Planificación de la auditoría Informática
Como todo proyecto implantado dentro de una organizaci ón, el proyecto de auditoría informática debe iniciar con una fase de planeación en la cual participen todas las áreas de la organizaci ón para identificar los recursos necesarios que permitirán llevar a cabo este proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, an álisis costo/beneficio, personal humano que intervendr á en el proyecto, marco de referencia de Auditor ía Informática que se va a utilizar, basándose en varios objetivos fundamentales que son: 1. Evaluación de los sistemas y procedimientos, comprende: !
!
! !
Evaluaci ón de los diferentes sistemas en operación (flujo de información, procedimientos, documentaci ón, redundancia, organizaci ón de archivos, estándares de programaci ón, controles, utilización de los sistemas). Evaluaci ón del avance de los sistemas en desarrollo y congruencia con el diseño general Evaluación de prioridades y recursos asignados (humanos y equipos de c ómputo) Seguridad física y lógica de los sistemas, su confidencialidad y respaldos 2. Evaluación de los equipos de cómputo
! ! ! !
!
! ! ! ! ! !
Capacidades Utilización Nuevos Proyectos Seguridad f ísica y lógica Evaluación física y lógica 3. Evaluación del proceso de datos Controles de Preinstalaci Preinstalac ión Controles de Organizaci ón y Planificación Controles de Sistemas en Desarrollo y Producci ón Controles de Procesamiento Controles de Operaci ón Controles de uso de Microcomputadores Microcomput adores
Objetivos de la Planificación de una auditoria
El proceso de planeaci ón de la auditoria tiene como objetivo fundamentar el establecimiento y definici ón de diferentes tópicos nombrados a continuación: ! ! ! ! ! ! !
Metodolog ía a ser usada Políticas y reglas a seguir Metas u objetivos de la auditoria Programas de trabajo de auditoria Personal que intervendrá en el proyecto Presupuesto financiero Las fechas y la manera como se presentar án los informes de las actividades de cumplimiento del proyecto, basados en la realidad de la organizaci ón evaluada.
Importancia de la Planeación
De la adecuada Planeaci ón y Supervisión el auditor podrá obtener los resultados satisfactorios que le sirvan de base para sustentar su opini ón manifestada en su dictamen. Por esto una de las Normas de Auditor ía le obliga a que su trabajo deba ser técnicamente planeado y ejercerse una supervisión ap ropiada sobre los asistentes si estos participan en el examen, como una garant ía de calidad hacia los usuarios. La Planeaci ón de la Auditoría permite establecer la extensión y el alcance de las pruebas a utilizar y la supervisión sobre el recurso humano qu e le colaborará durante el desarrollo del trabajo. Personal Participante
Una de las partes m ás importantes dentro de la planeación de la auditoría en informática es el personal que deber á participar y sus características. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan est é debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases se debe considerar las caracter ísticas de conocimientos, práctica profesional y capacitaci ón que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organizaci ón, con el suficiente nivel para poder coordinar el desarrollo de la auditor ía, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas. Éste es un punto muy importante ya que, de no tener el apoyo de la alta direcci ón, ni c ontar con un grupo multidisciplinario en el cual est én presentes una o varias personas del área a auditar, ser ía casi imposible obtener información en el momento y con las características deseadas. También se debe contar con personas asignadas por los us uarios para que en el momento que se solicite informaci ón o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se está solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no s ólo el punto de vista de la direcci ón de informática, sino también el del usuario del sistema. Para completar el grupo, como colaboradores directos en la realizaci ón de la auditoría se deben tener personas con las siguientes características: ! ! ! ! !
Técnico en informática. Experiencia en el área de informática. Experiencia en operaci ón y análisis de sistemas. Conocimientos de los sistemas m ás importantes. En caso de sistemas complejos se deber á contar con personal con conocimientos y experiencia en áreas específicas como ba se de datos, redes.
Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.
Documentos Resultantes de la Planificación de la Auditoría Informática
Dentro del proceso de planificaci ón de la Auditoría Informática se debe incluir y documentar por lo menos los siguientes aspectos: ! !
! !
!
! !
!
Se debe definir los objetivos y el alcance del trabajo. El relevamiento de informaci ón de las activi dades a auditarse en la que se apoyar á el análisis. Los recursos que se necesitar án para llevar a cabo el proyecto de auditoría. Los canales de comunicaci ón necesarios entre los involucrados en el proyecto de auditor ía. El procedimiento apropiado a utilizarse para realizar una inspecci ón física que permita la obtenci ón del conocimiento de la manera como se ejecutan las actividades y controles a auditar, as í como de las áreas críticas en las que se debe poner mayor énfasis al realizar la auditoría. La declaración por escrito del programa de auditoría. Determinar los responsables de analizar los resultados de la auditor ía, los plazos de tiempo en los que se deber á llevar a cabo el proyecto de auditoría y la forma en la que se presentar án los resultados de la m isma. La aprobación del plan de trabajo de auditoría.
Consideraciones para la planificación de una auditoria informática ! ! !
!
!
!
!
! !
!
!
! !
Diagnóstico de la situación actual de los sistemas de información en operación Debilidades que pueden motivar la auditor ía de un sist ema de información Clasificación de riesgos que representa el uso de hardware y software en la organizaci ón Evaluaci ón del nivel de riesgo que representa el uso inadecuado de los productos y servicios por el personal de inform ática y usuarios dentro de la organizaci ón Otros aspectos: Telecomunicaciones, EDI (intercambio electr ónico de datos), automatizaci ón de procesos Clasificación de los riesgos según criterios establecidos por la función de auditoría informática Elaboraci ón de una matriz de riesgos que muestre las áreas de la función de informática susceptibles de una revisión por parte de auditoría en el siguiente periodo Elaboraci ón de un plan consolidado de proyectos Revisión de la matriz de riesgos y del pronóstico de proyectos de auditoría en informática con la gerencia o dirección a la que reporta directamente la función de informática Presentaci ón del plan de proyectos de la función de auditoría en informática a la alta dirección Realizaci ón de cada uno de los proyectos de acuerdo con el plan de auditor ía en informática Integraci ón y formalización de equipos de trabajo Aprobaci ón formal de la alta dirección del informe final de la auditoría en informática realizada
Resumen del proceso general de planificación de la auditoria informática En resumen, para poder planificar y a su vez poder tener control, se debe poseer la información fidedigna en tiempo y en forma. En el proceso de planificación de una auditoría, el Líder Auditor debe tener la visión total del espacio que desea auditar; es decir debe estar consciente del área que va a impactar y de los riesgos que se generar án por dichos actos. El procedimiento debe ser, en menor o mayor medida, el siguiente:
Identificar el origen de la auditor ía Realizar una visita preliminar al área que será evaluada Establecer los objetivos de la auditor ía Selección del personal capacitado para la auditoria. Determinar los puntos que ser án evaluados en la auditoría Elaborar planes, programas y presupuestos para realizar la auditor ía Identificar y seleccionar los m étodos, herramientas, instrumentos y procedimientos necesarios para la auditor ía 8. Asignar los recursos y sistemas computacionales para la auditor ía 9. Redactar documentos y acuerdos 1. 2. 3. 4. 5. 6. 7.