1. Concepto de Auditoria Informática
Es un proceso llevado a cabo por profesionales especialmente capacitados para
el efecto, y que consiste en recoger, agrupar y evaluar evidencias para
determinar si un sistema de información:
salvaguarda el activo empresarial
mantiene la integridad de los datos
lleva a cabo eficazmente los fines de la organización
utiliza eficientemente los recursos
y cumple con las leyes y regulaciones establecidas.
*_*_*_*_*_*_*_Objetivos_*_*_*_*_*_*_*
el control de la función informática
el análisis de la eficiencia de los Sistemas Informáticos
la verificación del cumplimiento de la Normativa en este ámbito
la revisión de la eficaz gestión de los recursos informáticos.
2. *_*_*_*_*_*_*_Cuestionarios_*_*_*_*_*_*_*
Es la herramienta punto de partida que permiten obtener información y
documentación de todo el proceso de una organización, que piensa ser
auditado.
Las auditorias informáticas se materializan recabando información y
documentación de todo tipo. Los informes finales de los auditores dependen de
sus capacidades para analizar las situaciones de debilidad o fortaleza de los
diferentes en-tornos.
El trabajo del auditor consiste en lograr toda la información necesaria para la
emisión de un juicio global objetivo, siempre amparado en hechos demostrables,
llamados también evidencias.
Se suele solicitar la complementación de cuestionarios que se envían a las
personas concretas que el auditor cree adecuadas.
Estos cuestionarios deben ser específicos para cada situación, y muy cuidados
en su fondo y su forma.
Cabe aclarar, que esta primera fase puede omitirse cuan- do los auditores
hayan adquirido por otro medios la información que aquellos pre-impresos
hubieran proporcionado.
3. *_*_*_*_*_*_*_*_Entrevistas_*_*_*_*_*_*_*_*
La segunda herramienta a utilizar es la entrevista, en la que llega a obtener
información más específica que la obtenida mediante cuestionarios, utilizando el
método del interrogatorio, con preguntas variadas y sencillas, pero que han sido
convenientemente elaboradas.
El auditor comienza a continuación las relaciones personales con el auditado.
La entrevista es una de las actividades personales más importante del
auditor; recoge más información, y mejor matizada, que la proporcionada
por medios propios puramente técnicos o por las respuestas escritas
a cuestionarios.
interrogatorio; es lo que hace un auditor, interroga y se interroga a sí
mismo.
4. *_*_*_*_*_*_*_*_Checklist_*_*_*_*_*_*_*_*
La tercera herramienta que se utiliza es el checklist, conjunto de preguntas
respondidas en la mayoría de las veces oralmente, destinados principalmente a
personal técnico. Por estos motivos deben ser realizadas en un orden
determinado, muy sistematizadas, coherentes y clasificadas por materias,
permitiendo que el auditado responda claramente.
Tener claro lo que se necesita saber, y por qué.
Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y
síntesis posterior.
5. *_*_*_*_*_*_Trazas y/o Huellas_*_*_*_*_*_*
La siguiente herramienta que se utiliza, las trazas, se basa en el uso de software,
que permiten conocer todos los pasos seguidos por la información, sin interferir
el sistema. Además del uso de las trazas, el auditor utilizará, los ficheros que el
próximo sistema genera y que recoge todas las actividades que se realizan y la
modificación de los datos, que se conoce con el nombre de log. El log almacena
toda aquella información que ha ido cambiando y como ha ido cambiando, de
forma cronológica.
Con frecuencia, el auditor debe verificar que los programas, tanto de los
Sistemas como de usuario, realizan exactamente las funciones previstas, y
no otras. Para ello se apoya en productos Software muy potentes y modulares
que, entre otras funciones, rastrean los caminos que siguen los datos a través
del programa.
La documentación de la auditoria es el principal registro de los procedimientos
de la auditoria aplicables, evidencia obtenida, y conclusiones alcanzadas en la
participación. La documentación de la auditoria debería incluir toda la
información que el auditor considere necesaria para realizar la auditoria de forma
correcta y proporcionar el apoyo para el informe de auditoria. La documentación
de la auditoria también podría referirse a los papeles de trabajo. Ha ido la manera
en que la documentación de la auditoria se mantiene en archives de
computadora.
6. *_*_*_*_Documentos de Auditoria_*_*_*_*
El objetivo general es la de ayudar al auditor a proporcionarle una seguridad
razonable de que una auditoria adecuada se realice de acuerdo con las normas
establecidas. La documentación de la auditoria, si pertenece al año corriente de
la auditoria, provee la base para la planeación de la auditoria, un registro de la
evidencia acumulada y los resultados de las pruebas, datos para determinar el
tipo adecuado del informe de auditoria y una base para la revisión por parte de
supervisor y socios.
La documentación de auditoria es el recurso más importante para demostrar por
medio de documentos que una auditoria fue realizada de forma adecuada y
conforme a las normas de auditoria generalmente aceptadas.
Documentos
Los datos en los archives son útiles para la evaluación de un ámbito adecuado
de auditoria y de la objetividad de los estados financieros.
Previo a la preparación del plan de auditoria, la revisión de la documentación
permite determinar la conformidad de la documentación del sistema, según
documentación, con los criterios de auditoria.
Si la documentación es inadecuada no se deben asignar nuevos recursos hasta
que estos problemas se resuelvan.
7. La revisión de la documentación comienza en la primera etapa de la auditoria y
puede continúa durante todo el ejercicio. El reto es identificar la información
requerida (deseable) y revisarla en detalle antes del trabajo de campo
Una visita previa puede ser útil para: Informar de primera mano del responsable
de la instalación acerca de los objetivos y procedimientos de la auditoria.
Conseguir información suficiente para desarrollar el entendimiento básico de la
instalación, los procesos y la gestión.
Diseñar un mejor plan de auditoria (más racional)
Tipos de documentos:
Documentación acerca del sistema de gestión de la calidad. Manuales de
calidad.
Documentación acerca de la aplicacióndel sistema de gestión de calidad. Planes
de calidad.
Documentos que establecen requisitos. Especificaciones.
Documentos que establecen recomendaciones o sugerencias. Guías.
Documentación acerca de cómo desempeñar las actividades o procesos.
Procedimientos, Instrucciones, Planos.
Documentación que proporciona evidencia objetiva de las actividades realizadas
o de los resultados logrados. Registros.
8. *_*_*_*_Papeles de Trabajo_*_*_*_*
Es la evidencia del trabajo de auditoria realizado que sirve como soporte a las
debilidades encontradas y las conclusiones a las que ha llegado el auditor. Estos
papeles deben ser claros y concisos.
La razón para elaborarlos es la siguiente:
Es la evidencia obtenida a lo largo del trabajo de auditoria.
Ayuda al auditor en el desarrollo de su trabajo.
Ofrece soporte del trabajo realizado, que debe ser utilizado
en auditorias posteriores.
Permite que el trabajo de auditoria pueda ser realizado por terceros.
9. *_*_*_*_Informe del Auditor_*_*_*_*
"Es un medio formal para comunicar los objetivos de la Auditoria, el cuerpo de
las normas de Auditoria, el alcance de la Auditoria, y los hallazgos y
conclusiones".
"Es el documento que refleja los objetivos, alcances, observaciones,
recomendaciones y conclusiones del proceso de evaluación relacionados con
las áreas de informática"
La elaboración del informe representa el momento adecuado de separar lo
significativo de lo no significativo, debidamente evaluados por su importancia y
vinculación con el factor de riesgo, tarea eminentemente de carácter profesional
y ético, según el leal saber y entender del Auditor Informático.
No existe un formato específico. Existen esquemas recomendados con los
requisitos mínimos aconsejables respecto a estructura y contenido. El orden y la
forma del Informe pueden variar de acuerdo con la creatividad y estilo de los AI.
El Informe de Auditoría deberá ser:
claro
adecuado
suficiente
comprensible
10. El formato del Informe debe reflejar una presentación lógica y organizada.
El informe debe incluir suficiente información para que sea comprendido por los
destinatarios esperados y facilitar las acciones correctivas.