2. A. Uso de herramientas para auditoría informática.
Observación.
Es una de las técnicas más utilizadas para examinar los diferentes
aspectos que intervienen en el funcionamiento del área informática y
los sistemas software.
Es analizar, examinar o estudiar algo, es decir, que para aplicar este
concepto a una empresa podríamos aplicar estas acciones en las
diferentes áreas con el fin de percibir los aspectos relacionados con el
desarrollo de actividades con el fin de evaluar el cumplimiento de
operaciones del sistema.
Cuestionarios.
De esta se obtiene información sobre lo que está auditando, además
de tips que permitirán conocer más sobre los puntos a evaluar o
analizar
Las auditorías informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores
dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos.
El trabajo del auditor consiste en lograr toda la información necesaria
para la emisión de un juicio global objetivo, siempre amparado en
hechos demostrables, llamados también evidencias.
Se suele solicitar la completación de cuestionarios que se envían a
las personas concretas que el auditor cree adecuadas.
3. Entrevistas.
De esta se obtiene información sobre lo que está auditando, además
de tips que permitirán conocer más sobre los puntos a evaluar o
analizar
El auditor comienza a continuación las relaciones personales con el
auditado.
La entrevista es una de las actividades personales más importante
del auditor; recoge más información, y mejor matizada, que la
proporcionada por medios propios puramente técnicos o por las
respuestas escritas a cuestionarios.
Interrogatorio; es lo que hace un auditor, interroga y se interroga a sí
mismo.
Muestreo estadístico de información.
El muestreo estadístico es importante en auditoria, porque le permite
realizar su trabajo con menor coste y en menor tiempo. Se requieren
conocimientos especiales, sobre todo de estadística matemática. En
4. estadística a partir de un reducido número de elementos, permite
extraer conclusiones de un colectivo más amplio (población). Es de
aplicación en todos aquellos casos que por razones no es posible
examinar la totalidad de los elementos de la población.
Toda operación de toma de una muestra va dirigida a la estimación de
un valor expresado en valor absoluto, cantidad, o en valor relativo
porcentaje. Toda estimación o inferencia puede coincidir o no con el
verdadero, y de ahí que el auditor tenga que echar mano de la teoría
de la probabilidad para medir el grado de precisión.
Flujogramas.
Es una muestra visual de una línea de pasos de acciones que implican
un proceso determinado. Es decir, el flujograma consiste en
representar gráficamente, situaciones, hechos, movimientos y
relaciones de todo tipo a partir de símbolos.
5. Listas de chequeo
Es una lista de comprobación que sirve para servir de guía y recordar
los puntos que deben ser inspeccionados en función de los
conocimientos que se tienen sobre las características y riesgos de las
instalaciones. Viene a ser un cuestionario de preguntas en el que se
responderá SI o NO.
6. B. Aplicación de la metodología de auditoría.
Estudio preliminar.
Con el propósito de jerarquizar los aspectos que habrán de requerir
una atención más profunda por parte del auditor administrativo,
frecuentemente precede a su examen completo, un reconocimiento
general del organismo social, que culmina con un estudio preliminar,
El estudio preliminar está encaminado a: "Lograr una identificación
real del problema, para conocer la naturaleza y objetivo del estudio
completo."
Por su propia naturaleza, el estudio preliminar no está enfocado para
originar recomendaciones o solucionar problemas, excepto aquellos
que resulten evidentes en un primer reconocimiento. Más ameriten un
análisis detallado para poder ofrecer las recomendaciones más
idóneas a las circunstancias de la empresa como un todo.
El estudio preliminar se diseña para que resulte la posibilidad de un
informe que recomiende, o que no recomiende un plan general para
desarrollar la solución específica del problema.
Este estudio se requiere, independientemente de cuáles sean los
orígenes o razones de la auditoría, y abarca:
a) Información documental. Los problemas que van a consultarse y
las muestras de documentos obtenidos varían de acuerdo con los
objetivos del estudio. (reglamentos internos, informes,
7. estadísticas, estados contables, presupuestos, contratos,
etcétera.)
Información sobre el campo de trabajo. El aspecto más importante de
la iniciación del campo de trabajo es la presentación del auditor
administrativo y sus ayudantes, pues el éxito o fracaso de la auditoría
administrativa dependerá en gran parte de la comprensión que
se logre respecto del propósito de la misma, y de la colaboración
que se obtenga de los funcionarios de la empresa en estudio
(organigramas, lista de funciones, datos sobre volúmenes de
trabajo, examen de las condiciones en que se trabaja, forma y
reportes utilizados, etc.
Definir el grupo de trabajo.
Al planificar una auditoría, el auditor de sistemas debe tener una
comprensión de suficiente del ambiente total que se revisa. Debe
incluir una comprensión general de las diversas prácticas comerciales
y funciones relacionadas con el tema de la auditoría, así como los tipos
de sistemas que se utilizan. El auditor de sistemas también debe
comprender el ambiente normativo en el que opera el negocio. Por
ejemplo, a un banco se le exigirá requisitos de integridad de sistemas
de información y de control que no están presentes en una empresa
manufacturera. Los pasos que puede llevar a cabo un auditor de
sistemas para obtener una comprensión del negocio son: Recorrer las
instalaciones del ente. Lectura de material sobre antecedentes que
incluyan publicaciones sobre esa industria, memorias e informes
financieros. Entrevistas a gerentes claves para comprender los temas
comerciales esenciales. Estudio de los informes sobre normas o
reglamento.
8. Elaborar el programa de auditoría.
El programa de auditoría es un enunciado, ordenado y clasificado que
aborda los procedimientos que deben emplearse en la auditoría, su
extensión o duración y el momento preciso en que deben de aplicarse.
Es decir, el auditor deberá desarrollar y documentar un programa de
auditoría que exponga la naturaleza, oportunidad y alcance de los
procedimientos de auditoría planeados que se requieren para
implementar el plan de auditoría global. El programa de auditoría sirve
como un conjunto de instrucciones a los auxiliares involucrados en la
auditoría y como medio para el control y registro de la ejecución
apropiada del trabajo. El programa de auditoría puede también
contener los objetivos de la auditoría para cada área y un presupuesto
de tiempos en el que son presupuestadas las horas para llevarse a
cabo la auditoría.
9. Efectuar visitas a la unidad informática para conocer detalles de
la misma.
Elaborar cuestionario para la obtención de información a evaluar.
El cuestionario permite al auditor sintetizar los elementos que causan
dificultades y deficiencias a la organización. El sondeo que se lleva a
cabo por el cuestionario, depende de la metodología que se aplique,
pero generalmente se relaciona con los principios administrativos:
planeación, organización, dirección, Integración de personal y control.
Una vez que se han diagnosticado los problemas reales, el auditor
debe estar preparado para apreciar el nivel de desempeño del área
investigada, indicando si es excelente, bueno, adecuado o pobre y
hacer las recomendaciones necesarias para mejorar el desempeño.
10. Solicitar plan de actividades, manuales de políticas y reglamentos.
Ejemplos:
11. Entrevistar a personal del área.
Entrevistas con el personal apropiado, las cuales deben tener una
naturaleza de descubrimiento no de acusatoria.
Observación de operaciones y actuación de empleados, esta es
una técnica importante para varios tipos de revisiones, para esto
se debe documentar con el suficiente grado de detalle como para
presentarlo como evidencia de auditoría.
¿Nombre del puesto?
¿Puesto del jefe inmediato?
¿Puestos a que reporta?
¿Puestos de las personas que reportan al entrevistado?
¿Número de personas que reportan al entrevistado?
¿Describa brevemente las actividades diarias de su puesto?
¿Actividades periódicas?
¿Actividades eventuales?
¿Con qué manuales cuenta para el desempeño de su puesto?
¿Cuáles políticas se tienen establecidas para el puesto?
12. Revisión y evaluación de controles y seguridades.
Consiste de la revisión de los diagramas de flujo de procesos,
realización de pruebas de cumplimiento de las seguridades, revisión de
aplicaciones de las áreas críticas, Revisión de procesos históricos
(backups), Revisión de documentación y archivos, entre otras
actividades.
Revisar los diagramas de flujo de procesos.
Realizar una revisión del estado de avance en la implementación o la
comprobación de un establecimiento real de un Sistema de Gestión de
Seguridad Operacional (SMS); también es útil su aplicación como
preparación a una auditoría que realice ente externo a la Organización.
13. Realizar pruebas de cumplimiento de las seguridades.
Se refieren a la administración del trabajo en la entidad. Estos controles
incluyen políticas y procedimientos para llevar acabo los objetivos de
la entidad, tales como planeamiento, programación, economía,
eficiencia y efectividad. La administración utiliza estos controles para
suministrar una seguridad razonable de la entidad como:
- Alcance de objetivos.
- Mantiene los estándares de calidad.
- Hace lo que la administración indica.
Los controles operativos también incluyen los controles de ejecución
que son políticas y procedimientos diseñados para suministrar
seguridad razonable, asegurar que los datos reportados sobre el
empeño o ejecución sean registrados apropiadamente y contabilizarse
para permitir la preparación de la información confiable y completa.
14. Revisar aplicaciones de las áreas críticas.
La función de Desarrollo es una evolución del llamado Análisis y
Programación de Sistemas y Aplicaciones. A su vez, engloba muchas
áreas, tantas como sectores informatizarles tiene la empresa.
Muy concisamente, una Aplicación recorre las siguientes fases:
o Prerrequisitos del Usuario (único o plural) y del entorno
o Análisis funcional
o Diseño
o Análisis orgánico (Reprogramación y Programación)
o Pruebas
o Entrega a Explotación y alta para el Proceso.
Revisar procesos históricos (backups), documentación y archivos
Backups: Un backup es una copia adicional de la información que
puede utilizarse con fines de recuperación y restauración ante fallos.
– Su utilización se hace cuando la copia original está inutilizada o
corrupta.
– La copia puede ser:
• Copias de los ficheros en instantes de tiempo determinados.
• Copias especulares de los datos originales completamente
sincronizados.
Tipologías de Backups
• Según necesidades:
– Copias para recuperación ante desastres: El objeto es disponer
de una copia que subsane la perdida potencial de datos valiosos para
el usuario.
– Copias operacionales: Se hacen para disponer de una instantánea
de los datos del sistema en un momento
determinado, con la intención de poder regresar a esa situación (sin
necesidad de que haya un desastre):
• E.g., versiones de un repositorio software.
– Copias reguladas: Se realizan para cumplir con normativas legales
que exigen el almacenado de datos históricos durante un periodo de
tiempo. (LOPD en España)
15. Examen detallado de áreas críticas
Con las fases anteriores el auditor descubre las áreas críticas y sobre
ellas hace un estudio y análisis profundo en los que definirá
concretamente su grupo de trabajo y la distribución de carga del
mismo, establecerá los motivos, objetivos, alcance Recursos que
usará, definirá la metodología de trabajo, la duración de la auditoría,
Presentará el plan de trabajo y analizará detalladamente cada
problema encontrado con todo lo anteriormente analizado.
Detectar áreas críticas.
En el caso que el planificador o equipo planificador no cuente con la
experiencia necesaria para la identificación y formulación del DAC.
A partir de las evidencias generales y del análisis que se haga de las
mismas, se detectan y jerarquizan las áreas críticas de la empresa.
Estas pueden ser gerencias, direcciones, departamentos, secciones.
16. El análisis que de las evidencias generales se efectúe, deberá
proponer algunas hipótesis sobre el origen de los problemas; la
siguiente clasificación pude ser suficiente:
Falta de conocimiento, habilidades y actitudes del personal.
Otras causas organizacionales: materia prima, fuera de
especificaciones, equipo obsoleto, instalaciones insuficientes, etc.
Describir motivos, objetivos, alcance y recursos a usar.
La función primera y fundamental de una empresa es establecer los
objetivos a alcanzar; una definición clara y precisa, es esencial para
conseguir los fines de la actividad de la empresa, y en su caso para
lograr su supervivencia.
Dirigir una empresa significa tomar decisiones que permitan encontrar
y mantener el equilibrio adecuado entre los medios disponibles y/o de
posible obtención, los límites impuestos por el mercado y los objetivos
que se desean alcanzar.
Se requieren una alta capacidad para enfrentarse a las complejidades
de un ambiente turbulento y cambiante, para identificar las
oportunidades y las prioridades, para definir los problemas apropiados
y aislar sus causas, para movilizar los recursos de la organización y
para iniciar las acciones requeridas. Son responsables de definir las
misiones y propósitos de sus organizaciones. También son
responsables de traducirlos en metas comprobables y ver que éstas
son alcanzadas.
17. Analizar los problemas encontrados
La necesidad de dictámenes claros de los organismos certificadores
al respecto.
Para los servicios itinerantes de datos propone un método distinto,
dadas las especificidades de los problemas encontrados.
Comprende las evaluaciones nacionales de los logros alcanzados en
183 países desde la Conferencia de Jomtien, los problemas
encontrados y las recomendaciones para las actividades futuras.
El actual sistema busca mejorar la calidad de la enseñanza y remediar
los problemas encontrados.
Comunicación de resultados.
Se elaborará el borrador del informe a ser discutido con los ejecutivos
de la empresa hasta llegar al informe definitivo, el cual se presentará
esquemáticamente en forma de matriz, cuadros o redacción simple y
concisa que destaque los problemas encontrados, los efectos y las
18. recomendaciones de la Auditoría.
El informe debe contener lo siguiente:
• Motivos de la Auditoría
• Objetivos
• Alcance
• Estructura Orgánico-Funcional del área Informática
• Configuración del Hardware y Software instalado
• Control Interno
• Resultados de la Auditoría
Elaborar borrador del informe a ser discutido con los ejecutivos
¿Se han considerado en él los puntos importantes?
¿Se han incluido los datos importantes en el capítulo de aspectos
fundamentales?
¿Tiene brevedad y originalidad?
¿Se detallan en los anexos los datos sintéticos?
¿Es claro y no se presta a malos entendidos?
¿Incluye problemas suficientemente discutidos con la supervisión?
¿Se detallan las prácticas actuales en forma correcta, cortés y
adecuada?
¿Se incluye toda la información que el lector debe conocer?
19. ¿Son practicables las recomendaciones y se encaminan al éxito de la
empresa?
¿Es interesante, útil y adecuado el material?
La presentación y discusión de los resultados encontrados por el
auditor son partes importantes del servicio de la Auditoria.
El auditor actúa en beneficio de la administración y busca aceptación
a sus recomendaciones, generando mejoras y acciones correctivas.
Por lo tanto, debe limitar su presentación a los puntos importantes y
deberá ser cuidadoso y diplomático en todo momento. Una vez
discutido el boceto del informe sólo queda la presentación del informe
final, el cual pide: Acción inmediata para eliminar irregularidades y
situaciones Inadecuadas.
Emitir informe definitivo
Propósito y alcance
Aspectos fundamentales
Problemas discutidos con la supervisión
Prácticas comunes (en detalle)
Discusión o comentarios
Recomendaciones
Anexos
Video del inciso A
https://www.youtube.com/watch?v=3lHhLpaA-sI
Video del inciso B
https://www.youtube.com/watch?v=c_YMm_aJMSM