Está en la página 1de 12

METODOLOGIAS PARA AUDITORIA INFORMATICA

Una vez definida la Auditoria Informática, sus fines y utilidades, así como
expuestas sus clases y tipos, procedemos a describir el método de trabajo que
el equipo auditor ha de seguir, desde la contratación por parte del cliente o la
orden de la Dirección (según que la Auditoria sea externa o interna), hasta la
confección y entrega por escrito del Informe final. Toda la función auditora se
comprendía en la entrega del mencionado Informe a quien lo solicitó.

El método de trabajo auditor pasa por las siguientes fases, a saber:

1. Alcance y Objetivos de la Auditoria Informática.


2. Estudio inicial del entorno auditable.
3. Determinación de los Recursos necesarios para efectuar la Auditoria.
4. Elaboración del Plan y de los Programas de Trabajo.
5. Actividades propias de la Auditoria (Análisis, entrevistas, etc.).
6. Confección y Redacción del Informe Final.
7. Redacción de la "Carta de Presentación" del Informe Final.

1. DEFINICION DE ALCANCE Y OBJETIVOS

El alcance de la Auditoria expresa los límites de la


misma. Debe existir un acuerdo preciso entre
autoridades y clientes sobre las funciones,
materias y organizaciones auditadas. Por ejemplo,
en la Auditoria de Explotación deberá fijarse
previamente si se incluye o no la función de
Soporte Técnico, dependiendo de su ubicación en
el organigrama.

Especial importancia tiene la determinación del ámbito de la Auditoria cuando


se incluyan áreas no informáticas de la empresa u Oficinas de Servicios
Informáticos ajenos a la misma, Soporte de la firma constructora, etc.

Resulta beneficioso para ambas partes expresar las excepciones de alcance de


la Auditoria, manifestar por escrito cuáles materias no van a ser auditadas,
tanto el alcance de la Auditoria como las excepciones del mismo, han de
figurarse al comienzo del documento final.

Los objetivos de la Auditoria se han de conocer con precisión, de forma que los
objetivos perseguidos sean susceptibles de ser cumplidos, debe comprender
con exactitud los deseos y pretensiones del cliente. Bien determinados los
objetivos específicos, el auditor tendrá presente que éstos se añadirán al
objetivo general y a toda Auditoria informática: La Operatividad de los Sistemas
y los Controles de Gestión Informática.

Por lo demás, los objetivos más habituales pueden ser: Evaluación de


funcionamiento de áreas informáticas, aumentos de Seguridad y Fiabilidad,
Conectividad, Compatibilidad, aumento de Calidad, Costos y Plazos, etc.
Dentro del Alcance y Objetivos se incluye la fijación de los interlocutores del
equipo auditor. El interlocutor comprende a las personas que tienen poder de
decisión y validación en la empresa, igualmente, los auditores conocerán con
exactitud la persona o personas destinatarias del Informe.

2. ESTUDIO INICIAL

La metodología de trabajo del equipo auditor comporta un estudio inicial de la


situación general, aun en el caso de que la Auditoria a realizar sea sectorial,
para realizar este estudio se examina las funciones y actividades generales de
la informática:

a) Organización.
b) Entorno Operacional.
c) Aplicaciones Informáticas, Base de Datos y Archivos.

a) Organización

Para el auditor conocer quién ordena, diseña y quién ejecuta es fundamental.


No podrá realizar su misión sin conocer la estructura organizativa de la
Informática sujeta a Auditoria. Al menos, debe fijar los siguientes conceptos:

Organigrama: expresa la estructura de la organización. El auditor dibujará el


organigrama con detalle, sin omitir las funciones auxiliares o complementarias
no informáticas. Los textos de los recuadros deberán ser auto explicativos.

El auditor podrá comprobar con facilidad la identidad que debe existir entre lo
oficial y lo real, si se descubre que existe un organigrama diferente al oficial, se
pondrá de manifiesto tal circunstancia.

Departamentos: Órganos que siguen tras la Dirección. El equipo auditor


describirá breve y claramente las funciones más importantes de los recuadros
del organigrama que constituyen cada uno de ellos, y los que dependen
directamente de éste.

Relaciones jerárquicas y funcionales entre órganos de la Organización:

Verificará si cumplen las relaciones jerárquicas y funcionales, las relaciones de


jerarquía implican subordinación y las funcionales indican relaciones
complementarias. Estas relaciones deben ser bien definidas, el nivel superior
informa a sus grupos la existencia de tales relaciones o variación en ellas.

Las relaciones no jerárquicas contribuyen a proporcionar mayor flexibilidad a


las estructuras. Sin embargo, y también como principio, deberán restringirse al
máximo las "dependencias funcionales".

Al referirnos a "flujos de información", las dependencias funcionales tienen


imprecisiones organizativas de importancia y género, aceptables sólo en
circunstancias excepcionales, y que esté prevista su desaparición a plazo fijo.
Flujos de información:

Además de las corrientes intra departamentales y las directrices de Dirección,


la estructura organizativa, produce corrientes de información horizontales extra
departamentales, el flujo de información entre los grupos es imprescindible
para su gestión siempre y cuando no distorsionen el organigrama.

Las organizaciones crean canales alternativos y resulta inevitable la existencia


de flujos de información no deseados, esta realidad termina en la proliferación
de dichos flujos, los flujos no previstos obedecen a afinidades personales o
comodidad. Estos flujos producen perturbaciones en la organización.

Número de Puestos de Trabajo:

Comprobar que los nombres de los Puestos corresponden a funciones reales


distintas, es frecuente que bajo nombres diferentes se realicen funciones
idénticas, lo que indica existencia de funciones operativas redundantes, asta
situación pone de manifiesto deficiencias estructurales.

Los auditores expresarán tal circunstancia con el número de Puestos de trabajo


diferentes, difícilmente existen más de 5 o 6 Puestos operativos distintos por
rama informática, en muchas organizaciones aparecen hasta 10 o 12 por rama.

Número de personas por Puesto de Trabajo:

Los auditores informáticos deben considerar. La inadecuación del personal,


falta o sobra de plantilla en las secciones, determina que el número de
personas que realizan las mismas funciones rara vez coincida con la estructura
oficial de la organización.

Los auditores expondrán el número de empleados reales de cada sección


auditada, así se pone de manifiesto una distribución ineficiente de recursos o la
necesidad de una reorganización para modificar la estructura oficial.

b) Entorno operacional

El equipo de Auditoria informático debe poseer una adecuada referencia del


entorno en el que ha de desenvolverse, este conocimiento previo se logra
determinando los siguientes extremos:

1. Situación geográfica de los Sistemas

Se determinará la ubicación geográfica de los Centros de Proceso de Datos


distintos de la empresa. Se verificará la existencia de responsables por cada
uno de ellos, así como el uso de los mismos estándares de trabajo.

2. Arquitectura y configuración de Hardware y Software

Sobre todo cuando existen varios Centro de Proceso de Datos, es fundamental


la configuración elegida para cada uno de ellos en tanto deben constituir un
Sistema compatible e intercomunicado. La configuración de los Sistemas está
muy ligada a las políticas de Seguridad Lógica Informática de las Compañías.

Los Planes de Contingencia rara vez tienen materialización efectiva cuando


llega la ocasión, cuando un Centro de Datos queda inoperativo, su sustitución
no es inmediata. Debe tener en cuenta los costos que representa un Centro
Alternativo a la empresa con cargas reducidas mientras llega el desastre.

En otro orden, la organización informática necesita una configuración muy


flexible, facilitada en la actualidad por la versatilidad de los Sistemas.

3. Inventario de Hardware y Software

El auditor recaba información escrita de la empresa, donde figuran elementos


físicos y lógicos de la instalación. En cuanto a Hardware, figurarán CPU,
procesadores, unidades de control locales y remotas, periféricos, terminales, pc
personales, etc. Es conveniente que el inventario físico figure igualmente las
líneas disponibles con los datos fundamentales de cada una de ellas.

El inventario software contiene todos los productos lógicos del Sistema, desde
el software básico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no facturables.

4. Comunicaciones y Redes de Comunicaciones

Los auditores dispondrán del número, situación y características principales de


las líneas, así como de los accesos a la red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la empresa.

La información de líneas y Redes debe figurar en el Inventario del punto


anterior, debe estimularse la construcción de un Inventario Hardware y
Software único.

c) Aplicaciones bases de datos y archivos

El estudio inicial que han de realizar los auditores se cierra y culmina con una
idea general de los procesos informáticos realizados en la empresa auditada.

El entorno auditable se pone de manifiesto principalmente por medio de las


siguientes características:

1. Volumen, antigüedad y complejidad de las Aplicaciones

El equipo de Auditoria hallará un promedio de los conceptos epigrafiádos. Se


pondrá especial énfasis en la periodicidad de ejecuciones de la carga.

2. Metodología del Diseño

Se calificará la existencia total o parcial de metodologías de desarrollo de


Aplicaciones. Si se han utilizado varias a lo largo del tiempo se pondrá de
manifiesto tal circunstancia, si se han desarrollado simultáneamente varias
Aplicaciones con metodologías diferentes.

3. Documentación

Desde el punto de vista práctico, la existencia de una adecuada documentación


de las Aplicaciones proporciona beneficios tangibles e inmediatos muy
importantes.

Una documentación correcta es importante para el departamento. En efecto, la


documentación de programas disminuye el mantenimiento de los mismos.

La actividad de mantenimiento de Aplicaciones es en la actualidad uno de los


problemas más importantes, y representa a veces hasta un 70% del total de los
recursos de Desarrollo.

4. Cantidad y complejidad de Bases de Datos y Archivos

El auditor recabará información de tamaño y características de las Bases de


Datos, clasificándolas en relacionales y jerárquicas. Hallará un promedio de
número de accesos a ellas por horas o días. Esta operación se repetirá con los
archivos, así como la frecuencia de actualizaciones de los mismos.

Estos datos proporcionan una visión aceptable de las características de la


carga informática.

3. DETERMINACION DE RECURSOS DE LA AUDITORIA INFORMATICA

Con los resultados del estudio inicial realizado, se


procede a determinar el recurso humano y
material ha emplearse en la Auditoria.

Recursos materiales

Es importante su determinación, la mayoría son


proporcionados por el cliente, sobre el cual gravita
el aumento de carga e interferencias sobre el desarrollo de su trabajo, las
herramientas software del equipo auditor que se utiliza en el Sistema auditado,
por lo que han de convenirse en fechas y horas de uso entre auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a) Recursos materiales Software

Programas propios de la Auditoria. Se añaden a las ejecuciones de los


procesos del cliente pura verificar los recorridos de aquéllos.

Monitores. Se utilizan en la observación de la actividad Técnica de Sistemas


del auditado y de la cantidad y calidad de los datos ya existentes.
b) Recursos materiales Hardware:

Los recursos hardware que el auditor necesita son proporcionados por el


cliente, los procesos de control deben efectuarse en los Ordenadores del
auditado, por tanto debe convenir el tiempo de máquina y oportunidad de
fecha, hora y duración de las sesiones de medida.

Finalmente, se convendrán: Cantidad de pantallas, espacio en disco, montajes


de cintas, impresoras y líneas de comunicaciones a utilizarse en exclusiva, el
auditor deberá calcular con los incrementos de carga por él generados.

Recursos Humanos

La cantidad de recursos depende del volumen auditable. Las características y


perfiles del personal seleccionado dependen de la materia auditable.

En una Auditoria es habitual la presencia de personas no informáticas pero


expertas en temas de organización y análisis de costos, el equipo auditor no es
solo expertos es necesaria la cohesión con un informático generalista.

La Auditoria Informática es ejercida por profesionales universitarios y otras


personas de experiencia multidisciplinaria, en el siguiente cuadro se relaciona
los perfiles profesionales de un equipo auditor informático para una auditoria.

ACTIVIDADES Y CONOCIMIENTOS
PROFESION
DESEABLES
Experiencia en distintas ramas. Explotación y
Informático Generalista Desarrollo de Proy. Conocedor de Sistemas.

Experto en Desarrollo de Experiencia responsable de Proyectos. Analista.


Proyectos Conocedor de las metodologías de Desarrollo.

Experto en S. Operativos y Software Básico.


Técnico de Sistemas Conocedor de los Productos en el mercado. Amplios
conocimientos de Explotación.

Experto en Base de datos y Con experiencia en mantenimiento de BD.


Conocimiento de Productos compatibles y
administración de las mismas equivalentes. Conocimientos de Explotación.

Experto en Software de Especialización en Técnica de Sistemas.


Conocimientos de Redes y subsistemas de
Comunicaciones Teleproceso.

Experto en Explotación y Responsable de algún Centro de Cómputo.


Gestión de Centro de Proceso Experiencia en Automatización de Trabajos. Experto
de Datos en relaciones humanas.

Organizador y coordinador. Especialista en el análisis


Técnico de Organización de flujos de información.

Técnico de evaluación de Economista con conocimientos de informática. Gestión


Costos de Costos.
4. ELABORACION DEL PLAN Y DE LOS PROGRAMAS DE TRABAJO

Una vez asignadas los recursos, el


responsable de la Auditoria y sus
colaboradores establece un plan de trabajo.
Decidido éste, se procede a la programación
del mismo por parte del responsable de
cada sector o de cada especialista, que los
reportan el mencionando responsable de la
Auditoria para la aprobación final.

El Plan de Auditoria se elabora teniendo en


cuenta lo siguiente:

a) Si la Revisión ha de realizarse por áreas generales o áreas específicas. En


el primer caso, la elaboración final es más compleja y costosa, lo cual redonda
en una superior calidad.

b) Si la Auditoria es global, de toda la Informática, o parcial. El volumen


determina no solamente el número de auditores necesarios, sino las
especialidades necesarias de personal.

En el Plan no se consideran calendarios porque se manejan recursos


genéricos y no específicos.
En el Plan se establecen los Recursos y Esfuerzos globales que van a
ser necesarios.
El Plan establece las prioridades de materias auditables, de acuerdo
siempre con las prioridades del cliente.
El Plan establece la disponibilidad futura del personal y de los demás
recursos durante la duración de la Revisión.
El Plan estructura las tareas a realizar por cada integrante del equipo
En el Plan se expresan todas las ayudas que el auditor ha de recibir del
auditado.

Una vez elaborado el Plan, se procede a la Programación de actividades. Esta


ha de ser lo suficientemente flexible como para permitir modificaciones a lo
largo del proyecto.

Los Programas de Trabajo son las cuantificaciones del Plan. En ellos se


asignan los recursos humanos y materiales concretos para cada sector del
Plan. En Programa de Trabajo se establece el calendario real de actividades a
realizar. La Auditoria informática necesita de Planificación y Programación
detallada. Posee la naturaleza de un verdadero Proyecto, y por ello le son
aplicables las reglas generales de los mismos.
5. ACTIVIDADES DE LA AUDITORIA INFORMATICA

En este Apartado vamos a hacer un repaso de las


acciones auditoras, las técnicas concretas que se
utilizan y las herramientas de las que se ayudan.

Auditoria por temas generales o por áreas


específicas

La Auditoria informática general se realiza por áreas


generales o por áreas específicas. El método de trabajo es diferente:

Si se examina por temas, resulta mayor calidad, empleo de más tiempo y


mayores recursos. En la Seguridad revisamos: la seguridad, la identificación de
la Dirección con el modelo informático, la percepción de usuarios finales
respecto a la Explotación, el Desarrollo, etc., y finalmente el funcionamiento de
la informática.

Cuando la Auditoria se realiza por áreas específicas, se abarcan todas las


peculiaridades que afectan a las mismas, el resultado es rápido y con menor
calidad. Cuando se aborda la Auditoria de Desarrollo, se tienen en cuenta los
factores que afectan, como la Seguridad, la percepción del usuario, etc.
Finalizada la revisión del área de Desarrollo, no es preciso volver sobre el
mismo concepto, si no comenzar el análisis de otra rama específica,
Explotación por ejemplo.

Técnicas de trabajo

Análisis de la información recabada del auditado


Análisis de la información propia.
Cruzamiento de las informaciones anteriores.
Entrevistas
Simulación
Muestreos

Herramientas

Cuestionario general inicial


Cuestionario-Checklist.
Estándares.
Monitores.
Simuladores (Generadores de Datos).
Paquetes de Auditoria (Generadores de Programas).
Matrices de Riesgo.

Es conveniente ahondar en este último concepto. Las matrices de riesgo tienen


la doble particularidad de que deben ser incorporadas al Informe Final y de que
pueden considerarse también como elementos decisorios para la realización de
una Auditoria Informática de Seguridad.
6. INFORME FINAL

La función auditora se materializa


exclusivamente por escrito. El auditor avala
personalmente su juicio de forma documental.

La elaboración del Informe Final es la única


referencia constatable de toda Auditoria, y el
exponente de su calidad, la necesidad de
redactar borradores e informes parciales previo
al citado informe final, es el método más
adecuado para equilibrar las técnicas analíticas utilizadas durante la Auditoria,
con las sintéticas que la confección del informe necesita.

Los borradores e informes parciales son elementos de contraste de opiniones


entre auditor y auditado y pueden descubrir fallos de apreciación en el auditor.

La Auditoria difiere de cualquier actuación coercitiva. El auditado no es un


acusado sino un profesional informático. La ética auditora ha de facilitar la
información aproximada, pero clara, de los resultados provisionales de aquél.

Estructura del Informe Final

El Informe se inicia con fecha de inicio de la Auditoria y fecha de redacción del


mismo. Se incluye nombres del equipo auditor y de personas entrevistadas,
con indicación de la Jefatura, responsabilidad o puesto de trabajo que ostente.

Tras estos prologo, se expondrá lo siguiente:

1. Definición de objetivos y alcance de la Auditoria


2. Enumeración de temas considerados
3. Cuerpo expositivo

Para cada tema objeto de Auditoria, se seguirá el siguiente orden, a saber:

a) Situación actual. Se analiza una situación, su evolución en el tiempo, se


expondrá la situación prevista y la situación real.
b) Tendencias. Se tratarán de hallar parámetros que permitan establecer
tendencias de situación futura. No siempre es posible tal pretensión.
c) Puntos débiles y amenazas. Deberán explicarse por sí mismos, sin
referencias a otros lugares del informe.
d) Recomendaciones y Planes de Acción. Constituyen con la exposición de
puntos débiles, el verdadero objeto de la Auditoria informática.
e) Redacción posterior de la Carta de Introducción o Presentación.

Modelo conceptual de exposición del informe final

El modelo de Informe final de Auditoria informática por el que hemos optado es


utilizado por Compañías y auditores independientes prestigiosos. Se basa en
los dos principios fundamentales:
A) El Informe debe incluir solamente hechos importantes.

La inclusión de hechos poco relevantes o accesorios desvía la atención del que


lo lee y desvirtúa el informe en su conjunto.

B) El Informe debe consolidar los hechos que se describen en el mismo.

En Auditoria el término "hechos consolidados" adquiere un especial significado


de verificación objetiva y estar documentalmente probados y soportados.

La consolidación de los hechos debe satisfacer los siguientes criterios:

1. El hecho que se incluya debe poder ser sometido a cambio.


2. Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situación.
3. No deben existir alternativas viables que superen, por más beneficiosos
y por mejor ratio prestación/ costo, al cambio propuesto.
4. La recomendación del auditor sobre el hecho ha de mantener o mejorar
las Normas y estándares existentes en la instalación.

La aparición de un hecho en un informe de Auditoria implica necesariamente la


existencia de una debilidad que ha de ser corregida. Veamos el modelo de flujo
del hecho o debilidad, y el orden, desde su aparición hasta la recomendación
del auditor para eliminarla:

1. Hecho encontrado

Ha de ser relevante para el auditor y para el cliente.


Ha de ser exacto, y además convincente.
No deben existir hechos repetidos. Deben procurarse evitar incluso las
referencias y alusiones a otros hechos.

2. Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente


deducibles del hecho.

3. Repercusión del hecho

Se redactará, si existe influencias directas que el hecho pueda tener


sobre otros aspectos o ámbitos informáticos de la empresa auditada.

4. Conclusión del hecho

No deben redactarse conclusiones más que en los casos en la


exposición haya sido muy extensa y compleja.

5. Recomendación del auditor informático

Siempre se explicitará la palabra "Recomendación", y ninguna otra.


Deberá entenderse por sí sola, por su simple lectura.
Deberá estar suficientemente soportada en el propio texto.
Ser concreta y exacta en el tiempo y verificada su implementación.
Se redactará de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
Deberán evitarse Recomendaciones generales.

7. CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL

La Carta de Introducción tiene especial importancia


porque en un máximo de 3 ó 4 folios ha de resumirse
la Auditoria realizada.

Es de naturaleza sumamente restrictiva:

Se destina exclusivamente al responsable máximo


de la empresa, o a la persona concreta que encargó
o contrató la misma, o a la persona en quién ella
hubiese delegado expresamente, así como pueden
existir tantas copias del Informe Final como solicite el
cliente, siempre que éste especifique los nombres de los destinatarios, la
Auditoria no hará copias de la citada Carta de Introducción.

Se entiende que la Carta de Presentación del Informe debe sintetizar al


máximo el contenido de aquél. El máximo responsable del cliente debe
formarse una idea aproximada de la situación con la lectura de esta Carta.

La misma, poseerá los siguientes atributos:

Tendrá una longitud máxima de 4 folios, aunque la Auditoria tenga


centenares de ellos.
Incluirá fecha, naturaleza, objetivos y alcance.
Cuantificará la importancia de las áreas analizadas.
Proporcionar una conclusión, concretando las áreas de debilidad.
Presentar las debilidades en orden de gravedad, mayor a menor.
En la Carta de Introducción no se escribirán nunca Recomendaciones.

Pautas de Lenguaje y redacción del informe

Títulos: Han de ser expresivos, pero breves.

Párrafos: En cada párrafo debe tratarse un solo asunto. Cada párrafo debe
tener 8 ó 10 líneas máximo. Cuando exceda se dividirá en dos.

Frases: En cada frase debe existir una sola idea. La idea suele ser expresada
por el verbo. Por ello, cada frase contendrá un verbo, dos como máximo.

La frase no debe superar las tres líneas.


No deben cambiarse verbos por nombres. Ejemplo "... hemos realizado un
examen..."; hay que escribir "... hemos examinado...".

Otros:

Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten


anglicismos y palabras técnicas muy conocidas.
Utilizar la voz activa o reflexiva, pero nunca la pasiva.
Omitir palabras innecesarias. No deben usarse expresiones como "Con
referencia a", "en nuestra opinión", "creemos que", etc.
Evitar redundancias de lenguaje. ejemplo, "hemos revisado y analizado".
No expresarse por medio de adverbios y adjetivos simultáneamente.
Ejemplo: No debe redactarse "es estrictamente necesario que.".