Fase 1. Identificar el Alcance y los Objetivos de la Auditoría Informática (A.I.)
En esta fase se determinan los límites y el entorno en que se realizará la auditoría, es el momento donde se determina hasta donde debe llegar la tarea, debe existir un acuerdo muy preciso entre autoridades y clientes sobre las funciones (seguridad, dirección, etc.), las materias (sistemas operativos, bases de datos, etc.) y los departamentos o áreas a auditar (sistemas, comunicaciones, etc.). El éxito del proceso de auditoría depende de una clara definición de esta fase.
Fase 2. Realizar el Estudio Inicial del entorno a auditar
Para realizar dicho estudio es necesario examinar las funciones y actividades generales de la organización a auditar y en particular de las relacionadas con las tecnologías de la información, se deberá obtener información sobre:
Organización
- Se debe definir la estructura organizativa del Departamento o área de Informática a auditar.
- Organigrama, se trata de la estructura formal de la organización a auditar.
- Departamentos, entendiendo como departamentos a las áreas que siguen a la dirección; en el estudio inicial se deberá definir la función de cada uno de ellos.
- Relaciones funcionales y jerárquicas entre las distintas áreas de la organización; el auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas, o por el contrario, detectará, cualquier anomalía como por ejemplo, si algún empleado tiene dos jefes.
- Flujo de información, la calidad de este flujo tiene un enorme impacto sobre la eficacia y eficiencia de la gestión, deberá investigar sobre posibles canales alternativos o no formales de comunicación.
- Numero de puestos de trabajo y personas por puesto de trabajo
- Distribución de recursos ineficiente
- Necesidad de reorganización
Entorno Operativo
El equipo de auditoría informático debe poseer antes de comenzar la tarea una información fiable del entorno en el que se va ha desarrollar las actividades. Se debe considerar:
- Situación geográfica de las áreas de sistemas a auditar, verificando la existencia de los responsables y la estructura interna del área informática, así como el uso de estándares de trabajo formales o informales, los planes de capacitación y las políticas de ingreso de personal a las áreas de sistemas.
- Arquitectura y configuración de hardware y software: Inventario completo del hardware y software, incluyendo procesadores, periféricos, software de base y aplicación, legalidad del mismo, etc.
- Telecomunicaciones: topología, proveedores, servicios que se brindan, seguridad, etc.
- Aspectos relacionados con la seguridad y planes de contingencia.
Aplicaciones informáticas, bases de datos y archivos
- Se deben determinar los sistemas informáticos implementados en la empresa.
- Volumen, Antigüedad y Complejidad de las aplicaciones
- Metodología de desarrollo de aplicaciones
- Metodología de mantenimiento de las aplicaciones.
- Documentación de aplicaciones
- Cantidad y complejidad de bases de datos, tamaño y características de bases de datos, número de accesos a BD, frecuencia de actualización
- Planes de desarrollo
- Políticas de backup.
Muchos autores sugieren que en el final de esta etapa es necesario realizar un Análisis de Riesgo, que será el que guié el proceso de auditoría.
Fase 3. Determinación de los recursos necesarios para realizar la auditoría de sistemas.
Después de realizar el estudio preliminar se debe determinar los recursos materiales y humanos necesarios para implementar el plan de auditoría.
- Recursos Materiales
- Software: paquetes de auditoría del equipo auditor, compiladores
- Hardware: PC’s, impresoras, líneas de comunicación.
- Se debe establecer quién provee estos recursos
- Recursos Humanos
La Auditoría de sistemas en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria y en algunos casos se requiere que los profesionales estén certificados por ISACA (Asociación de Auditoría y Control de Sistemas de Información).
Fase 4. Elaborar el Plan de Trabajo
En esta fase se define el calendario de actividades a realizar, formalizando el mismo para la aprobación por parte de las autoridades.
El plan de la auditoría en muchos casos es guiado por las recomendaciones que brinda ISACA a través de sus guías y contempla:
- Conocimiento de la organización y de sus procesos, para identificar problemas potenciales, alcance, etc.
- Programa de auditoría: Calendario de trabajo (tareas y recursos) y su seguimiento. Un programa de auditoría es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoría planificados. El esquema típico de un programa de auditoría incluye lo siguiente:
Tema de auditoría: Donde se identifica el área a ser auditada.
Objetivos de Auditoría: Donde se indica el propósito del trabajo de auditoría a realizar.
Alcances de auditoría: Aquí se identifica los sistemas específicos o unidades de organización que se han de incluir en la revisión en un período de tiempo determinado.
Planificación previa: Donde se identifica los recursos y destrezas que se necesitan para realizar el trabajo así como las fuentes de información para pruebas o revisión y lugares físicos o instalaciones donde se va auditar.
Procedimientos de auditoría: para:
- Recopilación de datos.
- Identificación de lista de personas a entrevistar.
- Identificación y selección del enfoque del trabajo
- Identificación y obtención de políticas, normas y directivas.
- Desarrollo de herramientas y metodología para probar y verificar los controles existentes.
- Procedimientos para evaluar los resultados de las pruebas y revisiones.
- Procedimientos de comunicación con la gerencia.
- Procedimientos de seguimiento.
- Evaluación interna del control, mediante pruebas de cumplimiento de los controles.
ENTIDAD: MUNICIPALIDAD DISTRITAL DE PUENTE PIEDRA
Área : Gerencia de Informática y Estadística
I. VISITA PRELIMINAR
- Solicitud de Manuales y Documentaciones.
- Elaboración de los cuestionarios.
- Recopilación de la información organizacional: estructura orgánica, recursos humanos, presupuestos.
II. DESARROLLO DE LA AUDITORIA
- Aplicación del cuestionario al personal.
- Entrevistas a líderes y usuarios mas relevantes de la dirección.
- Análisis de las claves de acceso, control, seguridad, confiabilidad y respaldos.
- Evaluación de la estructura orgánica: departamentos, puestos, funciones, autoridad y responsabilidades.
- Evaluación de los Recursos Humanos y de la situación Presupuestal y Financiera: desempeño, capacitación, condiciones de trabajo, recursos en materiales y financieros mobiliario y equipos.
- Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema.
- Evaluación del Proceso de Datos y de los Equipos de Cómputos: seguridad de los datos, control de operación, seguridad física y procedimientos de respaldo.
III. REVISION Y PRE-INFORME
- Revisión de los papeles de trabajo.
- Determinación del Diagnostico e Implicancias.
- Elaboración de la Carta de OCI.
- Elaboración del Borrador.
IV. INFORME
- Elaboración y presentación del Informe.
Fase 5. Realizar las Actividades de Auditoría
Es el momento donde se hacen efectivas las actividades planificadas en la fase anterior, aplicando distintas técnicas y utilizando herramientas que garanticen el cumplimiento de los objetivos planteados, se documenta esta etapa, monitoreando las posibles desviaciones que se detecten en relación con la planificación original.
Fase 6. Realizar el Informe Final
El objetivo final del auditor es entregar por escrito un informe, en donde se harán las conclusiones y recomendaciones. El auditor justifica personalmente su auditoría en forma documentada. La elaboración del Informe Final es la única referencia constatable de toda auditoría, y el exponente de su calidad. Por lo tanto es muy importante que su contenido sea claro y estructurado de tal manera que responda a las expectativas del cliente en cuanto al cumplimiento de los objetivos planteados.
Modelo de Estructura de un Informe Final
- Definición de objetivos y alcance de la auditoría.
- Enumeración de temas considerados
- Cuerpo expositivo
a) Situación actual. Cuando se trate de una Revisión periódica.
b) Tendencias. Se tratarán de hallar parámetros de correlación.
c) Puntos débiles y amenazas.
d) Recomendaciones y Planes de Acción. Constituyen, junto con la exposición de puntos débiles, el verdadero objeto de la auditoría informática. Es importante considerar que el objetivo final debe ser el de crear un ambiente de control dentro de la empresa y las recomendaciones deben estar orientadas en este sentido.
En el informe final deben quedar claramente formalizados los siguientes puntos:
- Alcance
- Objetivos
- Período de cobertura
- Naturaleza y extensión del trabajo de auditoría
- Organización
- Destinatarios del informe
- Restricciones
- Hallazgos
- Conclusiones
- Recomendaciones
Fase 7. Carta de Presentación.
Es la última etapa de la auditoría consta de un resumen de 3 ó 4 folios del contenido del informe final, dirigido a las autoridades de la empresa u organización donde se realizó la auditoría; es conveniente que los responsables máximos de la empresa certifiquen que la tarea fue realizada de
acuerdo con lo previsto, este documento debe incluir los siguientes elementos:
- Datos generales de la auditoría como los límites de la misma, los objetivos y alcance de la auditoría.
- Cuantificación de las áreas analizadas.
- Conclusión general, puntualizando las áreas de gran debilidad.
- Presentación de las debilidades y riesgos en orden de importancia.
- Resumen de las recomendaciones realizadas.
