Está en la página 1de 57

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

UNIDAD 2 Planeacin de la auditoria Informtica.

CONTENIDO

2.1 Fases de la auditoria. 2.1.1 Planeacin. 2.1.2 Revisin preliminar. 2.1.3 Revisin detallada. 2.1.4 Examen y evaluacin de la informacin. 2.1.5 Pruebas de controles de usuario. 2.1.6 Pruebas sustantivas. 2.2 Evaluacin de los sistemas de acuerdo al riesgo. 2.3 Investigacin preliminar. 2.4 Personal participante.

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Objetivos Objetivo General: Definir y aplicar controles en las diferentes reas de la Informtica como: instalaciones fsicas, personal, teleinformtica, seguridad en la informacin. Asimismo, evaluar el desempeo de las mismas reas de la Informtica. Objetivo de la unidad II Objetivo Educacional : Comprender las fases de la planeacin de la auditoria informtica, y las aplicar en avaluaciones de casos. Actividades de Aprendizaje 2.1 Resolver los casos de estudio planteados por el profesor y analizarlos en forma grupal. 2.2 Realizar actividades de investigacin en las empresas. 2.3 Realizar investigaciones en diferentes fuentes de informacin sobre el tema, para enriquecerse con la experiencia de otros autores. 2.4 Presentar los avances del proyecto final .

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Objetivos del captulo: Al finalizar este captulo, usted: 1. Conocer las distintas fases que comprende la auditoria en la informtica, 2. Comprender la importancia en el trabajo de la auditoria de planeacin, examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento. 3. Explicar el valor de la evaluacin de los sistemas de acuerdo al riesgo. 4. Describir las fases que deben seguirse para realizar una adecuada investigacin preliminar. 5. Definir cuales son las principales caractersticas que requiere el personal que habr de participar en una auditoria. 6. Conocer como se elabora una carta convenio de los servicios profesionales de la auditoria.

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

PLANEACIN DE LA AUDITORIA EN INFORMTICA 2.1 Fases De La Auditoria La auditora en informtica es el proceso de la recoleccin y la evaluacin de evidencias para determinar cuando son salvaguardados los activos de los sistemas computarizados, de qu manera se mantiene la integridad de los datos y como se logran los objetivosde la organizacin eficazmente y se usan los recursos consumidos eficientemente La auditora en la informtica sigue los objetivos tradicionales de la auditoria: aquellos que son de la auditoria externa de salvaguarda de los activos y la integridad de los datos, y los objetos gerenciales, aquellos propios de la auditoria interna que no solo se logran objetivos sealados sino tambin de la eficiencia y de la eficacia. La auditora interna es una funcin independiente de la evaluacin que se establece dentro de una organizacin para examinar y evaluar sus actividades. El objetivo de la auditoria interna consiste en apoyar a los miembros de la organizacin en el desempeo de sus responsabilidades. Para ello, proporciona anlisis, evaluaciones, recomendaciones, asesora e informacin concerniente a las actividades revisadas. Los auditores internos son responsables de proporcionar informacin acerca de la adecuacin y efectividad del sistema del control interno de la organizacin y de la calidad de la gestin.
4

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

El manual de la organizacin deber establecer claramente los propsitos del departamento de auditoria interna, especificar que el alcance de trabajo no debe tener restricciones y sealar que los auditores internos no tendrn autoridad y/o responsabilidad respecto de las actividades que auditan. El auditor interno debe ser independientemente de las actividades que audita. Esta independencia permite que el auditor interno realice su trabajo libre y objetivamente, ya que sin esta independencia no se pueden obtener los resultados. Las normas de la auditoria interna comprenden: Las actividades auditadas y la objetividad de los auditores internos. El conocimiento tcnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su funcin. En el caso de la auditoria en informtica es de suma importancia el que el auditor cuente con los conocimientos tcnicos

actualizados y con la experiencia necesaria en el rea. El alcance del trabajo de la auditoria interna en el rea de informtica. El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditoria a informtica.

Los auditores internos deben ser independientes de las actividades que se auditan, y deben de tener un amplio criterio para no tomar decisiones subjetivas basadas en preferencias personales sobre
5

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

determinado equipo software, sin analizar a profundidad las opiniones. Los auditores internos son independientes cuando pueden

desempear su trabajo con libertad y objetividad. La independencia permite a los auditores internos rendir juicios imparciales, esenciales para la adecuada conduccin de las auditorias; esto se logra a travs de una adecuada objetividad y criterio. La objetividad es una actitud de independencia mental que los auditores internos deben mantener al realizar las auditorias. Los auditores internos no deben subordinar sus juicios en materia de la auditoria al de otros. La objetividad requiere que los auditores internos realicen sus auditoras de tal manera que tengan una honesta confianza en el producto de su trabajo y sus auditores internos no deben colocarse en situaciones en las que se sientan imposibilitados para hacer juicios profesionales objetivos. Los resultados del trabajo de la auditoria deben ser revisados antes de emitir el respectivo informe de la auditoria, para proporcionar una razonable seguridad de que el trabajo se realiz objetivamente. El auditor en la informtica debe contar con los conocimientos tcnicos requeridos y con capacidad profesional. El departamento de auditoria interna deber asignar a cada auditoria aquellas personas que en su conjunto posean los conocimientos, la experiencia y la disciplina necesarios para conducir apropiadamente la auditoria. Tambin deber asegurarse que la experiencia tcnica y la

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

formacin acadmica de los auditores sean las apropiadas para realizar las auditorias en la informtica. Asimismo, se deber obtener una razonable seguridad sobre las capacidades y pericias de cada prospecto para auditor en la informtica. El departamento de la auditoria interna deber contar u obtener los conocimientos, experiencias y disciplinas necesarias para llevar acabo sus responsabilidades de la auditoria en informtica. Deber tener personal o emplear consultores calificados en las disciplinas de la informtica necesarias para cumplir con las responsabilidades de la auditoria; sin embargo, cada miembro del departamento no necesita estar calificado en todas las disciplinas. El departamento de la auditoria interna deber asegurarse: Que las auditorias sean supervisadas en forma apropiada. La supervisin es un proceso continuo que comienza con la planeacin y termina con el trabajo de auditoria. Que los informes de la auditoria sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditoria. Que la auditoria sea debidamente documentada y que se conserve la evidencia apropiada de la revisin. Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informtica posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditoras.
7

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Cada auditor interno requiere de ciertos conocimientos y experiencias: Se requiere pericia en la aplicacin de las normas,

procedimientos y tcnicas de auditoria interna para el desarrollo de las revisiones. Se entiende por pericia la habilidad para aplicar los conocimientos que se poseen a las situaciones que posiblemente se encuentren, ocupndose de ellas sin tener que recurrir en exceso a ayudas o investigaciones tcnicas. Tener habilidad para: aplicar amplios conocimientos a

situaciones que posiblemente se vayan encontrando, reconocer las desviaciones significativas y poder llevar a cabo las investigaciones necesarias para alcanzar soluciones razonables. Entre las habilidades que se deben tener los auditores estn: Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas. Los auditores internos deben tener habilidad para comunicarse tanto de manera oral como escrita, de tal manera que se pueden transmitir clara y efectivamente asuntos como: los objetivos de la auditoria, las evaluaciones, las conclusiones y las recomendaciones. Los auditores en informtica son responsables de continuar su desarrollo profesional para poder mantener su pericia profesional. Deberan mantenerse informados acerca de las mejoras y desarrollos recientes. Los auditores en informtica deben ejercer el debido cuidado profesional al realizar sus auditoras. El cuidado profesional, deber estar adecuado con la complejidad de la auditoria que realiza. Los auditores deben estar atentos a la posibilidad de
8

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

errores omisiones, de la ineficiencia, del desperdicio, de la inefectividad y del conflicto de intereses. Tambin debern estar alertas ante aquellas condiciones y actividades en donde es ms probable que existan irregularidades, adems, debern de identificar los controles inadecuados y emitir recomendaciones para promover el cumplimiento con procedimientos y practicas aceptables. El debido cuidado implica una razonable capacidad, no infalibilidad ni acciones extraordinarias. Requiere que el auditor realice exmenes y verificaciones con un alcance razonable, pero no requiere auditorias detalladas de todas las operaciones. Por consiguiente, el auditor no puede dar una absoluta seguridad de qu no existan incumplimientos o irregulares. Sin embargo, la posibilidad de que existan irregularidades materiales o que no se cumplan las disposiciones debe ser considerada siempre que el auditor emprende una auditoria. Cuando el auditor detecte una irregularidad que va en contra de lo establecido deber informarlo a las autoridades adecuadas de la organizacin, el auditor puede recomendar cualquier investigacin que considere necesaria en esas circunstancias. Posteriormente, el auditor deber efectuar su seguimiento para verificar que se ha cumplido con lo sealado. El ejercicio del debido cuidado profesional significa el uso razonable de las experiencias y juicios en desarrollos de la auditoria. Para este fin el auditor deber considerar:

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

El alcance del trabajo de la auditoria necesario para lograr los objetivos de la auditoria. La materialidad o importancia relativa de los asuntos a los que se aplican los procedimientos de la auditoria. La adecuacin y efectividad de los controles internos. El costo de la auditoria en relacin con los posibles beneficios. El cuidado profesional incluye la evaluacin de los estndares establecidos, determinado en consecuencia si tales estndares son aceptables y si son cumplidos. Cuando estos son vagos debern solicitarse interpretaciones autorizadas. El alcance de la auditoria debe abarcar el examen y evaluacin de la adecuacin y efectividaddel sistema de control interno de la organizacin y la calidad en el cumplimiento de las responsabilidades asignadas. El propsito de revisar la adecuacin del sistema de control interno es el de cerciorarse si el sistema establecido proporciona una razonable seguridad de que los objetivos y metas de la organizacin se cumplirn eficiente y econmicamente. Los objetivos elementales del control interno son para asegurar: La confiabilidad e integridad de la informacin. Los auditores deben revisar la confiabilidad e integridad de la informacin y los mtodos empleados para identificar, medir, clasificar y reportar dicha informacin. El cumplimientos de polticas, planes procedimientos, leyes y reglamentos. La salvaguarda de los activos.
10

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

El uso eficiente y econmico de los recursos. El logro de los objetivos y metas establecidos para las operaciones o programas. El sistema de informacin proporciona datos para la toma de decisiones, el control y el cumplimiento con requerimientos externos. Por ello, los auditores deben examinar los sistemasde informacin y cuando sea apropiado asegurarse: Que los registros e informes contengan informacin precisa, confiable, oportuna, completa y til. Que los controles sobre los registros e informes sean adecuados y efectivos. Los auditores deben revisar los sistemas establecidos para asegurarse del cumplimiento de las polticas, planes y procedimientos, leyes y reglamentos que pueden tener un impacto significativo en las operaciones e informes, y deben determinar si la organizacin cumple con ellos. La gerencia informtica es responsable del establecimiento de los sistemas mas diseados para asegurar el cumplimiento de

requerimientos tales como polticas, planes, procedimientos y leyes y reglamentos aplicables. Los auditores son responsables de determinar si los sistemas son adecuados y efectivos y si las actividades auditadas estn cumpliendo con los requerimientos apropiados. Los auditores debern revisitar:

11

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

La correccin de los mtodos de salvaguarda de activos y verificar la existencia de estos activos. Los mtodos empleados para salvaguardar los activos de diferentes tipos de riesgos tales como: robo, incendios, actividades impropias o ilegales, as como de elementos naturales como terremotos, inundaciones etc. Los auditores debern evaluar si el empleo de los recursos se realiza en forma econmica y eficiente. La administracin es responsable de establecer estndares de operacin para medir la eficiencia y economa en el uso de los recursos. los auditores internos son responsables de determinar si: Los estndares para medir la economa y eficiencia en el uso de los recursos son adecuados. Los estndares de operacin establecidos han sido entendidos y se cumplen. Las desviaciones a los estndares de operacin se identifican, analizan y se comunican a los responsables para que tomen las medidas correctivas. Se toman las medidas correctivas. Las auditorias relacionadas con el uso econmico y eficiente de los recursos debern identificar situaciones tales como: Subutilizacin de instalaciones. Trabajo no productivo. Procedimientos que no justifican su costo.
12

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Exceso o insuficiencia de personal Uso indebido de las instalaciones. Los auditores debern revisar las operaciones o programas para cerciorarse si los resultados son consistentes con los objetivos y metas establecidos y si las operaciones o programas se llevan a cabo como se planearon.

13

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.1.1 Planeacin de la auditora en informtica Para hacer una adecuada planeacin de la auditoria en la informtica hay que seguir una serie de pasos previos que se permitan dimensionar el tamao y caractersticas del rea dentro de un organismo a auditar, sus sistemas organizacin y equipo. Con ello podremos determinar el nmero y caractersticas del personal de la auditoria, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditoria para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin provocara una serie de problemas que pueden impedir que se cumpla con la auditoria o bien hacer que no se efectu con el profesionalismo que debe tener cualquier auditor. El trabajo de la auditoria deber incluir la planeacin de la auditoria, el examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento. Planeacin deber ser documentada e incluir: El establecimiento de los objetivos y alcance del trabajo. La obtencin de la informacin de apoyo sobre las actividades que se desean auditan. La determinacin de los recursos necesarios para realizar la auditoria. El establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la auditoria.
14

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

La realizacin, en forma ms apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a auditar, as como identificacin de las reas en las que se debern hacer nfasis al realizar la auditoria y promover comentarios y la promocin de los auditados. La preparacin por escrito del programa de auditoria. La determinacin de cmo, cundo y a quien se le comunicaran los resultados de la auditoria. La obtencin de la aprobacin del plan de trabajo de la auditoria. En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del procesos de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes bases de datos comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin. Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de la informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual deber incluir tiempos,
15

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

costos, personal necesario y documentos auxiliares a formular durante el desarrollo de la auditoria. El proceso de planeacin comprende el establecer: Metas Programas de trabajo de auditoria.

solicitar o

Planes de contratacin de personal y presupuesto financiero. Informe de actividades. Las metas se debern establecer de tal manera que se puedan lograr su cumplimiento, sobre la base de los palanes especificados de la operacin y de los presupuestos, los que hasta donde sea posible debern ser cuantificables. Debern acompaarse de los criterios para medirlas y de fechas lmite para su logro, Los programas de trabajo de auditoria debern incluir: las actividades que se van a auditar, cuando sern auditadas, el tiempo estimado requerido, tomando en consideracin el alcance de trabajo de la auditoria planeado y la naturaleza y extensin del trabajo de auditoria realizando por otros. Los programas de trabajo debern ser lo suficiente flexibles para cubrir demandas imprevistas. Los planes de contratacin de empleados y los presupuestos financieros ---incluyendo el nmero de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo---, deberan contemplarse al elaborar los programas de trabajo de auditoria, as como las actividades administrativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre auditoria y los esfuerzos de desarrollo.
16

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.1.2 Revisin preliminar El primer paso en el desarrollo de la auditara, despus de la planeacin, es la revisin preliminar del rea de informtica. El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditoria. Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes. Diseo de la auditoria. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditoria. Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas pueden conducir las consecuencias. Decidir el no confiar en los controles internos del sistema. Existen en dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costobeneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea de informtica pueden duplicar los controles existentes en el rea del usuario. El auditor puede decidir ese obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles. La revisin preliminar significa la recoleccin de evidencias por medio de las entrevistas con el personal de instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin
17

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con documentacin narrativa. Debemos considerar que esta ser solo una informacin inicial que nos permitir elaborar un plan de trabajo, la cual se profundizara en el desarrollo de la auditoria. La revisin preliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos: En primer lugar, el auditor interno normalmente requiere de menos revisiones y trabajos, especialmente en la parte gerencial y de la organizacin, ya que l es parte de la organizacin y est familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las causas de las perdidas y de los controles necesarios para justificar sus decisiones; el auditor interno tiene una amplia perspectiva, la cual se incorpora en sus consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero, si el auditor interno supone serias debilidades en los controles internos, enlugar de proceder directamente con las pruebas sustantivas, deber continuar con la fase de revisin detallada para sealar recomendaciones para mejorar los controles internos.

18

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.1.3 Revisin detallada Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. El auditor debe decidir si debe continuar elaborando pruebas del consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los usuarios (o pruebas compensatorias), o las pruebas sustantivas. En algunos casos el auditor puede, despus de hacer un anlisis detallado, decidir que con los controles internos se tienen suficientes confianza, y en otros casos que los procedimientos alternos de auditoria pueden ser apropiados. En la fase de evaluacin detallada es importante para el auditor identificar las causas de las perdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por estas. Al terminar la revisin detallada el auditor puede evaluar en qu momento los controles establecidos reducen las perdidas esperadas a un nivel aceptable. Los mtodos obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere la profundidad con que se obtienen la informacin y se evala. Como en el caso de la investigacin preliminar, se tiene diferentes formas de lograr los objetivos desde el punto de vista del auditor interno o externo. El auditor interno debe considerar las causas de las prdidas que afectan eficiencia y eficacia, adems de evaluar por que
19

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

los controles escogidos son o no suficientes para reducir las prdidas esperadas a un nivel aceptable. El auditor interno debe evaluar si los controles escogidos son ptimos si provoca un sobrecontrol, o bien si se logra un satisfactorio nivel de control usando menos controladores o controladores menos costosos. Si el auditor interno considera que los controles internos del sistema nos son satisfactorios, en el lugar de proceder directamente a revisar, aprobar controles alternos o al realizar pruebas sustantivas y procedimientos debe sealar las recomendaciones para mejorar los controles del sistema.

20

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.1. 4 Examen y evaluacin de la informacin Los auditores internos debern de obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditoria. El proceso del examen y evaluacin de la informacin es la siguiente: Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcance de la auditoria. La informacin deber ser suficiente, competente relevante y til para que proporcione bases slidas en la relacin con hallazgos y recomendaciones la auditoria. La informacin suficiente significa que esta basada en hechos que es adecuadas y convenientes, de tal forma que una persona prudente e informada puede llegar a las mismas conclusiones que el auditor. La informacin competente significa que es confiable y puede obtener de la mejor manera, usando las tcnicas de auditoria apropiada. La informacin relevante apoya los

hallazgos y recomendaciones la auditoria. Y es conscientemente con los objetivos de esta informacin til ayuda a la organizacin ayudar sus metas. Los procedimientos de la auditoria, incluyendo el empleo de las tcnicas pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad cuando esto se posible y ampliarse y modificarse con la circunstancia lo requieran. Al proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una

seguridad razonable de que la, objetividad del auditor se mantuvo y que las metas de las auditorias cumplieron.
21

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Los documentos de trabajo de la auditoria debern ser preparados por los autores y revisados por la gerencia de auditoria. Estos documentos debern registrar la informacin obtenida y el anlisis realizado, y deben apoyar las bases de los hallazgos de la auditoria y las recomendaciones que se harn. Los auditores debern reportar los resultados de trabajo de auditoria. El auditor deber discutir las conclusiones y recomendaciones en los niveles apropiados de la administracin antes de emitir su informe final. Los informes debern de ser objetivos, claros, concisos, constructivos y oportunos. Los informes presentaran el propsito, y el alcance y resultados de la auditoria y, cuando se considere apropiado contendern la opinin del auditor. Los informes pueden incluir recomendaciones para mejorar

potenciales y reconocer el trabajo satisfactorio y las medidas correctivas. Los puntos de vistas del auditado respeto a las conclusiones y recomendaciones pueden ser incluidos en el informe de la auditoria. Para asegurarse que se tomaron las acciones apropiadas sobre los hallazgos de auditoria reportados. El director de la auditora en informtica deber establecer un programa para seleccionar y desarrollar los recursos, el cual deber contemplar: Descripciones de puestos por cada nivel de auditoria en informtica. Seleccin de individuos calificados y competentes.
22

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Entrenamiento

oportunidad

de

capacitacin

profesional

continua para todos y cada uno de los auditores. Evaluacin del trabajo de cada uno de los auditores por lo menos una vez al ao. Asesora a los auditores en lo referente a su trabajo y a su desarrollo profesional. El trabajo de auditoria interna y externa deber coordinarse para asegurar la adecuada cobertura y para minimizar la duplicidad de esfuerzos. El director de auditoria interna en informtica deber establecer y mantener un programa de control de calidad para evaluar las operaciones del departamento de auditoria interna. El propsito de este programa es proporcionar una seguridad razonable de que el trabajo de auditoria est de acuerdo con las normas aplicables. Un programa de control de calidad deber incluir los siguientes

elementos: Supervisin. Revisiones internas. Revisiones externas. La supervisin del trabajo de los auditores en informtica deber llevarse a cabo continuamente para asegurarse de que estn trabajando de acuerdo con las normas, polticas y programas de auditoria en informtica.

23

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Las revisiones internas debern realizarse peridicamente por el personal del departamento de auditoria interna para evaluar calidad de trabajo realizado. Estas revisiones debern llevarse acabo de la

misma manera que cualquier otra auditoria. Para evaluar la calidad del trabajo de la auditoria en informtica debern practicarse revisiones externas. Pruebas de consentimiento El objetivo de la fase de prueba de consentimiento es determinar si los controles internos operan como fueron diseados para operar. El auditor debe determinar si los controles declarados en realidad existen y si realmente trabajan confiablemente. Adems de las tcnicas manuales de recoleccin de evidencias, muy frecuente el auditor debe recurrir a las tcnicas de recoleccin de informacin asistidas por la computadora, para determinar la existencia y confiabilidad de los controles. . Por ejemplo, para evaluar la existencia y confiabilidad de los controles de un sistema en red, se requera el entrar a la red y evaluar directamente al sistema.

24

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2 .1.5 Pruebas de controles del usuario En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de la informtica. Estas pruebas que compensan las deficiencias de los controles internos hechas directamente con los usuarios.

25

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.1.6 Pruebas sustantivas El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidasmateriales durante el procesamiento de la informacin. El auditor externo expresara este juicio en forma de opinin sobre cundo se puede existir un proceso equivocado o falta de control de la informacin. Se pueden identificar ocho diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de la falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o estados fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad. Debemos cuestionarlos el beneficio de tener un excesivo control o bien evaluar el beneficio marginal de tener mayor control contra el costo que representa este. Para ello es necesario evaluar el costo por falla del sistema, y sus repercusiones para determinar el grado de riesgo y confianza necesarios contra el costo de implantacin de controles y el costo de recuperacin de la informacin o eliminacin de las repercusiones.

26

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

El auditor debe participar en tres estados del sistema: Durante la fase de diseo del sistema. Durante la fase de operacin. Durante la fase posterior a la auditoria. En general, la opinin del gerente de informtica y de la alta gerencia consideran que el auditor participe en la fase de diseo disminuye la independencia del autor, pero existen varias formas en las cuales se puede eliminar esto: Aumentando los conocimientos en la informtica del auditor. Asignar diferentes auditores a la fase de diseo, al trabajo de auditoria y al posterior de la auditoria. Crear una seccin de la auditoria en la informtica dentro del departamento de auditoria interno, es especializado en auditoria en informtica. Obtener mayor soporte de la alta gerencia. Realizar una auditoria en la informtica es un trabajo completo. Por ello, para lograr sus objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que se realizan las actividades bsicas de cada subsistema, evaluar la confianza de cada componente, y la de los subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una evaluacin global sobre la confianza total del sistema. Esto se deber realizar sin resolver el postulado de investigacin de operaciones, que nos seala que:

27

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

La suma de los ptimos parciales de los subsistemas no es igual al ptimo del sistema, pero nos da una buena aproximacin. Los pasos que involucran una auditoria en informtica son similares aquellos que se realizan para auditar un sistema manual. Primero se realiza una investigacin preliminar del rea de informtica, para lograr un entendimiento de cmo est siendo administrada la instalacin y de los principales sistemas que son procesados. En un segundo lugar, si el auditor determina confiar en los controles internos del sistema, se realiza una investigacin detallada. En tercero, de acuerdo con su juicio, prueba la confianza sobre aquellos controles que son crticos. En cuarto, se realizan pruebas sustantivas de los procedimientos. Finalmente, el auditor debe dar una opinin. Despus de estos pasos el auditor evala los controles internos del sistema y decide si debe proceder con pasos alternativos. Durante la auditoria en informtica deben tomarse muchas decisiones difciles. Cada evaluacin sobre la confianza de los sistemas de control interno requiere de evaluaciones complejas realizadas en forma conjunta con las evidencias obtenidas.

28

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.2 Evaluacin de los sistemas de acuerdo al riesgo

Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la prdida de la informacin o bien el que sea usado por personal ajeno a la organizacin. Para evaluar el riesgo de un sistema con mayor detalle vase el apartado "Plan de contingencia y procedimientos de respaldo para casos de desastre", en el captulo 6. Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que:

Ejemplo Son susceptibles a diferentes tipos de prdida econmica.

Fraudes y desfalcos entre los cuales estn los sistemas financieros. El auditor debe de poner especial atencin a aquellos sistemas que requieran de un adecuado control financiero.

Ejemplo Flujo de caja, inversiones cuentas por pagar y cobrar, nmina. Las fallas pueden impactar grandemente a la organizacin.

Ejemplo Una falla en el procesamiento de la nmina puede tener como consecuencia el que se tenga una huelga.

29

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Interfieren con otros sistemas, y los errores generados permean a Potencialmente, alto riesgo debido a daos en la competencia.

otros sistemas.

Algunos sistemas le dan a la organizacin un nivel competitivo muy alto dentro de un mercado.

Ejemplo Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales son las mayores fuentes de recursos de la organizacin. Otros a travs de los cuales su prdida puede destruir la imagen de la organizacin. Sistemas de tecnologa de punta o avanzada. Si los sistemas utilizan tecnologa avanzada o de punta. Ejemplo Sistemas de bases de datos, sistemas distribuidos o de comunicacin, tecnologa sobre la cual la organizacin tenga muy poca experiencia o respaldo, la cual es ms probable que sea una fuente de problemas de control. Sistemas de alto costo. Sistemas que son muy costosos de

desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control.

30

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.3 INVESTIGACIN PRELIMINAR

Es necesario iniciar el trabajo de obtencin de datos con un contacto preliminar que permita una primera idea global. El objeto de este primer contacto es percibir rpidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado. 1

La investigacin preliminar debe incorporar fases de evaluacin del control gerencial y del control de las aplicaciones. Durante la revisin de los controles gerenciales el auditor debe entender a la organizacin y las polticas y prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua de la instalacin en que se encuentran las computadoras.

Durante la revisin de los controles de las aplicaciones, el auditor debe entender los controles ejercidos sobre el mayor tipo de transacciones que fluyen a travs de los sistemas de aplicaciones ms significativos dentro de la instalacin de computadoras.

Se debe recopilar informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, as como el programa detallado de la investigacin.

Se deber observar el estado general del departamento o rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin.

En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La investigacin preliminar se debe

31

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

hacer solicitando y revisando la informacin de cada una de las reas, basndose en los siguientes puntos:

ADMINISTRACIN. Se recopila la informacin para obtener una visin general del apartamento por medio de observaciones, entrevistas preliminares y solicitud e documentos para poder definir el objetivo y alcances del departamento.

La eficiencia en el departamento de informtica slo se puede lograr si sus objetivos estn integrados con los de la institucin y si permanentemente se adapta a los posibles cambios de stos.

Esta adaptacin nicamente puede ser posible si los altos ejecutivos y los usuarios de los sistemas toman parte activa en las decisiones referentes a la reaccin y utilizacin de los sistemas de informacin, y si el responsable de dicho sistema constantemente consulta y pide asesora y cooperacin a los ejecutivos y usuarios.

Asimismo el control de la direccin de informtica no es posible, a menos e el personal responsable aplique la misma disciplina de trabajo y los mtodos que se exigen normalmente a los usuarios. Podemos hablar de tener el control, nicamente cuando se contemplaron los objetivos, se estableci un presupuesto y se registraron correctamente los costos en el desarrollo de la aplicacin, y cuando sta contempla el nivel de servicio en trminos de calidad y tiempos mnimos de entrega de resultados de la operacin del computador. El xito de la direccin de informtica dentro de una organizacin depende finalmente de que todas las personas responsables adoptan una actitud positiva respecto a su trabajo y evalen constantemente la eficiencia en su propio trabajo, as como el desarrollado en su rea, estableciendo metas y estndares ru incrementen su productividad.

32

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

La direccin de informtica, segn las diferentes reas de la organizacin, es evaluada desde diferentes puntos de vista.

Los usuarios a nivel operativo generalmente la ven como una herramienta para incrementar su eficiencia en el trabajo. Para estos usuarios, la direccin de informtica es una funcin de servicio. Cada grupo de usuarios tiene su propia expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y normalmente sin tomar en cuenta las necesidades de otros grupos de usuarios.

Los altos ejecutivos consideran a la direccin de informtica como una inversin importante, que tiene la funcin de participar activamente en el cumplimiento de los objetivos de la organizacin. Por ello, esperan un mximo del retorno de su inversin; esperan que los recursos destinados a la direccin de informtica proporcionen un beneficio mximo a la organizacin y que sta participe en la administracin eficiente y en la minimizacin de los costos mediante informacin que permita una adecuada toma de decisiones. Los directivos, con toda la razn, consideran que la organizacin cada da depende ms del rea de informtica y consecuentemente esperan que se deba administrar lo ms eficiente y eficaz posible.

Esencialmente, la meta principal de los administradores de la direccin de informtica es la misma que inspira cualquier departamento de servicio: combinar un servicio adecuado con una operacin econmica.

El problema estriba en balancear el nivel de servicio a los usuarios, que siempre puede ser incrementado a costa de un incremento del factor econmico o viceversa.

Para poder analizar y dimensionar la estructura a auditar se debe solicitar:

A nivel organizacin total:


33

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Objetivos a corto y largo plazos. Manual de la organizacin. Antecedentes o historia del organismo. Polticas generales.

A nivel del rea de informtica: Objetivos a corto y largo plazos. Manual de organizacin del rea que incluya puestos, funciones, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea. Procedimientos administrativos del rea. . Presupuestos y costos del rea.

Recursos materiales y tcnicos:

Solicitar documentos sobre los equipos, as como el nmero de ellos, su localizacin y sus caractersticas (de los equipos instalados, por instalar y programados).


34

Estudios de viabilidad. Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Configuracin de equipos de comunicacin (redes internas y externas) y localizacin de los equipos. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin.

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Polticas de uso de los equipos. Polticas de seguridad fsica y prevencin contra contingencias internas y externas.

Sistemas:

Descripcin general de los sistemas instalados y de los que estn por instalar, que contengan volmenes de informacin. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. Bases de datos, propietarios de la informacin y usuarios de la misma. Procedimientos y polticas en casos de desastre. Sistemas propios, rentados y adquiridos.

En el momento de hacer la planeacin de la auditora o bien en su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacin y se ve que:

No se tiene y se necesita. No se tiene y no se necesita.

Se tiene la informacin pero:


No se usa. Es incompleta. No est actualizada. No es la adecuada.

35

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Se usa, est actualizada, es la adecuada y est completa.

En el caso de que no se disponga de la informacin y se considere que no se necesita, se debe evaluar la causa por la que no es necesaria, ya que se puede estar solicitando un tipo de informacin que debido a las caractersticas del organismo no se requiera. Eso nos dar un parmetro muy importante para hacer una adecuada planeacin de la auditora.

En el caso de que no se tenga la informacin pero que sea necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se le va a dar.

En el caso de que se tenga la informacin pero que no se utilice, se debe analizar por qu no se usa. El motivo puede ser que est incompleta, que no est actualizada, que no sea la adecuada, etc. Hay que analizar y definir las causas para sealar alternativas de solucin, lo que nos lleva a la utilizacin de la informacin.

En caso de que se tenga la informacin, se debe analizar si se usa, si est actualizada, si es la adecuada y si est completa; de ser as, se considerar dentro de las conclusiones de la evaluacin, ya que como se dijo la auditora no slo debe considerar errores, sino tambin sealar los aciertos. Antes de concluir esta etapa no se olvide que el xito del anlisis crtico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento). Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

36

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2.4 Personal participante Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar.

En este punto no veremos el nmero de personas quedebern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de os equipos; lo que se deber considerar son las caractersticas del personal que labra de participar en la auditora. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, que tenga alto sentido de moralidad, al cual se le exija la optimizacin de los recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditora En primer lugar, debemos pensar que hay personal asignado por la organizacin, que deba tener el suficiente nivel para poder coordinar el desarrollo de la auditora, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas.

ste es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi

37

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

imposible obtener informacin en el momento y con las caractersticas deseadas.

Tambin se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo

multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema.

Para complementar el grupo, como colaboradores directos en la realizacin de la auditora, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de administracin, contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencia en psicologa industrial. Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.

38

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, comunicaciones, etctera.

Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero s que deben intervenir una o varias personas con las caractersticas apuntadas.

Una vez planeada la forma de llevar a cabo la auditora, estaremos en posibilidad de presentar la carta convenio de servicios profesionales (en el caso de auditores externos) y el plan de trabajo.

La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y alcance de la auditora, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y lo informes que se han de entregar.

Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en la figura 2.1, el cual servir para resumir el plan de trabajo de la auditora. Este formato de programa de auditora nos servir de base para llevar un adecuado control del desarrollo de la misma. En l figuran el organismo, la fecha de formulacin, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das-hombre estimados.

39

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

El control del avance de la auditora lo podemos llevar mediante el formato de la figura 2.2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin.

El hecho de contar con la informacin del avance permite que el trabajo elaborado pueda ser revisado por cualquiera de nuestros asistentes.

Como ejemplo de propuesta de auditora en informtica, vase la figura 2.3, y como ejemplo de contrato de auditora en informtica consltese la figura 2.4.

40

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Fig. 2.1 PROGRAMA DE AUDITORIA INFORMTICA.

ORGANISMO:

_____ HOJA NM: ________

DE _____________

FECHA DE FORMULACIN:

F A S E DESCRIPCIN ACTIVIDAD

NM. DEL PERSONAL PARTICIPAN TE INICIO TRMINO PERIODO ESTIMADO

DAS HAB. EST.

DAS HOM. EST.

41

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Fig.2.2 avance del cumplimiento del programa de auditoria en informtica

ORGANISMO:

________

HOJA NM: ________

DE _____________

PERIODO QUE REPORTA: .

F A S E

Situacin de la auditora En proces o

Periodo real de la auditoria

Das reale s

Grad o de avan ce

Das Hom . Est.

Explicacin con las variaciones en relacin con lo programado

No inicia

Termin a

Iniciada

Terminada

utiliz ados

42

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Fig. 2.3 EJEMPLO DE PROPUESTA DE SERVICIOS DE AUDITORIA EN INFORMTICA I. ANTECEDENTES (Anotar el objetivo especfico del proyecto de auditoria.)

II.

OBJETIVOS DE LA AUDITORIA EN INFORMTICA (Anotarel objetivo especfico de la auditoria.)

III.

ALCANCES DEL PROYECTO

El alcance del proyecto comprende: 1. EVALUACIN DE LA DIRECCIN DE INFORMTICA EN LO QUE CORRESPONDE A: Su organizacin Funciones Objetivos Estructura Recursos humanos Normas y polticas Capacitacin Planes de trabajo Controles Estndares Condiciones de trabajo Situacin presupuestal y financiera
43

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

2. EVALUACIN DE SISTEMAS: Evaluacin de los diferentes sistemas en operacin (flujo, procedimientos, documentacin, organizacin de archivos,

estndares de programacin, controles, utilizacin de los sistemas, opiniones de usuarios). Evaluacin de avances de los sistemas en desarrollo y congruencia con el diseo general, control de proyectos, modularidad de los sistemas. Seguridad lgica de los sistemas, confidencialidad y respaldos. Derechos de autor y secretos industriales, de los sistemas propios y utilizados por la organizacin. Evaluacin de las bases de datos. 3. EVALUACIN DE LOS EQUIPOS: Adquisicin Estandarizacin Controles Nuevos proyectos de programacin de adquisicin Almacenamiento Comunicacin Redes equipos adicionales 4. EVALUACIN DE SEGURIDAD Seguridad lgica y confidencialidad Seguridad en el personal Seguridad fsica
44

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Seguridad contra virus Seguros Seguridad en utilizacin de los equipos Seguridad en la restauracin de los equipos y de los sistemas Plan de contingencia y procedimientos en caso de sastre

IV.

METODOLOGA

La metodologa de investigacin a utilizar en el proyecto se presenta continuacin: 1. Para la evaluacin de la direccin de informtica se llevaran a cabo las siguientes actividades: Solicitudde funciones, los manuales administrativos, estndares organizacin, utilizados y

planes,

polticas,

programas de trabajo. Solicitud de costos y presupuestos de informtica. Elaboracin de un cuestionario direccin. Aplicacin del cuestionario al personal y entrevistas. Entrevistas a lderesde proyectos y a usuarios ms relevantes de la direccin de informtica. Elaboracin del informe. 2. Para la evaluacin de los sistemas tanto en operacin como desarrollo se llevaran a cabo las siguientes actividades: Estudios da viabilidad y costo/beneficio.
45

para la evaluacin de la

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Solicitud de anlisis y diseo de los sistemas en operacin y en desarrollo. Solicitud de documentacin de los sistemas en operacin (manuales tcnicos, de operacin, de usuario, diseos). Solitud del plan de trabajo. Solicitud de contratos de compra o renta de software. Solicitud de licencias y derechos de autor. Plan de contingencia y recuperacin en casos de desastre. Recopilacin y anlisis de los procedimientos administrativos de cada sistema. Anlisis de bases de datos. Anlisis de seguridad lgica y confidencialidad. Evaluacin de los proyectos en desarrollo, prioridades y personal asignado. Avaluacin de la particin de auditoria interna. Evaluacin de controles. Evaluacin de la particin de la auditoria interna. Evaluacin de controles. Evaluacin de las licencias, la obtencin de derechos de autor y de confidencialidad de la informacin. Entrevistas con usuarios de los sistemas. evaluacin directa de la informacin obtenida contra las necesidades y requerimientos de los usuarios. Anlisis objetivo de la estructuracin y flujo de los programas. Anlisis y evaluacin de la informacin compilada. Elaboracin de informe.
46

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

3. Para la evaluacin de los equipos se llevaran a cabo las siguientes actividades: Solicitud de los estudios de viabilidad, costo/beneficio y caractersticas de los equipos actuales, proyectos sobre la adquisicin o ampliacin de equipo y actualizacin. Solicitud de contratos de compra renta de equipos. Solicitud de contratos de mantenimiento de equipos. Solicitud de contratos y convenios de respaldo. Solicitud de contratos de seguros. Bitcoras de equipo. Elaboracin de un cuestionario sobre la utilizacin de equipos, archivos, unidades de entrada/salida, equipos perifricos, y su seguridad. Visita a las instalaciones a los lugares de almacenamiento de archivos magnticos. Visita tcnica de comprobacin de seguridad fsica y lgica de las instalaciones. Evaluacin tcnica del sistema elctrico y ambiental de los equipos, local utilizando y en general de las instalaciones. Evaluacin de los sistemas de seguridad de acceso. Evaluacin de la informacin recopilada, obtencin de graficas porcentajes de utilizacin de los equipos y su justificacin. Elaboracin de informe.
47

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

4. Elaboracin del informe final, presentacin y discusin del mismo, y presentacin de las conclusiones y recomendaciones.

V.

TIEMPO Y COSTO (Poner el tiempo en que se realizar el proyecto, de preferencia indicando el tiempo de cada una de las etapas; el costo del mismo, que incluya el personal participante en la auditoria y sus caractersticas, y la forma de pago).

48

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Fig. 2.4 ejemplo de contrato de auditora en la informtica

Contrato de prestacin de servicios profesionales de la auditoria en informtica que celebraran por una parte

__________________________________________________ , representado por carcter de sucesivo se _________________ y por el cliente, en que otra en su lo parte, a

_____________________ denomina

representada por

______________________________

quien se le domina el autor, de conformidad con las declaraciones y clausulas siguientes:

DECLARACIONES

I.

El cliente declara: a) Que es una XXXXX b) Que estar representado para este acto por: XXXX y que tiene como su domicilio XXXXXXX c) Que requiere obtener servicios de la auditoria en informtica, por lo que ha decidido contratar los servicios del autor. XXXXXXXXXXXXX

II.

Declara el autor : a) Que es una sociedad annima, construida y existente de acuerdo con las leyes y que dentro de los objetivos primordiales est el prestar auditoria en informtica

49

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

b) Que est construida legalmente segn su escritura numero _____de fecha______________________ ante el notario pblico nm. XXXXXX c) Que seala como su domicilio XXXXXXX III. Declara ambas partes: a) Que habiendo llegado a un acuerdo sobre los antes mencionado, lo formalizan otorgando el presente contrato que se contiene en las siguientes: CLUSULA S Primera. Objetivo. El autor se obliga a presentar al cliente los servicios de la auditoria en la informtica para llevar acabo la evaluacin de la direccin de la informtica del cliente, que detallan en la propuesta de servicios anexa que, firmadas `por partes, forma parte integrante del contrato. Segunda. Alcance del trabajo. El alcance de lostrabajos que llevara a cabo el auditor interno dentro de este contrato son:
a) Evaluaciones

del XXXXXX

de la direccin de informtica en lo que

corresponde a: Su organizacin. Funciones. Estructura. Cumplimientos de los objetivos.


50

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Recursos humanos. Normas y polticas. Capacitacin. Planes de trabajo. Controles. Estndares. Condiciones de trabajo. Situacin presupuestal financiera.

b) Evaluacin de los sistemas:

Evaluacin de los diferentes sistemas en operacin (flujo, procedimientos, documentacin, organizacin de los archivos, estndares de programacin, controles, utilizacin de los sistemas). Opiniones de los usuarios. Evaluacin de los avances de los sistemas en desarrollo y congruencia con el diseo general, control de proyectos, modularidad de los sistemas. Evaluacin de prioridades y recursos asignados (humanos y equipos de cmputo). Seguridad respaldos. Derechos de autor y secretos industriales, de los sistemas propios y los utilizados por la organizacin. Evaluacin de la base de datos.
51

lgica

de

los

sistemas,

confidencialidad

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

c) Evaluacin de los equipos:

Adquisicin, estudios de viabilidad y costo-beneficio. Capacidades. Utilizacin. Estandarizacin. Controles. Nuevos proyectos de adquisicin. Almacenamiento. Comunicacin. Redes. Equipos adicionales. Respaldos de los equipos. Contratos de compra. Renta o renta con opcin a compra. Planes y proyecciones de adquisicin de nuevos equipos.

d) Evaluacin de la seguridad:

Seguridad lgica y confidencialidad. Seguridad en el personal. Seguridad fsica. Seguridad contra virus. Seguros. Seguridad en la utilizacin de los equipos. Seguridaden la restauracin en los equipos y de los sistemas.
52

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Plan de contingencia y procedimientos en caso de desastre.

e) Elaboracin

de

informes

que

contengan

conclusiones

recomendaciones por cada uno de los trabajos sealados en los inicios a, b, c, d de esta clusula. Tercera. Programa de trabajo. El cliente y el auditor convierten en desarrollar en forma conjunta un programa de trabajo en el que se determinen con precisin las actividades a realizar por cada una de las partes, los responsables de llevarlas a cabo y las fechas de realizacin. Cuarta. Supervisin. El cliente o quien se designe tendr derecho a supervisar los trabajos que se le han encomendado al auditor dentro de este contrato y dar por escrito las instrucciones que estime convenientes. Quinta. Coordinacin de los trabajos. El cliente designara por parte de la organizacin o un coordinar del proyecto, quien ser el responsable de coordinar la recopilacin de la informacin que solicite el autor, y de que las reuniones y entrevistas establecidas en el programa de trabajo se lleven acabo en las fechas establecidas. Sexta. Horario de trabajo. El personal del auditor dedicara tiempo necesario para cumplir satisfactoriamente con los trabajos materia de la celebracin de este
53

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

contrato, de acuerdo al programa de trabajo convenido por ambas partes, y gozara de libertad fuera del tiempo destinado al cumplimiento de las actividades, por lo que no estar sujeto a horarios y jornadas determinadas. Sptima. Personal asignado. El auditor designara para el desarrollo de los trabajos objeto de este contrato a socios del despacho, quienes, cuando consideren necesario, incorporan personal tcnico capacitado de que dispone la firma, en el nmero que se requieran y de acuerdo a los trabajos a realizar. Octava. Relacin laboral. El personal del auditor no tendr ninguna relacin laboral con el cliente y el queda expresamente estipulado que este contrato se suscribe en atencin a que el auditor en ningn momento se considera intermediario del cliente respecto al personal que ocupe para dar cumplimiento de las obligaciones que se deriven de las relaciones entre el y su personal, y su personal, y que exime al cliente de cualquier responsabilidad que a este respecto existiere. Novena. Plazo de trabajo. El auditor se obliga a terminar los trabajos sealados en la clusula segunda de este contrato en_________ das hbiles despus de la fecha en que se firme el contrato y sea cobrado el anticipo correspondiente. El tiempo estimado para la terminacin de los trabajos esta con relacin a la oportunidad con que el cliente entregue
54

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

los documentos requeridos por el auditor y al cumplimiento de las fechas estipuladas en el programa de trabajo aprobado por las partes, por lo que cualquier retraso ocasionado por parte del personal del cliente o de usuarios de los sistemas repercutir en el plazo estipulado, el cual deber incrementarse de acuerdo a las nuevas fechas establecidas en el programa de trabajo, sin perjuicio alguno para el auditor. Dcima. Honorarios. El cliente pagara al auditor por los trabajos objeto del presente contrato, honorarios por la cantidad de

_______________________________________________msel impuesto al valor agregado correspondiente. La forma de pago ser la siguiente: a) ____________% a la firma de contrato. b) ____________% a los das______________hbiles despus de iniciados los trabajos c) ____________% a la terminacin de los trabajos presentacin del informe final. Undcima. Alcance a los horarios. Es importante sealado en la clusula decima compensara al auditor por sueldos, honorarios, organizacin y direccin tcnica propia de los servicios de auditora, prestaciones sociales y laborales de su personal. y

55

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Duodcima incrementos de honorarios. En caso de que se tenga un retraso debido a la falta de entrega de informacin, demora o cancelacin de las reuniones, o cualquier otra causa imputable al cliente, este contrato se incrementara en la forma proporcional al retraso y se sealara el incremento de comn acuerdo. Decimotercera. Trabajos adicionales. De ser necesaria alguna adicin a los alcances o productos del presente contrato, las partes celebraran por separado un convenio que formara parte integrante de este instrumento y en forma conjunta se acordara el nuevo costo. Decimocuarta. Viticos y pasajes. El importe de los viticos y pasajes en que incurra el auditor en el traslado, hospedaje y alimentacin que requieran durante su permanencia en la cuidad de _________________, como

consecuencia de los trabajos objeto de este contrato, ser por cuenta del cliente. Decimoquinta. Gastos generales. Los gastos de fotocopiado y dibujo que se produzcan con motivo de este contrato corrern de las clusulas de este contrato. Decimosexta. Causas de recisin. Sern causa de recisin del presente contrato la violacin o incumplimiento de cualquiera de las clusulas de este contrato.

56

UNIDAD 2_AUDITORIA DE INFORMATICA

LIC. ADELA JAIMES VILLALVA

Decimoseptima. Jurisdiccin. Todo lo no previsto en este contrato se regir por las disposiciones relativas, contenida en el cdigo civil del _____________ y, en caso de controversia para su interpretacin y cumplimiento, las partes se someten a la jurisdiccin de los tribunales federales, renunciando al fuero que les pueda corresponder en razn a su domicilio presente o futuro. Enteradas las partes del contenido y alcance legal de este contrato, lo rubrican y firman de conformidad, en original y tres copias, en la cuidad de______________________, el da

_________________________________.

EL CLIENTE

EL AUDITOR

57