martes, 13 de septiembre de 2016







PARA LOS ESTUDIANTES :


AUDITORÍA DE SISTEMAS




1ª etapa:       Planeación de la auditoría de sistemas computacionales


           
P.1      Identificar el origen de la auditoría


            P.2      Realizar una visita preliminar al área que será evaluada


            P.3      Establecer los objetivos de la auditoría


            P.4      Determinar los puntos que serán evaluados en la auditoría


            P.5      Elaborar planes, programas y presupuestos para realizar la auditoría


P.6      Identificar y seleccionar los métodos, procedimientos, instrumentos y herramientas necesarios para la auditoría.


            P.7      Asignar los recursos y sistemas computacionales para la auditoría


 


P.1      Identificar el origen de la auditoría


 


El primer paso formal para iniciar la planeación de una auditoría en el área de sistemas es identificar el origen de la auditoría; es decir,  lo primero es saber por qué surge la necesidad o inquietud de realizar la auditoría.  Para esto nos debemos preguntar ¿de dónde?, ¿Por qué?, ¿quién?, o para qué se requiere hacer la evaluación de algún aspecto de sistemas de la empresa.


           


            P.1.1   Por solicitud expresa de procedencia interna


 


Podemos decir que éste es un origen oficial sobre la necesidad de realizar una auditoría al área de sistemas de la empresa, debido a que surge de una petición formal de alguien que pertenece a la empresa.  Con esta solicitud se marca el requisito formal para poder llevar una evaluación en el área de sistemas.


 


                        P.1.1.1           A petición de accionistas, socios y dueños


Este es el más común de los orígenes de una auditoría,  incluso de sistemas computacionales, debido a que la solicitud es formulada (ordenada) por los dueños de empresa, sean accionistas, socios o dueños únicos.


 


                        P.1.1.2           Por orden de la dirección general


Esta revisión se realiza por una orden directa de quien ejerce la máxima autoridad en la empresa,  pudiendo tener múltiples motivos, tales como evaluación periódica del área de sistemas,  por desconfianza de la actuación de los dirigentes del área, para verificar el cumplimiento de sus actividades.


                       


P.1.1.3           Por orden de las gerencias o departamentos a nivel  superior


Se origina por una petición de las gerencias o departamentos de mando superior de la empresa, según sus características, estructura de organización y funciones que desempeñan para la misma.


 


                        P.1.1.4           A solicitud de funcionarios y empleados de otros niveles


El origen de esta auditoría es algo irregular y poco usual en las empresas, ya que la solicitud de la auditoria parte de los niveles bajo de la jerarquía institucional y, según las políticas y procedimientos de la empresa, para que esta solicitud sea atendida, en muchos de los casos se tienen que seguir los canales formales de comunicación y autorización establecidos en la empresa.


 


            P.1.2   Por solicitud expresa de procedencia externa


 


Es otro origen oficial sobre la necesidad de realizar una auditoría al área de sistemas en la empresa,  debido a que surge de una petición formal de alguien ajeno a la empresa, a quien, por alguna causa le interesa que sean auditados los sistemas computacionales de ésta.


 


                        P.1.2.1 Por mandato de autoridades judiciales


Este origen es el más común y siempre se deriva de un mandato de las autoridades judiciales,  quienes por algún motivo solicitan (imponen) la realización de una auditoría a la empresa.


 


                        P.1.2.2 Por ordenamiento de las autoridades fiscales


Es uno de los orígenes más importantes de una auditoría externa y es cuando las autoridades fiscales solicitan (imponen) la realización de una auditoría;  por lo general ésta es de tipo externa.


 


                        P.1.2.3 Por revisiones de autoridades de seguridad social y del trabajo


Este tipo de solicitud de auditoría,  aunque también es de tipo impositivo, es de origen muy especial, debido a que sólo puede ser derivado de casos inesperados que afecten a los trabajadores y patrones o por la sospecha de algún delito o irregularidad que repercuta en la seguridad social y la del trabajo. Se debe especificar, mediante mandato judicial.


 


                        P.1.2.4 Por revisiones de otras autoridades


Serían muy escasas y poco probables las auditorías de sistemas solicitadas (ordenadas) por autoridades distintas a las señaladas con anterioridad.


 


                        P.1.2.5 Por solicitud de proveedores y acreedores


Actualmente no es difícil encontrar una solicitud de este tipo de auditoría de sistemas,  pero no pasa de ser una solicitud,  ya que la empresa no está obligada a dar acceso a su información, ni a sus sistemas, ni a sus bases de datos.


 


                        P.1.2.6 Por solicitud de distribuidores y desarrolladores de software y hardware


Este requerimiento es muy similar al anterior,  debido a que cuando la solicitud de auditoría parte de los distribuidores y desarrolladores de software y hardware, la empresa tiene la facultad de acceder o negarse a ello.


 


P.2      Realizar una visita preliminar al área que será evaluada


 


Es recomendable que el auditor realice una visita preliminar al área de informática que será auditada,  después de conocer el origen de la petición de auditoría,  y antes de iniciarla formalmente, el propósito es que conozca el personal, como están distribuidos los sistemas, cuántos y cuáles son los equipos que están en el centro de cómputo, cuáles son las medidas de seguridad visibles que existen.


 


            P.2.1 Visita preliminar de arranque


Es una visita preparatoria al área de informática que será auditada, le permite al auditor obtener un panorama general del área y conocer la problemática que se le presentará en la auditoría.


 


            P.2.2 Contacto inicial con funcionarios y empleados del área


Dentro de esta visita preliminar, el auditor aprovecha para establecer un contacto inicial con los funcionarios,  empleados y usuarios del área de sistemas;  el propósito es que observe sus reacciones, identifique las posibles limitaciones y temores que influirán en la cooperación de dicho personal.


 


            P.2.3 Identificación preliminar de la problemática de sistemas


En esta visita el auditor puede aprovechar para saber cuál es la principal problemática a la que se enfrenta el área de sistemas, su personal y usuarios, el procesamiento y administración de su base de datos.


 


            P.2.4 Prever los objetivos iniciales de la auditoría


Se puede obtener en esta visita al área que será auditada,  los objetivos o por lo menos tratar de entender cuáles son las metas que quieren alcanzar con la evaluación.


 


P.4      Determinar los puntos que serán evaluados en la auditoría


 


La definición y establecimiento de los puntos que serán evaluados en la auditoría,  es el elemento fundamental  de apoyo del auditor,  debido a que esto es producto de un análisis previo, tanto del origen de la auditoría y de la visita previa como de los objetivos que se pretenden satisfacer con la realización de esta auditoría.


 
P.4.1 Evaluación de las funciones y actividades del personal del área de sistemas.


La determinación de los puntos que se deben evaluar en estos aspectos se refiere a una valoración del cumplimiento de las funciones y actividades establecidas para cada uno de los puestos que integran el centro de cómputo. El propósito fundamental de esta evaluació


 


P.4.2  Evaluación de las áreas y unidades administrativas del centro de cómputo.


En este punto se busca evaluar, mediante técnicas y procedimientos de auditoría todos aquellos aspectos que pueden influir en el grado de cumplimiento de las funciones, actividades y operación de las áreas y unidades de trabajo del centro de cómputo.


 


            P.4.3. Evaluación de la seguridad de los sistemas de información.


La seguridad en el área de sistemas,  es uno de los rubros más populares actualmente,  con ello se incrementa cada día más la necesidad de evaluar la seguridad y protección de los sistemas.


 


P.4.4 Evaluación de la información, documentación y registros de los sistemas.


La evaluación a las áreas de sistemas se encuentra todo lo relacionado con la información,  ya sea de las bases de datos y sistemas de almacenamiento, los respaldos o simple y sencillamente la forma de archivar los datos por parte de los usuarios del sistema.


 


P.5      Elaborar planes, programas y presupuestos para realizar la auditoría


 


La planeación formal de la auditoría de sistemas,  en la cual se concreten los planes, programas y presupuestos para dicha auditoría;  es decir se deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoría.


 


            P.5.1 Elaborar el documento formal de los planes de trabajo para la auditoría.


Estos planes se presentan en un documento oficial llamado plan de auditoría de sistemas, el cual contiene todos los aspectos relacionados con la realización de dicha auditoría.


 


                        P.5.1.1 Carátula de identificación del plan de auditoría


Es la primera hoja del documento de planeación, en la cual se establecen lo más claramente posible los siguientes puntos: Nombre de la empresa, período, auditor y área auditada.


 


                        P.5.1.2 Índice de contenido


Es conveniente que en estos documentos siempre se incluya una sección en donde se señalen, por nombre del contenido o apartados y por página, todos los puntos en que se dividió el plan de auditoría.


 


                        P.5.1.3 Definición de los objetivos


Es la definición formal, de lo que se pretende alcanzar con la auditoría.


 


                        P.5.1.4 Delimitación de estrategias para el desarrollo de la auditoría


En algunos casos es conveniente que en este plan se contemplen las estrategias para las diferentes partes de la auditoría de sistemas.


 


            P.5.3   Elaborar el documento formal de los programas de auditoría


En este documento se anotan,  de preferencia en forma gráfica, todas las etapas, eventos y actividades que se realizarán durante la auditoría.


 


                        P.5.3.1 Gráfica del programa de actividades


Es un momento visual de fácil comprensión, en donde se describe detalladamente y en forma de gráfica el plan de trabajo; es decir, todas las etapas, eventos y actividades contempladas para la evaluación de los sistemas.


 
                        P.5.3.2 Definición de las etapas y eventos que se deben llevar a cabo


Es la descripción detallada de la forma de planear el desarrollo y cumplimiento de las etapas o eventos en que se divide la evaluación de los sistemas.


 
                        P.5.3.3 Definición de las actividades y tareas


Es la descripción detallada de las acciones y pasos que se deben realizar en cada una de las etapas de la evaluación de los sistemas.


 


P.6      Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría.


 


Es determinar los documentos y medios con los cuales se llevará a cabo la revisión


a los sistemas de la empresa, lo cual se logrará a través de la selección o diseño


los métodos y procedimientos e instrumentos necesarios.


 


P.6.1 Establecer la guía de ponderación de los puntos que serán evaluados


Una de los aspectos más importantes que se deben considerar para realizar una auditoría de sistemas es la técnica de ponderación, la cual, como se señala es un método especial que ayuda a definir la forma de valorar cada una de las partes importantes del área de sistemas.


 


 

Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)