Metodología para auditorías de sistemas computacionales: planificación, ejecución y dictamen

Gestión de empresas, , , , ,

Metodología para realizar auditorías de sistemas computacionales

Metodología para realizar auditorías de sistemas computacionales

Es identificar el marco teórico sobre el cual se fundamentan los conceptos que serán aplicables en dicha metodología. método, metodología, planeación, plan, programa.

Etapas

1. Etapa: Planeación de la auditoría de sistemas computacionales

  • P.1 Identificar el origen de la auditoría.
  • P.2 Realizar una visita preliminar al área que será evaluada.
  • P.3 Establecer los objetivos de la auditoría.
  • P.4 Determinar los puntos que serán evaluados en la auditoría.
  • P.5 Elaborar planes, programas y presupuestos para realizar la auditoría.
  • P.6 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.
  • P.7 Asignar los recursos y sistemas computacionales para la auditoría.

2. Etapa: Ejecución de la auditoría de sistemas computacionales

  • E.1 Realizar las acciones programadas para la auditoría.
  • E.2 Aplicar los instrumentos y herramientas para la auditoría.
  • E.3 Identificar y elaborar los documentos de desviaciones encontradas.
  • E.4 Elaborar el dictamen preliminar y presentarlo a discusión.
  • E.5 Integrar el legajo de papeles de trabajo de la auditoría.

Dictamen de la auditoría de sistemas computacionales

  • D.1 Analizar la información y elaborar un informe de situaciones detectadas.
  • D.2 Elaborar el dictamen final.
  • D.3 Presentar el informe de auditoría.

Misión, visión y objetivos

  • Misión: Deber moral que se impone a la realización de la auditoría de sistemas.
  • Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella.
  • Propósitos: Objetivo que se pretende alcanzar con la auditoría.
  • Metas: Fines específicos de la auditoría.
  • Fines: Son los últimos aspectos que se busca satisfacer con la auditoría.
  • Plazos: Los términos en unidades de tiempo en que se satisface el fin que se pretende con la auditoría.

Contenido del legajo de papeles de trabajo

El legajo de papeles de trabajo, por su naturaleza y contenido, es el aspecto fundamental para elaborar el dictamen de la auditoría, y su uso es confidencial y exclusivo del auditor de sistemas, debido a que éste va integrando en estos papeles de trabajo los documentos reservados y de uso exclusivo de la empresa.

  • Hoja de identificación.
  • Índice de contenido de los papeles de trabajo.
  • Dictamen preliminar (borrador).
  • Resumen de desviaciones detectadas (las más importantes).
  • Situaciones encontradas (situaciones, causas y soluciones).
  • Programa de trabajo de auditoría.
  • Guía de auditoría.
  • Inventario de software.
  • Inventario de hardware.
  • Inventario de consumibles.
  • Manual de organización.
  • Descripción de puestos.
  • Reportes de pruebas y resultados.
  • Respaldos (backups) de datos, disquetes y programas de aplicación de auditoría.
  • Respaldos (backups) de las bases de datos y de los sistemas.
  • Guías de claves para el señalamiento de los papeles de trabajo.
  • Cuadros y estadísticas concentradores de información.
  • Anexos de recopilación de información.
  • Diagramas de flujo, de programación y de desarrollo de sistemas.
  • Testimoniales, actas y documentos legales de comprobación y confirmación.
  • Análisis y estadísticas de resultados, datos y pruebas de comportamiento del sistema.
  • Otros documentos de apoyo para el auditor.

Hoja de identificación

Hoja de identificación: se anotan los datos elementales que sirven para identificar la documentación contenida en el legajo.

  • Nombre de la empresa responsable de llevar a cabo la auditoría de sistemas.
  • Identificación del legajo de papeles de trabajo.
  • Nombre de la empresa o área de sistemas auditada.
  • Periodo en que se realizó la auditoría.

Códigos y clasificación de la documentación

  • HW: Para la documentación relacionada con el equipo físico, periféricos y demás equipos de sistemas.
  • SW: Para la documentación relacionada con el software y paqueterías.
  • SG: Para la documentación relacionada con la seguridad informática.
  • BD: Para la documentación relacionada con las bases de datos, información y demás archivos de datos.
  • DS: Para la documentación relacionada con el análisis, diseño y desarrollo de sistemas.
  • IS: Para la documentación relacionada con las instalaciones del área de sistemas.
  • CC: Para la documentación relacionada con el centro de cómputo.
  • GA: Para la documentación relacionada con la gestión administrativa del centro de cómputo.
  • CM: Para la documentación relacionada con los consumibles del área de sistemas.

Inventarios

Inventario: sirven para contar los elementos que existen en el área que va a evaluar, según los equipos, artículos o partes del sistema que se traten; además:

  • Inventario de software.
  • Inventario de hardware.
  • Inventario de bases de datos e información de la empresa.
  • Inventario de proyectos y desarrollos computacionales.

COMIT y QuickTime Player: documentos de apoyo para el auditor de sistemas que se pueden anexar al legajo de papeles de trabajo.

Claves del auditor para marcar papeles de trabajo

Son las marcas de carácter informal que utiliza exclusivamente el auditor o el grupo de auditores que realizan la auditoría, con el fin de facilitar la uniformidad de los papeles de trabajo y para identificarlos mejor.

Diagramas de flujo

Diagramas de flujo: en este tipo de diagramas se señalan los procedimientos por medio de símbolos adoptados para ejemplificar el flujo que siguen los datos.

Procedimiento para elaborar el informe de auditoría de sistemas computacionales

Procedimiento para elaborar el informe de auditoría de sistemas computacionales

En el informe de auditoría, también llamado dictamen, se reportan las situaciones encontradas durante la evaluación, pero también se deben incluir las causas que originan esas situaciones y las posibles sugerencias para solucionar los problemas encontrados.

Pasos

  • Aplicar instrumentos de recopilación.
  • Registrar en el formato de situaciones encontradas las desviaciones halladas durante la revisión.
  • Comentar las situaciones encontradas con los auditados.
  • Encontrar, conjuntamente con los auditados, las causas de las desviaciones y sus posibles soluciones.
  • Analizar, depurar y corregir las desviaciones encontradas.
  • Jerarquizar las desviaciones encontradas y concentrar las más importantes en el formato de situaciones relevantes.
  • Comentar las situaciones relevantes con los directivos del área de sistemas y confirmar las causas y soluciones.
  • Concentrar, depurar y elaborar el informe final de auditoría, así como el dictamen del auditor.
  • Presentar el informe y dictamen final a los directivos de la empresa.

Características fundamentales

Características de fondo: estas características se refieren al cuidado que debe tener el auditor de sistemas al revisar que el contenido total del dictamen de auditoría sea acorde con lo que realmente tiene que señalar acerca de la revisión efectuada.

Características de forma: estas características se refieren a la manera en que el auditor debe presentar el informe, en cuanto al estilo de redacción y el contenido en partes.

Características de la presentación del informe

Otras de las características más importantes de un informe de auditoría de sistemas computacionales son los atributos que deben tener la redacción y la presentación del informe:

  • Claridad.
  • Exactitud.
  • Confiabilidad.
  • Imparcialidad.

Dictamen de auditoría de sistemas computacionales

Dictamen de auditoría de sistemas computacionales: tal vez ésta sea la parte más importante de una auditoría de sistemas computacionales y, en muchas ocasiones, lo que más esperan los directivos de la empresa o del área auditada, debido a que es una opinión profesional respecto al comportamiento de los sistemas.

Formatos para el informe de auditoría de sistemas computacionales

Formato de situaciones encontradas: este documento, que es uno de los documentos más importantes para el desarrollo de cualquier auditoría de sistemas, es un formato especial para la recopilación de situaciones o desviaciones encontradas, el cual está formado por una serie de hojas.

Formato de situaciones relevantes: este documento es una réplica simplificada del formato anterior; en éste únicamente se anotan las situaciones consideradas como relevantes, resultado del análisis al documento anterior; es decir, sólo se incluyen aquellas observaciones que a juicio del auditor o del responsable de la auditoría son realmente importantes para el desarrollo de las actividades del área de sistemas evaluada.

Instrumentos de recopilación aplicables en una auditoría de sistemas computacionales

Entrevistas

Entrevistas: la principal actividad de un auditor, sin importar el tipo de auditoría que realice, es la recopilación de información sobre el aspecto que va a auditar.

Tipos de entrevistas para una auditoría

Hay dos tipos de entrevistas: las que se hacen de manera libre y espontánea, sin formalidades ni limitaciones, y las destinadas a la participación del entrevistado mediante un método previamente establecido.

Entrevistas tipo embudo
  • Preguntas generales.
  • Preguntas concretas.
Entrevistas tipo pirámide

Cerrada y general.

Cuestionarios

Cuestionarios: es la recopilación de datos mediante preguntas impresas en cédulas o fichas, en las que el encuestado responde de acuerdo con su criterio; de esta manera, el auditor obtiene información útil.

Ventajas:

  • Facilitan la recopilación de información y no se necesitan muchas explicaciones ni una gran preparación para aplicarlos.
  • Permiten la rápida tabulación e interpretación de los datos, proporcionándoles la confiabilidad requerida.

Desventajas:

  • Falta de profundidad en las respuestas y no se puede ir más allá del cuestionario.
  • Se necesita una buena elección del universo y de las muestras utilizadas.

Encuestas

Encuestas: las encuestas constituyen otra de las técnicas más populares y de mayor uso en una auditoría de sistemas computacionales, y son útiles principalmente para averiguar opiniones sobre aspectos de la informática tales como el servicio.

  • Escritas.
  • Verbales.

Clasificación de la encuesta por la forma de realizarla

Encuestas dirigidas.

Clasificación de las encuestas por el universo que abarcan

Individuales y de grupo.

Clasificación de la encuesta por la forma de manejar la información

Unidas, transversales, candado.

Observación: una de las técnicas más populares, de mayor impacto y más utilizadas para examinar los diferentes aspectos que repercuten en el funcionamiento del área de informática o del propio sistema: indirecta, directa, oculta, participativa o no participativa.

Inventarios

Inventarios: esta forma de recopilación de información consiste en hacer un recuento físico de lo que se está auditando, a fin de saber la cantidad existente de algún producto en una fecha.

Muestreo

Muestreo: una de las técnicas que más aportaciones hacen a la auditoría de sistemas computacionales es el muestreo, ya que una aplicación correcta de los métodos y procedimientos estadísticos ayuda bastante a seleccionar una parte representativa del universo.

Técnicas de evaluación aplicables en una auditoría de sistemas computacionales

Técnicas de evaluación aplicables en una auditoría de sistemas computacionales

Examen

Examen: en una auditoría, el examen consiste en analizar y poner a prueba la calidad y el cumplimiento de las funciones, actividades y operaciones que se realizan cotidianamente.

Pruebas piloto

Pruebas piloto: son las pruebas que se realizan a los prototipos del sistema computacional, al diseño y programación de los propios sistemas e incluso a los diseños.

Pruebas en paralelo

Pruebas en paralelo: son las pruebas del funcionamiento del nuevo sistema y, al mismo tiempo, del sistema anterior; para ello se utilizan las mismas operaciones.

Inspección

Inspección: se evalúa la eficiencia y eficacia del sistema, en cuanto a operación y procesamiento de datos.

Confirmación

Confirmación: uno de los aspectos fundamentales para la credibilidad de una auditoría es la confirmación de los hechos y la certificación de los datos obtenidos durante la revisión, ya que el resultado final de una auditoría es la emisión de un dictamen en el que el auditor vierte sus opiniones.

Acta testimonial

Acta testimonial: el acta testimonial es un documento de carácter formal que, por su representatividad, importancia y posibles alcances de carácter legal y jurídico, es uno de los documentos vitales para cualquier auditoría; este documento no sólo sirve de testimonio para comprobar y corroborar,

Nota: Técnicas de evaluación aplicables en una auditoría de sistemas computacionales.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *