30 ‘* Los métodos empleados para salvaguardar los activos de diferentes tipos casirero2 _de iesges tales como: robo, incendie .ctividades impropias o ilegales, a como de elementos naturales como terremotos, inundaciones, eteétera Los auditores deberdn evaluar si el empleo de los recursos se realiza en forma econdmica y eficiente Uso eficionto La administracién os responsable de establecer estindares de operacién para de recursos medir la eficiencia y economi $0 de los recursos. Los auditores internos son responsables de determina si © Losesténdares para medir la economia y eficiencia en el uso de los recursos son los adecuados. # Los estindares de operacidn establecidos han sido entendidos y se cum: Las desviaciones a los estandares de operaciGn se identifican, analizan y se comunican a los responsables para que tomen las medidas correctiva: * Se toman las medidas correctivas. Jeberan identificar situaciones tales com vedim ntos que no justifican su costo 50 0 insuficiencia de personal Uso indebido de las instalacio Los auditores deberdn revisar las operaciones 0 programas para cerciorat si los resultados son consistentes con los objetivos y metas establecidos y si s operaciones o programas se llevan a cabo como se planearor Pianeacion pe La AUDIToRIA EN INFORMATICA Para hacer una adecuada planeacién de la auditoria en informatica hay que seguir una serie de pasos previos que permitirén dimensionar el tamafio y ca acteristicas del area dentro del organismo a auditar, sus sistemas, organiza cidn y equipo. Con ello podremos determinar el neimero y caracteristicas del personal de auditorfa, las herramienta: ‘saris, el tiempo y costo, asi coma definir los alcances de 1a auditoria para, en caso necesario, poder elaborar el contrato de servicio: Dentro de la auditoria en general, la planeacién es uno de los pasos més importantes, ya que una inadecuada planeaciGn provocard una serie de proble- plimiento, sob efectie a Eat lara © Elest + Laobte © Ladete © Elestal involuc © La real familia cién de promov + Laprep + Ladetey dos de! = Laobt En el ca ues habra ¢ Para loge informacién 5 evaluar. Par trevistas pre debers incluis solicitar o fon EI proces + Metas * Programa * Planes de Informes ¢ Las metasates tipe mas que pueden impedir que se cumpla con la auditoria o bien hacer que no se gales, asi efectie con el profesionalismo que debe tener cualquier auditor tera El trabajo de auditoria debers incluir la planeacién de la auditoria, el exa meny la evaluacién de a informacién, la comunicacién de los resultados y el El establecimiento de los objetivos y el alcance del trabajo. Laobtencicn de informacion deapoyo sobre las actividades que se auditaran. La determinacién de los recursos necesarios para realizar la auditoria, Fl establecimiento de la comunicacién necesaria con todos los que estarén involucrados en la auditoria. * La realizacién, en la forma més apropiada, de una inspeccisn fisica para familiarizarse con las actividades y controles a auditar, asi como identifica- ién de las areas en las que se debera hacer énfasis al realizar la auditoria y mover comentarios y la promocién de los auditad La preparacin por escrito del programa de auditori Ladeterminacién de cémo, cuando y a quign se le comunicarén los resulta- recursos dos de la auditoria La obtencidn de la aprobaciGn del plan de trabajo raditor E de la audite informatica, la planeacién es fundamenta habri que hacerla desde el punto de vista de varios objetivo: Objetivos wvaluacién administrativa del ai procesos electrdnico de ta plarionelilt valuacién de los sistema: Evaluacicn de los equipos de eémpu! Feciorar EvaluaciGn del proceso de datos, de los sistemas y de los equipos de compu. Fidos y si to (software, hardware, redes, bases de datos, comunicacion e Seguridad y confidencialidad de la informacién, Aspectos legales de los sistemas y de la informacién. Para lograr una adecuada planeacién, lo primero que se requiere es obtener informacion general sobre la organizaciOn y sobre la funcién de informatica a aluar. Para ello es preciso hacer una investigacién preliminar y algunas en revistas previas, y con base en esto planear el programa de trabajo, el cu debera incluir tiempos, costos, personal necesario y documentos auxiliares a sclicitar o formular durante el desarrollo de la auditoria i FI proceso de planeacisn comprende el establecer: Hiiza- Me nganiza- fcas del Programas de trabajo de auiditoria ficomo Planes de contratacidn de personal y presupuesto finan: aborar e Informes de actividad 808 mas Las metas ce deberén establecer de tal manera que se pueda lograr su cum- eproble plimiento, sobre la base de los planes especificos de operacion y de los presu32 captruto 2 puestos, los que hasta donde sea posible deberdn ser cuantificables. Debern acompanarse de los eriterios para medirlas y de fechas limite para su logro Los programas de trabajo de auditoria deberan incluir: las actividades que , el tiempo estimade requerido, to- se van a auditar, cudndo serén auditad, mando en consideracién el alcance del trabajo de auditorfa planeado y la nate raleza y extension del trabajo de auditoria realizado por otros. Los programas de trabajo deberdn ser lo suficientemente flexibles para cubrir demandas im- previsias, Los planes de contratacién de empleados y los presupuestos financieros incluyendo el nimero de auditores, su conocimiento, su experiencia y la: disciplinas requeridas para realizar su trabajo—, deberan contemplarse al ela- borar los programas de trabajo de auditoria, asf como las actividades adminis lad y cl adiestramiento requeridos, la investigacién sobre trativas, la escol auditoria y los estterzos de desarrollo. Revision PRELIMINAR El primer paso en el desarrollo de Ia auditoria, después de la planeacién, es la isin prelimi. revisidn proliminar del srea de informatica, El objetivo de la re nar es el de obtener la informacidn necesaria para que el auditor pueda tomar la nn Ia auditoria. Al terminar la revisién preliminar ol decisién de oSmo proce auditor puede proceder en uno de los tres caminos siguientes, + Disefio de la auditoria, Puede haber problemas debido a la falta de compe tencia técnica pa ‘© Realizar una revisién detallada de los controles internos de los sistemas con In esperanza de que se deposite la confianza en los controles de los sistemas jedan reducir Ins consecuen. realizar la auditoria, y de que una serie de prusbas sustantiv cias, * Decidir el no cont aren los controles intemos del sistema. Existen dos razo" nes posibles para esta decisiGn. Primero, pusde cer mas eficiente desde el punto de vista de costo-beneficio el realizar pruebas sustantivas directa mente. Segundo, los controles del drea de informstica pueden duplicar lo controles existentes en el rea del usuario. B) auditor puede decidir que se obtendré un mayor costo-beneficio al dar una mayor confianza a los con troles de compensacién y revisar y probar mejor estos controles, La revision preliminar significa la recoleccion de evidencias por medio de eatrevistes con el personal de la instalacidn, la observacidn de las actividades en la instalacién y la revision de Ia documentacién preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con documentacién narrativa. Debemos considerar que ésta seré s6lo una informacién inicial que nos permitiré elaborar el plan de trabajo, la cual se profundizard en el desarrollo de la auditoria La revi zada por wt no normalr parte geren familiariz causas de | 5 el aud considera: si el audito gar de prov con la fase ¢ controies in Revis Los objetive para que el dentro del El audit timiento, co de control in bas compen puede, desp interos se t altemos de las causas d para reducir Sin detallac dos rectucen fencién de ir usados on la con que se o} Como er de lograr los auditor inter ciencia y efi suficientes p: Interno debe sobrecontrol, nos controles controles inte tamente a rey procedimient de los sistem:Debern in sobre istera iesde el directa licarlos que se los con dio de idades La revisién preliminar elaborada por tn auditor interno difiere de la reali zada por un auditor extemo en tres aspectos. En primer lugar, el auditor inter- no normalmente requiere de menos revisiones y trabajos, especialmente en la parte gerencial y de organizacién, ya que él es parte de la organizacién y est familiarizado con la misma, En segundo, el auditor externo se enfoca mas en las sausas de las pérdidas y en los controles necesarios para justificar sus decisio- nes; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus ‘onsideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero, el auditor interno supone serias debilidades en los controles intemnos, en Iu de proceder directamente con las pruebas sustantivas, deberd continiar con la fase de revisiGn detallada para sefalar recomendaciones para mejorar los, Revision DETALLADA 10s objetivos de la fase detallada son los de obtener la informacién necesaria para que el auditor tenga tun profundo entendimiento de los controles usados dentro del area de informatica Elauditor debe decidirsi debe de continuar elaborando pruebas de consen- iimionto, con la esperanza de obtener mayor confianza por medio del sistema de control interno, 0 proceder directamente a la revisiGn con los usuarios (prui bas compensatorias), o a las prucbas sustantivas. En algunos casos el auditor puede, después de hacer un andlisis detallado, decidir que con los controles intemos se tiene suficiente confianza, y en otros casos que los procedimientos altemos de auditoria pueden ser més apropiados, n la fase de evaltiacién detallada es importante para el auditor identificar causas de las pérdidas existentes dentro de la instalacién y les controles para reducir las pérdidas y los efectos causados por éstas. Al terminar la revi siGn detallada el auditor debe evaluar en qué momento los controles estableci- dos reducen las pérdidas esperadas a un nivel aceptable. Los métodos de ob- tencién de informacién al momento de la evaluacién detallada son los mismo: usados en a investigacisn preliminar, y lo tinico que difiere es la profundidad n que se obtiene la informacién y se evalia ‘omo en el caso de la investigaciGn preliminar, se tienen diferentes formas le lograr los objetivos desde el punto de vista del auditor interno o externo. El aditor interno debe considerar las causas de las pérdidas que afectan la efi- jencia y eficacia, ademas de evaluar por qué los controles escogidos son 0 no suficientes para reducir las pérdidas esperadas a un nivel aceptable. El auditor intemo debe evaluar si Ios controles escogidos son éptimos, si provocan un sobrecontrol, o bien si se logra un satisfactorio nivel de control usando me nos controles 0 controles menas costosos. Siel auditor interno considera que los. controles internos del sistema no son satisfactorios, en lugar de proceder direc- amente a revisar, a probar controles altemos o a realizar prucbas sustantivas y procedimientos, debe sefialar las recomendaciones para mejorar los controles Tipos de revisionesExamen y EVALUACION DE LA INFORMACION Los auditores internos ¢ ern obtener, analizar, interpreter y documentar la informacién para apoyar los resultados de la auditoria El proceso de examen y evaluacién de la informacion es el siguiente: + Se debe obtener la informacién de todos los asuntos relacionados con Tos objetivos y aleances de la auuditoria © La informacion debera ser suficiente, competente, relevante y util para que proporcione bases sélidas en relaciGn con los hallazgos y recomendacione chos, que esadecuada y convincente, de tal forma que una persona pruden- te e informada pueda llegar a las mismas conclusions de Ia auditoria, La informacién suficiente significa quo es el auditor. La informacién competente significa que es confiable y puede obtenerse de la yr manera, usando las téenicas de auditorfa apropiadas. La informacion relevante apoya los hallazgos y recomendaciones de auditoria y es consi tente con los objetivos de ésta. La informacién titil ayuda a la arganizacién a Jograr sus metas. + Los procedimientos de auditoria, incluyendo el empleo de las téenicas de pruebas selectivas y el muestreo estadistico, deberén ser elegidos con ante Hioridad, cuai ceunstancias lo re. © El proceso de recabar, analizar, interpretar y documentar la informacion deberé supervisarse pare Jo esto sea posible, y ampliarse 0 modificarse cuando las ¢ oporcionar una seguridad razonable de que objetivicad dal auditor se mantuvo y que les metas de auditoria se ex! phieron, + Los documentos de trabajo de la auditoria deberén ser preparados por los auditores y revisades por la gerencia de auditaria, Estos documentos debe rein registrar la informaciGn obtenida y el andlisis realizado, y deben apo- bases de les hallazgos de auditoria y las recomendaciones que se Los audit auditor deberd discutir las conclusiones y recomendaciones en Jos niveles apn deberan reportar los resultados del trabajo de auditoria. El piados de Ia administracién eran ser objetivos, claros, >resentarin el propésito, alc es de emitir su informe final. Los informes de- activos y oportunos, Los informes «ce y resultados de la auditoria y, cuando se con idere apropiado, contendrén la opinién del auditor. Los informes pueden incluir recomendaciones para mejoras poter -econocer el trabajo satisfactorio y las medidas correctivas. Los les y intos de vista camendaciones pueden sarin de los anditadas respecto a las conclusiones y Cluidos en el informe de auditoria. auditores internos realizardn el seguimiento de las r para asegurarse que se tomaron las acciones apropiadas sobre los hallazgos de auditorfa reportades, i © Deser todos + Evalu El tra Ta adecua Fl dir ner un pec tamento d una segur normas af ‘Un pa = Super © Revisi © Revisi La sup cabo conti Jas normas del depart auditorfar ra que cual Prue El objetivo controles ir determina jan confiadl Adema cuentement asistidas poda en he apraden jormacién de que la a Jos por los, ntos dede- eden apo: ditoria. EL yeles apr formes de- informes do se con- tenciales y den ser in. ndaciones, liazgos de El director de auditoria en informatica deberd establecer un programa para seleccionar y desarrollar los recursos, el cual debe contempla: Deseripciones de pucstos por cada nivel de auditori en informatica + Seleccién de individuos calificados y competente: Entrenamiento y oportunidad de capacitaci6n profesional continua para jodos y ca a uno de los auditore Eyaluacion del trabajo de cada uno de los auditors por lo menos una ve7 al Asesorfa a los auditores en lo referente a au trabajo y a au desarrollo profe- sional. I trabajo de auditorfa interna y externa debers coordinarse para asegura la adecuada cobertura y para minimizar la duplicidad de esfuerzos, I director de auditoria interna en informética deberd establecer y mante Programa ner un programa de control de calidad para evaluar Ias operaciones del depar de control tamento de auditorfa interna. El propésito de es de calided una seguridad razonable de q programa es proporcionai acuerdo con las ie el trabajo normas aplicables. Jn programa de control de calidad deberd incluir los siguientes elementos + Revisiones externas. supervisién del trabajo de los auditores en informiética deberd llevarse a cabo continuamente para asegurarse de que estin trabajando de acuerdo con las normas, politicas y programas de auditoria en informatica as revisiones internas deberén realizarse petiédicamente por el personal dol departamento de auditoria interna para evaluar auditoria realizado. Estas revisiones deb alidad del trabajo de win llevarse a cabo de la misma mane- cualquier otra euditorfe Para evaluar la calidad del trabajo de auditoria en informstica debersn practicarse revisiones externas. Pruesas DE CONSENTIMIENTO H objetivo de la fase de prueba de consentimiento es el de determinar si los rar, E] auditor debe determinar si los controles declarados en realidad existen y si realmente traba jan confieblemente Adem cuentemente el auditor debe recurrir a técnicas de recoleccisn de informacién stidas por computadora, para determinar la existencia y confiabilidad de los conteoles internos operan como fueron disefi Jos para o técnicas manuales de recoleccién de evid:36 ‘A AUDITORIA controles. Por ejemplo, para evaluar la existencia y confiabilidad de los contro- les de un sistema en red, se requ ird el entrarala red y evaluar directamente al Prueeas DE CONTROLES DEL USUARIO En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informaticas, porque el usuaric ejerce controles que compensan cualquier debilidad dentro de los controles internos de informatica Estas pruch: den reali ie compensan las deficiencias de los controles internos se pue r mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios Prueeas SUSTANTIVAS El objetivo de la fase de pruebas sustantivas es obtener evidencia suticiente que permita al auditor emitir su juicio en las conclusiones acerca de cudndo pueden ‘ocurrir pérdidas materiales durante el procesamiento de Ia int i6n. El au ditor externo expresard este juicio en forma de opiniGn sobre cuando puede existir un proceso equivocado o falta de control de la informacién, Se pueden identificar ocho diferentes pruebas sustantivas Pruebas para identificar errores en el procesamiento 0 de falta de seguri dad 0 confidencialidad. ‘gu lentificar la inconsist Pruebas para comparar con los dates o contadores fisicos. Confirmacién de datos con fuentes externas. Ia calidad de los datos, Pruebas para Prucbas para cia de los dato: Pruebas para confirmar la adecuada comur Pruebas para determinar falta de seguridad. Prucbas para determinar problemas de legalidad, Debemios cuestionamnos el beneficio de tener un excesivo control obien eva~ uar el beneficio marginal de tener mayor c trol contra el costo que representa uar el costo por falla del sistema, y sus repercu- ode siones para determinar el gra: ntacién de controles y el costo de recuperacién de la informacién 0 5n de las repercusiones. g0 ¥ confianza necesarios contra el costo de imp elimina: Elav + Dura *D En ge sideran g pendenci har este Aum Asign poster * Crear audit: © Obten Realiz lograr los subsistem« cas de cad subsisteme evaluacién sin olvidar Los pas los que se investigacic de cémo es que son pri controles in 10, elaudite troles que s, dimientos. | 808 el audit der con pas: Durante ciles. Cada ¢ quiere de ev Glas obtenidEl auditor debe participar en tres estados del sistema Durante la fase de disefio del sistema Durante la fase de operacic: En general, la opinién del gerente de informatica y de la alta gerencia cor sideran que el que el auiditor participe en la fase de disefio disminuye la inde- pendencia del auditor, pero existen varias formas en las cuales se puede eli Aumentando los conocimientos en informatica del auditor Asignar diferentes auditores a la fase de disefio, al trabajo de auditoria y al posterior a la auditor Crear tuna seccidn de auditoria en informética dentro del departamento de auditorfa interno, especializado en auditoria en informatica Obtener mayor soporte de la alta g Realizar una auditoria en informatica es un trabajo comple, Por ello, para ar los objetives, el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que realizan las actividades bisi as de cada subsistema, evaluar la confianza de cada componente, y la de los ubsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una acién global sobre la confianza total del sistema, Esto se deberd realizar sin olvidar el postulado de investigaciGn de operaciones, que nos seftala que La suma de los optimos parciales de los subsistema sual al éptimo d Los pasos que involucran una auiditoria en informética son similares @ aque se realizan para atiditar un sistema manual. Primero se realiza una ‘eliminar del rea de informatica, para an entendimiento est siendo administrada la instalacién y de los principales sistema que son procesados. En segundo lugar, si el auditor determina confiar en lo control 108 del sistema, se realiza una investigacién detallada. En terce to, el auditor, de acuerdo con su juicio, prueba la confianza sobre aquellos con troles que son criticos. En ctiarto, se realizan pruebas sustantivas de los proce dimientos, Finalmente, el auditor debe dar una opinién. Después de estos p | auditor evalia los controles internos del sistema y decide si debe proce con pasos alternatives Durante la auditorfa en informatica deben tomarse muchas decisiones difi- ciles, Cada evaluacién sobre la confianza de los sistemas de control interno re quiere de evaluaciones complejas realizadas en forma conjunta con las eviden.INFORMATICA Ligjempto Lgjempto Evatuacion DE LOS SISTEMAS DE ACUERDO AL RIESGO ina de las formas de evaluar a in portancia que puede tener para la organiza: cidn un determinado sistema, es considerar el riesgo que implica el q stilizado adecuadamente, la perdida de la informacion o bien el que sea usado por personal ajeno a la orgenizacién. Para evaluar el riesgo de un sistema cor mayor detalle véase el apartado “Plan de conting -espaldo para casos de desastre”, en el capitulo € Algu 6 mncia y procedimientos de jemas de aplicaciones son de més alto riesgo que otros debido a + Son susceptibles a diferentes tipos de pérdida econémica. Fraudes y desfalcos enve los cuales estan los sistemas financieros. El auditor debe de poner especial atencién a aquello: temas que requi ‘an de un adecuado control financiero, Flujo de caja, inversiones cuentas por pagar y cobrar, némina * Las fallas pueden impactar grandemente a la organizacion Una fella en el procesamiento de la némina puede tener como consecuencia el que se tenga una huelga. = Interfieren con otros sistemas, y los errores generados permean a otros sis tema * Potencialmente, alto riesgo debido a dafios en la competencia. Algunos sis- temas le dan @ la organizacidn un nivel competitive muy alto dentro de un mercado, Sistema de planeacién stratégica. Patentes, derechos de autor, los cueles son las mayores fuantas de recursos da la organizacisn. Otros a tr cuales su pérdida puede desiruir la imagen oe la organizacion, ‘© Sistemas de tecnologia de punta o avanzada. Si los sistemas utilizan tecno- logia avanzada o de punta. Sistemas de bases de datos, sistemas distriouidos 0 de comunicacion, tecao logia sobre la cual la organizacién tonga muy poca exporioreia o rospaldo, la ‘cual es mas probable que sea una fuente de problemas de control Sistemas de alto costo. Sistemas que son muy costosos de cuales son frecuentemente sistemas compl chos problemas de control, que pueden centar mu hve Ese quog rapid Lain trol gerer troles get précticas de Ia inst Jos contre dos sobre aplicacior Se del mento po document programa Se det dentro de tia y la fec Enel ion prelin pos de cén nar se deb areas, basd Administ, departame de docume La efici ‘objetivos e adapta a lo; a ad usuarios de direccién y dicho sisten cutives y us Asimisr que el perso dos que see (rol, tinicam Lethe SprINVESTIGACION PRELIMINAR Es necesario iniclar el trabajo de obtencién de datos con un contacto preliminat ue permita una primera idea global. El objeto de este primer contacto ee percibir yaniza- x tructuras furdamentales y diferencias principales entre el o1 rosea nismo a auditar y otras organizaciones que in investigado acon La investigaci6n preliminar debe incorporar fases de evaluacién del cor ins de trol gerencial y del control de las aplicaciones. Durante la revisién de los con- oles gerenciales el auditor debe entender a la organizacién y las politicas bidoa pricticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquia ela instalaci6n en que se encuentran las computadoras. Durante la revisidn do Ios controles de las aplicaciones, el auditor debe entender los controles ejerci dos sobre el mayor tipo de transacciones que fluyen a través de los sistemas d aplicaciones mas significativos dentro de la instalacién de computad: Se debe recopilar informecién para obtener una visiGn general del departa- nto por medio de observaciones, entrevistas preliminai olicitudes de equi documentos; la finalidad es definir el objetivo y alcance del estudio, asi como el igrama detallado de la investigacién. Se debers observar el estado general del departamento o dre ntro de la organizacién. si existe la informacicn solicitada, si es or Hay la fecha de su tltima actualizacién. En el caso de Ia auditoria en informatica debemos comenzar la investiga {6a preliminar con una visita al organismo, al drea de informatica y a los equi- os de cmputo, y solicitar una serie de documentos. La investigacién prelim nar se debe hacer solicitando y revisando la informacién de cada una de las areas, basdndose en los siguientes puntos: Administracién. Se recopila la informacién para obtener una visin general del Jepartamento por medio de observaciones, entrevistes preliminares y solicitud ie documentos para poder definir el objetivo y alcances del departamente La eficiencia en el departamento de informatica solo se puede lograr si sus objetivos estin integrados con los de la institucién y si permanentemente se adapta a los posibles cambios de éstos. Esta adaptacion inicamente puede ser posible si los altos ejecutivos y los ssuarios de los sistemas toman parte activa en las decisiones zeferentes a la direccién y utilizacién de los sistemas de informacién, y si el responsable de dicho sistema constantemente consulta y pide asesoria y cooperacién a los eje- Asimismo el control de la direccién de informatica no es posible, a menos que el personal responsable aplique la misma disciplina de trabajo y los méte dos que se exigen normalmente a los usuarios. Podemos hablar de tener el cor trol, tinicamente cuando se contemplaron los abjetivos, se establecié un presu-40 capmruto z Requerimientos de una auditoria puesto y se regi amente los costos en el desarrollo cin, y cuando ésta contempla el nivel de si fiempos El éxito de la direcci6n de informatica dentro de una organizacién depende inalmente de que todas las persona fa Tespecto a su trabajo y evaltien constantemente la eficiencia en su propio rabajo, asf como el deserrollado en su area, estableciendo metas y estindares la aplica- alidad y vicio en t minos de minimos de entrega de resultados de la operacién del computador in una actitud posit ponsables adop! que incrementen su productividad. La I las diferentes areas de la organizacién, es evaluada desde diferentes puntos de vista. ireccion de inforr Los usuarios a nivel operativo generalmente la ven como una herramienta fementar su eficiencia en el trabajo, Para estos usuarios, la direcciGn de informatica es una funcién de servicio. Cada grupo de usta: jos tiene su propia expectativa del tipo y nivel de servicio, sin considerar el costo del mismo y ormalmente sin tomar en cuenta las necesidades de otros grupos de usuarios. Los altos ejecutivos consideran a la direccién de informatica como una in rsidn importante, que tiene la funcidn de participar activamente en el cum- plimiento dk los objetivos de la organizacién, Por ello, esperan un maximo del retorno de su inversin; esperan que los recursos destinados a la direceién de informatica proporcionen un beneficio maximo a la arganizacién y que ésta participe en la administracién eficiente y en la minimizacién de los costos me- diante informacién que permita una adecuada toma de decisiones. Los direct ‘0s, con toda la raz6n, consideran que la organizacidn cada dia depende mas del érea de inf natica y consecuentemente esperan que se deba administrat lo ms eficiente y eficaz posible ente, la meta principal de los administradores de la direccion. nformatica es la misma que inspira cualquier departamento de servicio: com- nar un servicio adecuado con tuna operacién ecor El problema estriba en balancear el nivel di jempre puede incrementado a costa de un incremento del factor econdmico Para poder analizar y dimensionar la estructura a auditar se debe solic vel organizacién total * Objetivos a corto y largo plazos. © Manual dela + Antecedentes o historia del organism. © Politicas generales A nivel del drea de informatica: + Objetivos a corto y largo plazos. * Manual de organizacién del rea que incluya puestos, funciones, nivele jerarquicos y tramos de mando, + Manual de politicas, reglament * Niimero de personas y puestos en el drea. internos y lineamientos generale + Proc = Pres Recu © solic local prog © Estuc Fechi = Cont © Cont Conv © Confi © Conti Iocali * Plane © Ubica + Politic © Politic = Politic Sisten © Desert larse, « © Manu: © Manu: * Sistem: Enela No No © Setiene NoProcedimientos administrativos del rea. Presupuestos y costos del area \depende Recursos materiales y técni ud positi su propio Solicitar documentos sobre los equipos, asi como el ntimero de ellos, stindares localizacin y sus caracteristicas (de los equipos instalados, por instalar program: niacin, Estudios de viabilidad Fechas de instalacién de los equipos y planes de instalacién. tamienta Contratos vigentes de compra, renta y servicio de mantenimiento exxién de Contratos de seguros. su propia Convenios que se tienen con otras instalacione mismo y Configuracion de los equipos y capacidades actuales y maximas. usuario: Configuracién de equipos de comunicacién (reds internas y externas) y ‘o una in. nealizacién do los equipos. nel cum- Planes de expansi¢n. iximo del Ubicacién general de los equipo exci Politicas de operacién. que ésta Politicas de uso de los equipos. ostos me Politicas de seguridad fisica y prevencién contra contingencias interna: ws directi- externas. sistemas: nistrar lo Pa Deseripcion general de los sistemas instalados y de los que estén por insta e.. arse, que contengan veltimenes de informacién Manual de formas. Manual de procedlimientos de los sistemas. Fios, que Descripeidn genética eeico Diagramas de entrada, archivos, salida. a Fecha de instalacién de los sistemas, ee Proyecto de instalacién de nuevos sistema Bases de datos, propietarios de la informacién y usuarios de la misma. Procedimientos y politicas en casos de desastre Sistemas propios, zentados y adquirido- En el momento de hacer la planeacién de la auditoria o bien en su realiza~ ién, debemos evaluar que pueden presentarse las siguientes situaciones. Se solicita la informacién y se ve que: niveles Se tiene la informacién pero: Nose usa Es incompleta,42 captruto 2 Uso de informacion No esté actualizada No es la adecuada. Se use, esté actualizada, es la adecuada y esta completa n el caso de que no se disponga de la informacin y se considere que no s necesita, se debe Iuar la causa por la que no es necesaria, ya que se pued: estar solicitando un tipo de informacién que debido a las caracteristicas de organismo no se requiera. Eso nos dard un pardmetro muy importante para tuna adecuada planeacién de le auditoria in el caso de que no se tenga la informacién pero que sea necesaria, se debe recomendar que se elabore de acuerdo con las necesidades y con el uso que se | n el caso de que se tenga la informacion pero que no se utilice, se debe analizar por qué no se usa. Elmotivo puede ser que est actualizad ncompleta, que no est xe no sea la adecuada, etc. Hay que analizai para senalar alternativas ir las casas le solucion, lo que nos leva a la utilizacin de la in- in caso de que se tenga la informacién, se debe analizar si se usa, si esti sies la adecuada y si est completa; de ser asi, se con: 70 de las conclusion iderard den: dela evaluacién, ya que como se dijo la auditorfa no sélo debe considerar errores, sino también sefialar los aciertos. Antes de concluir esta etapa no se olvide que el éxito del andlisis critico depende de las consideraciones siguientes: + Estudiar hechos y no opiniones (no se tor fundamento). Investigar las causas, no los efecto: © Atender razones, no excusas, No confiar en Ja memoria, preguntar constantement: 1do todos los ini datos recabado: Personat PARTICIPANTE Una de las partes més importantes en la planeaci6n de la auditorfa en informa ica es el personal que debers participar in este punto no veremos el ntimero de personas que deberdn participa, ya que esto depende de las dimensiones de la organizacidn, de los sistemas y de los equipos; lo que se debord considerar son las caracteristicas del personal que abra de participar en la auditoria ino de los esquemes generalmente aceptados para tener un adecuado con- trol as que el personal que intervenga esté debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizaciGn de recursos ficiencia) y se le retribuya o compense justamente por su trabajc Con estas bases debemos considerar los conacimientos, la prictica prof sional y la capacitacion que debe tener el personal que int vendra en la auditoria, En primer zacion, que de a auditorie, ¢ las reuniones Este es ur direccidn, nic una 0 varias p ign en el mor También s en el moment de comprobac do, y complen Slo el puntod del sistema. Para comp de Ia auditoria ‘Técnico en Conocimie Experienci Experienci, Conocimie Conocimie: caciones, d + Conocimie: Enel caso d mientos y expe: caciones, etcete Lo anterior y experiencias + ‘con las caracter Una vez pla bilidad de prese de auditores ext La carta con Su confirmacién auditoria, las lin dad y los infor Una vez que doen la figur Este formato de ‘cuado control de de formulacién | dad, el miimera « minacién, el ntin