuslesquiera otros que 50 hayan establecide para la auditoria, es como se lleva a cabo la misma, En la soccién P.4.7 hico un andlisis mas espe cifico do estos rocursos, sin embargo, 2 continuacion sefialo los principales puntos que el responsable debe establecor para fa realizacién do la auditoriat Piz Asignar los recursos humanos para la realizacién de la auditoria Los responsables de realizar la auditoria son los mcursos humanos especializados en in- formaticay auditoria, ya que con ellos se llevan a cabo todas las actividades programadas para la revision de los sistemas, la olaboracin de pruebas, operacion de los sistemas, la evaluacién al funcionamiento de los sisiomas, sus bases de datos, el uso correcto y ade- cuado de la informacion, y en si de todos los aspectos informéticos que serin evaluados.Estos recursos humanos, por lo especializado de ta actividad que realizam pare le auditoria, pueden ser auditores en el rea informatica, cuyos conocimientos les perm ten evaluar casi todos los aspectos de sistemas. Sin embargo, la actividad de los sistemas computacionales de una empresa suete ser sumamente especializada, ya sea pore! tipo de sistemas, Ia plataforma que se uti- lice, e1 software especifico que se emplee o cualesquiera otras especificaciones que S616 ef personal del grea doting; por esa razén, el auditor tambion puede mcurrit al personal del area, de carsicter interno, que le ayude a evaluar el funcionamiento de tos sistemas que se auditan, lo cual es muy fecuente y muy valido. Recordemos que un auditor no necesariamente debe conocer todos los sistemas computacionales pero si ddobe utilizar la téenicas de auditoria y apoyarse en los expertos informaticos para rea- lizar su operacion. Los recursos a los que puede acudir para su evaluaciGn suelen ser aquellos especia- listas que perienccon al érea de sistemas computacionales auditada. quienes coopera- ran con el auditor para realizar las pruebas, programas y procedimiontos de evaluacion que: determine el auditor. Estos especialistas también pueden ser de caracterexterno, conformado con per- sonal ajono a la ompmsa y/o aroa auditadas P.7.2. Asignar los recursos informaticos y tecnoldgicos para la realizacion de la auditoria Asi como se asignaron los recursos humanos para la auditoria, también eo tienen que asignar los recursos informéticos y tecnoldgices que requiere el auditor para realizar su lori, los cuales vienen a ser sus heramientas de trabajo. Estes cursos informaticos pueden ser las sistemas computacionales que utiliza- #4 durante su evaluscién, que incluyen los propios sistemas, sus Componentes y perk féricos, ademds de los programas, paqueles y utilerias especializadas de evaluacion, fas bases de datos e informacion (real o simulada) del sistoma y en si tode el hardwa- ro, software, bases de datos y demas componentes de sistemas que utilizara durante Su auditoria, Tode de acuerdo con la determinacion do los recursos establecida en las etapas anteriores. Igual con los recursos tecnolégicos especializados qué se Heguen a necesitar para ta evaluacion de los sistemas; segun las especificaciones técnicas de la evaluacion que P.7.3. Asignar los recursos materiales y de consumo para la realizaci6n de la auditoria Al igual quo los anteriores, también se tenon quo asignar los materiales y consumiblos que serén utilizados durante la auditeria, a fin de que ol auditor cunt con todos loa olementoe necesarios para au ovaluacién, que pueden sor desde dioquetes, cintas, pa- peleria, equipos de offcina, como de cualesquiera otros elementos no especializades que ulilice durante su evaluacion, El objetivo de asignar estos recursos es que el auditor realice su evaluacién sin contratiempos al contar con el material necesario para el buen desemperio del traba- jo encomendado. P.7-4 Asignar los demas recursos para la realizacién de la auditoria Aqui se incluyon todas los demds recursos ajenos a los anteriores que seran utilizados por el auditor, de los cuales destacamas los apoyos materiales y financieros, los vidti- 0s, pasajes y otros gastos, por citar sélo algunos. Sin embargo, la asignacién de estos otros recursos estaré determinada por la es. tablocido en Ia seccién PAT.6.4 22 etapa: Ejecucién de la auditoria de sistemas computacionales El siguionte paso después de la planoacin de la auditoria es su ojecucién, la cual es- tard detorminads por las caracteristicas concrotas, los puntos y requorimientos que se estimaron en ta etapa de planeacién Dobide a que esta etapa es de walizacién especial do acuerdo con la planeacidin de la auditoria, en este inciso silo so indican sus puntos ms importantes, en la intel ncia de que se aplicaré verdadoramente do acuordo a las caractorsticas especiticas le la auditoria queso trate, Los principales puntos son los siguientes: fealzar las acciones programadas para la auditoria ' ' ' Aplicar ios instrumentos _Asignarlos recursos y y harramientas para la attividades conforme a auditoria fos planes y programas ' ' 1 identificar y slaborar los documentos de desviaciones ' { 4 Reropilar ls documentacién Yawidoncias dete suditaria Integrar el ‘Antegrar los Hlaborar los legajo da documentos y documentos y presentarlos papeles de ‘pruabas en Risin == trabajodela “S""" papoles da auditoria trabajo 1 ‘Elsborar el borrador de desviacionasConcrotamente, tenemos los siguientes conceptos: * Realizar las acciones programadas para la auditoria + Aplicar los instruments y herramientas para la auditoria * Identificar y elaborar los documentas de desviaciones + Elaborar el dictamen preliminar y presentarlo a discusién + Integrar el legajo de papeles de trabajo de la auditoria Como éstas ya son las actividades concretas, resultado de la practice de la audito- ria de sistemas, a continuacién haromos un brove analisis de los puntos senalados en esta parte: Ea Realizar las acciones programadas para la auditoria De acuerdo con el programa de auditoria, cada auditor tione que realizar las activida- des que le corresponden conforme fueron disenadas, en la cronologia que fo fue asig- nada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar; el propésito es ejecutar los eventos programados y alcanzar el objetivo de ta auditoria, E.2. Aplicar los instrumentos y herramientas para la auditoria Aqui lo importante es que; conforme a la guia de auditoria, se tienen que utilizar, uno 2 uno, los insttumentos y herramientas elegidos para llevar a cabo la evaluacion, ya sea mediante la recopilacién y anzlisis de la informacién, la observacién, las pruebas y simulaciones de los sistemas, 0 mediante cualquior otro instrumento de los que se disenaron previamente para esta revisin. £3 Identificar y elaborar los documentos de desviaciones encontradas ‘Una vez que se realizaron lag actividades disefiadas en el programa de trabajo de au- ditoria, que 0 utilizaron los instrumentas de recopilacién de informacion y/o se ulili- zaron los instrumontas determinados para Is auditoria, entonces so busean las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles solu- ciones, asi como los responsables de solucionar dichas desviacionesy las posiblos fo- chas para hacerlo, En et capitulo 8, inciso 8.4, analizaremos mas a fondo este tpico. El auditor puede elaborar este documento cuando fo considers necesario; es de- cir, lo puede elaborar conforme va realizande cada evaluacion, conforme va evaluando reas completas, conforme va realizando cada evento programado 0 conforme a cual- quier otro criterio. Lo importante es que conforme el auditor detecte las desviaciones, elabore de inmediato el documento de desviaciones.£4 Elaborar el dictamen preliminar y presentarlo a discusién Una vez que el auditor determiné las desviaciones encontradas durante la evaluacién, dobe elaborar un documento que contenga todas las desviaciones dotactadas, o lo pue- do olaborar con cada una de las desviaciones por separado, de acuerdo w las nocosida- des de la empresa, Una vez hecho esto, es obligacién del auditor comontarlas con tas personas que estin involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y, derivado de este intereambio de opiniones, debe determinar las posibles soluciones para eada una de estas causa. Tame bién puede asignar a los responsables de solucionarlas y, de ser posible, las fechas pa- ra hacerlo. Es muy comeniente sefialar que la importancia de ta auditoria no sélo estriba en reportar las desviacionos encontradas en una operacién normal, sino que las perso- has que estan involucradas directamente en la operacién deben conocerlas; 6! pro- pésita os que estén conscientes de las desviaciones encontradas on su trabajo para que puedan emprender las acciones necasarias para corregirlas, si os que las correc ciones estén en sus manos. Fn el capitulo 8 analizaremos mas profundamente este tema. La auditoria no se lleva a cabo para cortar las cabezas de los auditados; es una dis- ciplina quo ayuda’a detectar las dosviaciones on las operaciones de los auditados, ast como a conocer las causas de tales desviaciones y sus posibles soluciones. E.5 Integrar el legajo de papeles de trabajo de la auditoria El auditor tiene la obligacién de conservar en el llamado legajo de papeles de la audi- totia cada uno de los instrumentos aplicados en la evaluacién, con el propdsito de sus- tentar, legado el caso, las observaciones repartadas. En el siguiente capitulo so hace un profundo analisis de este documento y su importancia.6s 32 etapa: Dictamen de la auditoria de sistemas

También podría gustarte

• Como Hackear Servidores Paso A Paso

  

  Documento68 páginas

  Como Hackear Servidores Paso A Paso

  Julio Cesar

  85% (48)
• Ejercicios de Programacion en Java

  

  Documento213 páginas

  Ejercicios de Programacion en Java

  Netza Lopez

  75% (4)
• Users Hardware Extremo PDF by Chuska (WWW Cantabriatorrent Net)

  

  Documento46 páginas

  Users Hardware Extremo PDF by Chuska (WWW Cantabriatorrent Net)

  gepinito

  89% (9)
• • Revistas
  • Podcasts
  • Partituras
• Comandos de MS-DOS - 17

  

  Documento17 páginas

  Comandos de MS-DOS - 17

  maredaliv

  Aún no hay calificaciones
• Manual Basico Java

  

  Documento47 páginas

  Manual Basico Java

  gancho222

  Aún no hay calificaciones
• El Mundo de La Electr Nica 2

  

  Documento16 páginas

  El Mundo de La Electr Nica 2

  Aitor Axon

  Aún no hay calificaciones
• Users 200 Respuestas Photoshop PDF

  

  Documento28 páginas

  Users 200 Respuestas Photoshop PDF

  estilasho_h

  Aún no hay calificaciones
• Temas de Logica Informatica PDF

  

  Documento138 páginas

  Temas de Logica Informatica PDF

  Balmore Palacios

  Aún no hay calificaciones
• Arreglos en C#

  

  Documento15 páginas

  Arreglos en C#

  James GM

  Aún no hay calificaciones
• Ampliaciones de Redes de Computadores

  

  Documento8 páginas

  Ampliaciones de Redes de Computadores

  edavilag

  Aún no hay calificaciones
• Acentuación General Fase General

  

  Documento21 páginas

  Acentuación General Fase General

  ferreroacix

  Aún no hay calificaciones
• Historia y Evolucion de La Comunicación

  

  Documento9 páginas

  Historia y Evolucion de La Comunicación

  ferreroacix

  Aún no hay calificaciones
• Clase 16

  

  Documento27 páginas

  Clase 16

  ferreroacix

  Aún no hay calificaciones
• Cardinalidad PHP A Postgres

  

  Documento19 páginas

  Cardinalidad PHP A Postgres

  Skrkrw

  Aún no hay calificaciones
• C# - Arreglos Estructura de Datos

  

  Documento23 páginas

  C# - Arreglos Estructura de Datos

  ferreroacix

  Aún no hay calificaciones
• La Computación y La Organización (Empresa)

  

  Documento11 páginas

  La Computación y La Organización (Empresa)

  ferreroacix

  Aún no hay calificaciones
• La Elaboración de Presupuestos en Empresas Manufactureras

  

  Documento103 páginas

  La Elaboración de Presupuestos en Empresas Manufactureras

  Xav'r Mejía S

  Aún no hay calificaciones
• El Desempleo en El Municipio de Chalateango

  

  Documento37 páginas

  El Desempleo en El Municipio de Chalateango

  ferreroacix

  Aún no hay calificaciones
• Instalaciones Físicas.

  

  Documento2 páginas

  Instalaciones Físicas.

  ferreroacix

  Aún no hay calificaciones
• Balance General Clases 11-08-2014

  

  Documento51 páginas

  Balance General Clases 11-08-2014

  ferreroacix

  Aún no hay calificaciones
• Programación Multihebra en Java

  

  Documento11 páginas

  Programación Multihebra en Java

  Henderson Valero

  Aún no hay calificaciones
• El Salvador Se Endeuda Más y Debe Pagar 13 Mil Millones de Dólares

  

  Documento7 páginas

  El Salvador Se Endeuda Más y Debe Pagar 13 Mil Millones de Dólares

  ferreroacix

  Aún no hay calificaciones
• Las Clases Metodos de La Ciencia

  

  Documento20 páginas

  Las Clases Metodos de La Ciencia

  ferreroacix

  Aún no hay calificaciones
• Las Clases Metodos de La Ciencia

  

  Documento20 páginas

  Las Clases Metodos de La Ciencia

  ferreroacix

  Aún no hay calificaciones
• Las Clases Metodos de La Ciencia

  

  Documento20 páginas

  Las Clases Metodos de La Ciencia

  ferreroacix

  Aún no hay calificaciones