Revisin Preliminar

Revisin Detallada

Examen y Evaluacin de la Informacin

Pruebas de consentimiento

Pruebas de Controles de los Usuarios

Pruebas Sustantivas

Evaluacin de los Sistemas de Acuerdo al Riesgo

Requerimientos de una auditora

Personal Participante

Ing. Jess Eduard Lpez Q.

REVISIN PRELIMINAR:

Es el primer paso en el desarrollo de la auditora,
despus de la planeacin.

Objetivo:

Obtener informacin necesaria para que el

auditor pueda tomar la decisin de cmo proceder
en la auditora.

REVISIN PRELIMINAR:

Al terminar la RP puede proceder a seguir uno de los
tres caminos:

Diseo de la Auditora

Realizar una
revisin detallada
de los CI

Decidir no confiar en los CI

1

La Revisin Preliminar (RP) significa la recoleccin de
evidencias por medio de entrevistas con el personal de la
instalacin, la observacin de las actividades en la
instalacin y la revisin de la documentacin preliminar.

La RP realizada por un Auditor Interno difiere de la

realizada por un auditor externo en:

El AI normalmente requiere de menos

1 revisiones y trabajos.

El AE se enfoca ms en las causas de las

2 prdidas y en los controles necesarios

para justificar sus decisiones.

Si el auditor interno supone serias

debilidades en los CI, en lugar de

3 proceder directamente con las pruebas

sustantivas deber continuar con la fase
de revisin detallada.

REVISIN DETALLADA:

Objetivo:
Obtener la informacin necesaria para que el auditor tenga un
profundo entendimiento de los controles usados dentro del
rea de informtica.

Aqu el auditor decide:

Pruebas de consentimiento o pruebas sustantivas?

2
REVISIN DETALLADA:

En esta fase es importante para el auditor identificar las
causas de las prdidas existentes dentro de la instalacin y
los controles para reducir las prdidas y los efectos
causados por esta.

Los mtodos de obtencin de informacin son los mismos

usados en la investigacin preliminar y lo nico que difiere
es su profundidad con la que se obtiene y evala.

El auditor debe evaluar si los controles escogidos son

ptimos:

Si provocan un sobre control.

Si se logra un satisfactorio nivel de control usando menos

controles o controles menos costosos.

Si el auditor considera que los CI no son satisfactorios, en

lugar de proceder directamente a revisar, a probar controles

alternos o realizar pruebas sustantivas y procedimientos,

debe sealar recomendaciones para mejorar los controles de

los sistemas.

3
EXAMEN Y EVALUACIN DE LA INFORMACIN:

Los auditores internos debern obtener, analizar,

interpretar y documentar la informacin para apoyar los
resultados de la auditora. El proceso de examen y
evaluacin de la informacin es el siguiente:

1. Se debe tener la informacin de todos los asuntos

relacionados con los objetivos y alcances de la Auditora.

EXAMEN Y EVALUACIN DE LA INFORMACIN:

2. La informacin deber ser suficiente, competente,
relevante y til para que proporcione bases slidas en
relacin con los hallazgos y recomendacin de la
auditora.

3. Los procedimientos de auditora debern ser elegidos con

anterioridad, cuando esto sea posible, modificarse
cuando las circunstancias lo requieran.

3. El proceso de recabar, analizar, interpretar y documentar

la informacin deber supervisarse para proporcionar
una seguridad razonable de que la objetividad del auditor
se mantuvo y que las metas de la auditora se cumplieron.

4. Los documentos de trabajo de la auditora debern ser

preparados por los auditores y revisados por la gerencia
de auditora.

4

El director de auditora en
informtica deber establecer un
programa para seleccionar y
desarrollar los recursos, el cual
debe contemplar:

 Descripciones de puestos por cada nivel de AI.

 Seleccin de individuos calificados y competentes.

 Entrenamiento y oportunidad de capacitacin

profesional para todos y cada uno de los auditores.

 Evaluacin del trabajo de cada uno de los auditores

por lo menos una vez al ao.

 Asesora a los auditores en lo referente a su trabajo y

a su desarrollo profesional.

El director de auditora informtica deber establecer y

mantener un programa de control de la calidad para evaluar
las operaciones de su equipo de trabajo. Este programa
deber incluir:

5
PRUEBAS DE CONSENTIMIENTO:
Objetivo:

Determinar si los CI operan como fueron diseados para operar. El
auditor debe determinar si los controles declarados en realidad existen y si
en realidad trabajan confiablemente.

Adems de las tcnicas manuales de recoleccin es muy frecuente que el

auditor recurra a tcnicas de recoleccin de informacin asistidas por
computadora, para determinar la existencia y confiabilidad de los
controles. Por ejemplo para determinar la existencia y confiabilidad de los
controles de un sistema de red, se requerir el entrar a la red y evaluar
directamente al sistema.

PRUEBAS DE CONTROLES DEL USUARIO:

En algunos casos el auditor puede decidir el no confiar en los

controles internos dentro de las instalaciones informticas,
porque el usuario ejerce controles que compensan cualquier
debilidad dentro de los CI de informtica.

Las pruebas que compensan las deficiencias de los

controles internos se pueden realizar mediante
cuestionarios, entrevistas, vistas y evaluaciones hechas
directamente con los usuarios.

PRUEBAS SUSTANTIVAS:
Objetivo:

Obtener evidencia suficiente que permita al auditor emitir
su juicio en las conclusiones acerca de cuando pueden
ocurrir prdidas materiales durante el procesamiento de la
informacin.

6
Pruebas Sustantivas:
Se pueden identificar ocho diferentes pruebas sustantivas:

1. Pruebas para identificar errores en el procesamiento o de falta

de seguridad o confidencialidad.
2. Pruebas para asegurar la calidad de los datos.
3. Pruebas para identificar la inconsistencia de los datos.
4. Pruebas para comparar con los datos o contadores fsicos.
5. Confirmacin de datos con fuentes externas.
6. Pruebas para confirmar la adecuada comunicacin.
7. Pruebas para determinar la falta de seguridad.
8. Pruebas para determinar problemas de legalidad.

El auditor debe participar en tres estados del sistema

Durante la fase de diseo del sistema

Durante la fase de operacin

Durante la fase posterior a la auditoria

Para realizar una auditora en informtica el auditor necesita

dividir los sistemas en una serie de subsistemas para identificar las
actividades bsicas que se realizan en estos subsistemas, adems
de hacer una evaluacin de estos subsistemas tiene que llegar a
una evaluacin global sobre la confianza total del sistema.

Los pasos que involucran una auditora en informtica:

Realizar una investigacin preliminar del rea de informtica

Si el auditor determina confiar en los CI, se realiza una

investigacin detallada.

El auditor prueba la confianza sobre aquellos controles

que son crticos.

Se realizan pruebas sustantivas de los procedimientos.

El auditor debe dar una opinin.

7
 Evaluacin de los sistemas de acuerdo al
riesgo

Una de las formas de evaluar la importancia que puede
tener para la organizacin un determinado sistema es
considerar el riesgo que implica el que no sea
adecuadamente utilizado, la prdida de informacin o bien
que sea usado por personal ajeno a la organizacin.

Algunos sistemas de aplicaciones

son de ms alto riesgo que otros
debido a que:

 Son susceptibles a diferentes tipos de prdida econmica.

 Las fallas pueden impactar grandemente a la organizacin.
 Los sistemas le dan a la empresa un nivel competitivo muy alto
dentro de un mercado.
 Sistemas de tecnologa de punta.
 Sistemas que son muy costosos de desarrollar, los cuales son
frecuentemente sistemas complejos que pueden presentar
muchos problemas de control.

Requerimientos de una Auditora:

A nivel organizacional:

Objetivos a corto y largo plazo.

Misin, Visin y Valores.

Antecedentes de la empresa

Organigrama

Funcin de cada uno de los departamentos.

Relaciones entre las diversas reas del negocio

Polticas Generales.

8
A nivel del rea de informtica:

Objetivos a corto y largo plazos.

Manual de Funciones (Fichas ocupacionales).

Manual de polticas, reglamentos internos y
lineamientos generales.

Nmero de personas y puestos en el rea.

Procedimientos administrativos del rea.

Presupuestos y costos del rea.

Recursos Materiales y Tcnicos:

Solicitar documentos sobre los equipos, as como el nmero de
ellos, su localizacin y sus caractersticas (de los equipos
instalados, por instalar y programados).

Estudio de viabilidad.

Fechas de instalacin de los equipos y planes de instalacin.

Contratos vigentes de compra, renta y servicio de
mantenimiento.

Contratos de seguros.

Convenios que se tienen con otras instalaciones.

Configuracin de los equipos y capacidades actuales y mximas.

Recursos Materiales y Tcnicos:

Configuracin de equipos de comunicacin(redes internas
y externas) y localizacin de los equipos.

Planes de expansin.

Ubicacin general de los equipos.

Polticas de operacin.

Polticas del uso de los equipos.

Polticas de seguridad fsica y prevencin contra

contingencias internas y externas.

9
Sistemas:

Descripcin general de los sistemas instalados y de los que
estn por instalarse.

Manual de procedimientos de los sistemas.

Descripcin genrica.

Diagramas de entrada, archivos, salidas.

Fecha de instalacin de los sistemas.

Proyecto de instalacin de nuevos sistemas.

Bases de datos, propietarios de la informacin y usuarios de
la misma.

Procedimientos y polticas en caso de desastre.

Sistemas propios y/0 legalidad de los mismos.

Antes de concluir esta etapa no se olvide de:

Estudiar hechos y no opiniones.

Enfocarse en las causas y no en los efectos.

Atender razones, no excusas.

No confiar en la memoria, preguntar constantemente.

Criticar objetivamente a fondo todos los informes y los
datos recabados.

Personal Participante:

El nmero de ellos depende de las dimensiones de la
organizacin, de los sistemas y de los equipos.

El personal debe estar debidamente capacitado

(conocimiento y experiencia) en reas especificas
como bases de datos, hardware, software y
comunicaciones, y con un alto sentido de moralidad.

Se debe contar con personas asignadas por los

usuarios.

10
 Gracias por su Atencin!

REALIZAR UN ESTUDIO SOBRE

COBIT 4 O COBIT 5 MINIMO 10
PAGINAS FECHA DE ENTREGA 31
DE OCTUBRE

METODOLOGIAS

Hacen referencia al conjunto de procedimientos
racionales utilizados para alcanzar una gama de
objetivos que rigen una investigacin cientfica, tareas
que requieran habilidades, conocimientos o cuidados
especficos.

METODOLOGIAS DE EVALUACION DE
SISTEMAS

Auditora Informtica  Solo identifica el nivel de

exposicin por falta de controles.

Anlisis de Riesgos  Facilita la evaluacin de los

riesgos y recomienda acciones en base al costo-
beneficio de las mismas.

11
TIPOS DE METODOLOGIAS

Cuantitativas  Basadas en un modelo matemtico
numrico que ayuda a la realizacin del trabajo.

Cualitativas  Basadas en un criterio y raciocinio
humano capaz de definir un proceso de trabajo, para
seleccionar en base a experiencia acumulada.

Las metodologas ms comunes de evaluacin

de sistemas que podemos encontrar son de
anlisis de riesgos y de diagnsticos de
seguridad, las de plan de contingencias, y las
de auditora de controles generales.

PASOS DE LA METODOLOGIA
Identificacin de la informacin.
Inventario de entidades de informacin residentes y
operativas.
Identificacin de Propietarios
Definicin de jerarquas de Informacin.
Definicin de la matriz de Clasificacin.
Confeccin de la matriz de Clasificacin.
Realizacin del plan de Acciones.
Implantacin y Mantenimiento.

EL CONTROL INTERNO SISTEMAS

INFORMATICOS
El control de sistemas informtico es el componente de
la actuacin segura entre los usuarios, la informtica y
control interno, todos ellos auditados por auditora
informtica

12
CONTROL INTERNO INFORMATICO

La Funcin de Control
La tendencia generalizada es contemplar al lado de la figura del auditor
informtico, la de control interno informtico.
I.S.A.C.A. ( INFORMATION SYSTEMS AUDIT AND CONTROL
ASSOCIATION, ASOCIACION DE AUDITORIA Y CONTROL DE
SISTEMAS DE INFORMACION )
La funcin de Control Informtico Independiente debera ser en
primer lugar independiente de l. La seguridad de sistemas abarca
un campo mucho mayor de lo que es la seguridad lgica,
podramos decir que:
El rea Informtica monta los procesos informticos seguros.
 El Control Interno monta los controles.

 La Auditoria Informtica evala el grado de control.

CONTROL INTERNO INFORMATICO

Funciones de control dual con otros departamentos.
1. Funcin normativa y del cumplimiento del marco jurdico.
2. Tiene funciones propias ( Administracin de la Seguridad
lgica , etc.)

Responsable del desarrollo y actualizacin del plan de
contingencias, manuales de procedimientos y plan de seguridad.
1. Dictar normas de seguridad informtica.
2. Definir los procedimientos de control.
3. Control de soportes fsicos.
4. Control de informacin sensible o comprometida.
5. Control de calidad del servicio informtico.
6. Definicin de requerimientos de seguridad en proyectos
nuevos.
Control de cambios y versiones.

LOS METODOS Y PROCEDIMIENTOS DE

CONTROL

Son los procedimientos operativos de las
distintas reas de la empresa, obtenidos con
una metodologa apropiada, para la
consecucin de uno o varios objetivos de
control, y por lo tanto deben estar
documentados y aprobados por la Direccin.

13
Metodologa para la Auditoria

Tradicionalmente la auditoria era definida como el examen
hecho por una persona o firma de auditores para
proporcionar informacin sobre el desenvolvimiento y
situacin de la empresa a otra u otras personas o entidades
oficiales y sub propsito final, el de detectar fraudes o fallas
y hacer las recomendaciones para prevenirlas.

Se puede afirmar que la palabra mtodo tiene diferentes

aceptaciones, Camino a travs del cual el investigador trata de
acercarse a la realidad, Proceso empleado para obtener un
conocimiento universalmente verdadero, procedimiento
analtico de validacin de teoras cientficas.

El trmino en auditoria, abarca conceptos que se complementan:

como actitud.

Como procedimiento metodolgico

Como actitud debe entenderse la responsabilidad que asume la

persona que efecta un trabajo debido a las implicaciones
sociales, econmicas, ticas y jurdicas que este conlleva. Adems
se debe partir del hecho que el auditor puede conocer un
mtodo universal pero que particulariza cuando se enfrenta al
tipo de problema que se desea dilucidar.

Pero, Por qu se habla de actitud en auditoria? Se entiende
como tal aquella posicin que debe tomar y los modales que
debe observar el profesional al desarrollar su trabajo. Esta regida
por algunos aspectos de espacio y de fundamentacin personal:

14

De espacio porque el auditor debe enfrentarse fundamentalmente al
rea de la empresa que debe investigar (a la materia sobre la que se
ha solicitado dictamen o informe).

De fundamentacin personal porque el auditor:

Debe ser imparcial (independiente) al expresar sus juicios.

Basar sus juicios y apreciaciones sobre aquella evidencia que

pueda obtener de manera razonable.

Considerar hasta donde le est permitido informar en un caso

determinado

Ser responsable por el informe no solo a nivel profesional sino a

nivel individual.

El auditor que desee realizar un buen trabajo profesional debe

tener especial inters en la evidencia. Una vez que se haya
obtenido esta, la estudia, la analiza y la evala antes de llegar a
emitir juicio.

Pero esto tiene sus limitaciones; el auditor debe emitir el juicio

en un tiempo determinado y a un costo razonable. En esto se
diferencia del investigador puro ya que puede proseguir hasta
obtener una evidencia casi absoluta el auditor en algunos casos
tiene que aceptar las situaciones detectadas aunque no lo
convenzan plenamente.

Como procedimiento metodolgico, nuestro principal

objetivo es comparar los procedimientos metodolgicos
seguidos por la auditoria frente a los de la investigacin de
las ciencias.

En Lgica, Leonel Rudy menciona ocho(8) etapas que

puede seguir el investigador que se esquematiza a
continuacin.

15
 Observacin de hechos
Formulacin del problema
pertinentes al problema

Consideracin de la Uso de conocimientos

informacin preliminar anteriores

Conclusiones: Se confirma Formulacin de la

o no la hiptesis hiptesis

Deducciones de las
Prueba de hiptesis implicaciones de la
hiptesis

Y frente a estos pasos Qu podra plantearse como metodologa

para la investigacin de los problemas de carcter financiero,
administrativo, operacional o de otra ndole de la empresa que en
muchos casos tratan detectarse en auditoria?

Haciendo la salvedad de que la auditoria se enfrenta a los

problemas de tipo social (de valores) y a los de las ciencias
naturales (comportamientos, hechos) y que por tanto debera
usar dos 2 mtodos diferentes tambin se esquematizan 8 pasos
que se sugieren como metodologa de una investigacin en
auditoria.

Observacin de hechos Subdivisin del problema

relacionados con el total en problemas
problema individuales

Determinacin de la
Reconocimiento de los
evidencia relacionada con
problemas que comprende
cada problema

Formulacin del juicio Seleccin de tcnicas de

Forma individual auditoria aplicables y
Totalmente desarrollo de
procedimientos apropiados

Evaluacin de la
evidencia respecto a la
pertinencia y validez.
Respecto a si son o no Ejecucin de pruebas para
adecuadas para la obtener evidencia
informacin de juicios

16

Se pueden establecer algunos aspectos que permiten notar o
semejanzas o diferencias entre el mtodo de las ciencias y el de la
auditoria.

Sujeto. El investigador nace y se hace; al auditor lo hacen.

El investigador busca estmulos, satisfacciones personales y atrae
hacia si datos originales, el auditor recibe estmulos y/o
motivaciones econmicas por la investigacin, revisin y opinin
queda sobre determinada rea o funcin de la organizacin, no
obstante ello no implica que en ocasiones se encuentre entre
datos hechos o casos muy especiales.

Objetivos. El investigador busca la verdad por s misma, el

auditor busca la verdad til con la cual trata de satisfacer las
necesidades de los usuarios. El auditor se propone dar una
opinin o un informe sobre unos estados financieros en general,
sobre una parte de ellos, sobre la correcta aplicacin del proceso
administrativo por la gerencia, sobre las operaciones, o sobre
aspectos sociales de la empresa.

El investigador trata de explicar algo desconocido, algo que va a

generar un conocimiento o revisar una teora propuesta, o a
confirmar una hiptesis que entraran en la corriente del
conocimiento universal.

Tcnicas. El auditor recurre a datos o experiencias pasadas; estudia y

evala el control interno, aplica tcnicas (observacin, medicin,
comunicacin, clculos, generalizaciones, etc.) y procedimientos
propios de su campo de trabajo, recurre a la gerencia para la discusin
de casos especiales, consulta papeles de trabajo y procura obtener
informacin que le ayude a enfocar el problema en forma general.

El investigador recurre a lo que puede sacar de sus deducciones lgicas

o de su experiencia, aplica mtodos y tcnicas de investigacin, analiza
variables, por tanto, existe ntima relacin entre las tcnicas del
investigador y las tcnicas del auditor y podran aplicarlas
indistintamente aunque con diferente grado de integridad.

17

Comportamiento del auditor frente al problema:

La empresa es un complejo mundo que conlleva mltiples problemas.

El auditor trata de detectar esos problemas ya sea en el campo

administrativo, operativo, financiero, econmico o social. Luego divide
esos problemas en partes ms pequeas las cuales estn ntimamente
relacionadas con el todo.

1 Alcance y objetivos de
la auditoria

2. Estudio preliminar
del entorno auditable
2.c Aplicaciones de bases
2.a Organizacin de datos y archivos
2.b Entorno operacional

3. Recursos de la
auditoria informtica

4. Elaboracin del plan

5. Actividades de la
Tcnicas de trabajo auditoria informtica Herramientas

6. Informe Final

7. Carta de presentacin
del informe final

HERRAMIENTAS Y TCNICAS PARA LA AUDITORA

INFORMTICA

Cuestionarios:

Las auditoras informticas se materializan recabando informacin y

documentacin de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes entornos.

El trabajo de campo del auditor consiste en lograr toda la informacin necesaria
para la emisin de un juicio global objetivo, siempre amparado en hechos
demostrables, llamados tambin evidencias.

Para esto, suele ser lo habitual comenzar solicitando el llenado de cuestionarios
preimpresos que se envan a las personas concretas que el auditor cree
adecuadas, sin que sea obligatorio que dichas personas sean las responsables
oficiales de las diversas reas a auditar.

18

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones
distintas, sino diferentes y muy especficos para cada situacin, y muy
cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza la documentacin recibida, de

modo que tal anlisis determine a su vez la informacin que deber
elaborar el propio auditor. El cruzamiento de ambos tipos de
informacin es una de las bases fundamentales de la auditora.

Cabe aclarar, que esta primera fase puede omitirse cuando los auditores
hayan adquirido por otro medios la informacin que aquellos
preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuacin las relaciones personales con

el auditado. Lo hace de tres formas:

Mediante la peticin de documentacin concreta sobre alguna
materia de su responsabilidad.

Mediante "entrevistas" en las que no se sigue un plan
predeterminado ni un mtodo estricto de sometimiento a un
cuestionario.

Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividades personales ms

importante del auditor; en ellas, ste recoge ms
informacin, y mejor matizada, que la proporcionada por
medios propios puramente tcnicos o por las respuestas
escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes, la
entrevista entre auditor y auditado se basa
fundamentalmente en el concepto de interrogatorio; es lo
que hace un auditor, interroga y se interroga a s mismo.

19

El auditor informtico experto entrevista al auditado
siguiendo un cuidadoso sistema previamente establecido,
consistente en que bajo la forma de una conversacin
correcta y lo menos tensa posible, el auditado conteste
sencillamente y con pulcritud a una serie de preguntas
variadas, tambin sencillas. Sin embargo, esta sencillez es
solo aparente.

Tras ella debe existir una preparacin muy elaborada y
sistematizada, y que es diferente para cada caso particular.

Checklist:

El auditor profesional y experto es aqul que reelabora muchas

veces sus cuestionarios en funcin de los escenarios auditados.

Tiene claro lo que necesita saber, y por qu. Sus cuestionarios son
vitales para el trabajo de anlisis, cruzamiento y sntesis
posterior, lo cual no quiere decir que haya de someter al auditado
a unas preguntas estereotipadas que no conducen a nada. Muy
por el contrario, el auditor conversar y har preguntas
"normales", que en realidad servirn para el llenado sistemtico
de sus Cuestionarios, de sus Checklists.

Checklist

Muy por el contrario, el auditor conversar y har preguntas
"normales", de sus Checklists.

Segn la claridad de las preguntas y el talante del auditor,

el auditado responder desde posiciones muy distintas y
con disposicin muy variable.

20
Checklist.

El auditor deber aplicar el Checklist de modo que el
auditado responda clara y escuetamente. Se deber
interrumpir lo menos posible a ste, y solamente en los
casos en que las respuestas se aparten sustancialmente de
la pregunta.

Algunas de las preguntas de las Checklists utilizadas para

cada sector, deben ser repetidas.

Checklist

Los cuestionarios o Checklists responden
fundamentalmente a dos tipos de "filosofa" de calificacin
o evaluacin:

CHECKLIST DE RANGO

CHECKLIST BINARIA

CHECKLIST DE RANGO

Contiene preguntas que el auditor debe puntuar dentro de
un rango preestablecido

(por ejemplo, de 1 a 5, siendo 1 la respuesta ms

negativa y 5 el valor ms positivo)

21
CHECKLIST DE RANGO

Ejemplo de Checklist de rango:

Se supone que se est realizando una auditora sobre la

seguridad fsica de una instalacin y, dentro de ella, se
analiza el control de los accesos de personas y cosas al
Centro de datos.

CHECKLIST DE RANGO

Podran formularse las preguntas que figuran a
continuacin, en donde las respuestas tiene los siguientes
significados:

1 : Muy deficiente.

2 : Deficiente.

3 : Mejorable.

4 : Aceptable.

5 : Correcto.

CHECKLIST DE RANGO

Se figuran posibles respuestas de los auditados.

Las preguntas deben sucederse sin que parezcan

encorsetadas ni clasificadas previamente.

Basta con que el auditor lleve un pequeo guin.

La calificacin del Checklist no debe realizarse en

presencia del auditado.

22
CHECKLIST BINARIA

Es la constituida por preguntas con respuesta nica y
excluyente:

Si o No.

Aritmticamente, equivalen a 1(uno) o 0(cero),

respectivamente.

CHECKLIST BINARIA

Ejemplo de Checklist Binaria:

Se supone que se est realizando una Revisin de los

mtodos de pruebas de programas en el mbito de
Desarrollo de Proyectos.

-Existe Normativa de que el usuario final compruebe los

resultados finales de los programas?

<Puntuacin: 1>

CHECKLIST BINARIA

-Conoce el personal de Desarrollo la existencia de la anterior
normativa?

<Puntuacin: 1>

-Se aplica dicha norma en todos los casos?

<Puntuacin: 0>

Los Checklists de rango son adecuados si el equipo auditor no es
muy grande y mantiene criterios uniformes y equivalentes en las
valoraciones. Permiten una mayor precisin en la evaluacin que
en los checklist binarios.

23
Metodologa CRMR (Evaluacin de la gestin de
recursos informticos).

La metodologa abreviada CRMR es ms aplicable a

deficiencias organizativas y gerenciales que a problemas
de tipo tcnico, pero no cubre cualquier rea de un
Centro de Procesos de Datos.

Metodologa CRMR (Evaluacin de la gestin de

recursos informticos).

El mtodo CRMR puede aplicarse cuando se producen algunas
de las situaciones que se citan:

Se detecta una mala respuesta a las peticiones y necesidades de

los usuarios.

Los resultados del Centro de Procesos de Datos no estn a

disposicin de los usuarios en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por fallos

de datos o proceso.

Metodologa CRMR (Evaluacin de la gestin de

recursos informticos).

El mtodo CRMR puede aplicarse cuando se producen algunas
de las situaciones que se citan a continuacin:

Se detecta una mala respuesta a las peticiones y necesidades

de los usuarios.

Los resultados del Centro de Procesos de Datos no estn a

disposicin de los usuarios en el momento oportuno.

Se genera con alguna frecuencia informacin errnea por

fallos de datos o proceso.

24
Metodologa CRMR (Evaluacin de la gestin de
recursos informticos).

Existen sobrecargas frecuentes de capacidad de proceso.

Existen costes excesivos de proceso en el Centro de Proceso de

Datos.

Efectivamente, son stas y no otras las situaciones que el auditor

informtico encuentra con mayor frecuencia.

Aunque pueden existir factores tcnicos que causen las

debilidades descritas, hay que convenir en la mayor incidencia de
fallos de gestin.

Metodologa CRMR (Evaluacin de la gestin de

recursos informticos).

reas de aplicacin:

Las reas en que el mtodo CRMR puede ser aplicado se corresponden
con las sujetas a las condiciones de aplicacin sealadas en el punto
anterior:

Gestin de Datos.

Control de Operaciones.

Control y utilizacin de recursos materiales y humanos.

Interfaces y relaciones con usuarios.

Planificacin.

Organizacin y administracin.

Ejemplo

Checklist

Dependiendo de los sistemas a auditar, versiones, polticas de

seguridad y objetivos de la empresa, niveles de criticidad de datos y
sistemas, estndares, entre otros aspectos, cada auditor debe disponer
de herramientas adecuadas para realizar la auditora. A continuacin se
presenta un ejemplo de un de lista de chequeo utilizado por una
empresa para auditar procesos de adquisicin, instalacin y
actualizacin de Sistemas operativos.

25
26

Si se observa el listado anterior, el instrumento tiene un
alcance limitado a aspectos generales de SO nuevos o de
actualizaciones. En esta lista no se consideran detalles
como las caractersticas de contraseas o configuraciones
relacionadas con la red, aunque si se indaga sobre la
existencia de polticas que eventualmente podra contener
esta informacin.

Gracias.

27