PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA.

13

CAPITULO II

II. PLANEACIÓN DE LA AUDITORÍA INFORMÁTICA.

Introducción

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una

serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del

organismo a auditar, sus sistemas, organización y equipo; con ello podremos determinar el

número y características del personal de auditoría, las herramientas necesarias, el tiempo y costo,

así como definir los alcances de la auditoría para, en caso necesario, poder elaborar el contrato de

servicios.

Dentro de la auditoría en general, la planeación es uno de los pasos más importantes, ya

que una inadecuada planeación repercutirá en una serie de problemas, que pueden provocar que

no se cumpla con la auditoría o bien que no se efectúe con el profesionalismo que debe tener el

desarrollo de cualquier auditoría.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que

hacerla desde el punto de vista de los tres objetivos:

Evaluación administrativa del área de procesos electrónicos.

Evaluación de los sistemas y procedimientos.

Evaluación de los equipos de cómputo.

Para lograr una adecuada planeación, lo primero que se requiere es obtener información

general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso

hacer un, investigación preliminar y algunas entrevistas previas, y con base a esto planear el

programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos

auxiliares a solicitar o formular durante el desarrollo de la misma

Este capitulo pretende destacar la importancia de una adecuada planeación de la auditoría

informática, por lo que se incluye las lecturas, conceptos de auditoría informática y elementos

que la integran de Erique Hernández y Hernández y la que nos presentan Eduardo Horacio Quinn

en su obra “ La auditoría informática dentro de las etapas de análisis de sistemas

administrativos”.

II.1 Concepto y elementos que la integran.

Fuente: Enrique Hernández. Auditoría en

Informática: un Enfoque Metodológico. CECSA.

2001.

Planeación.

La función de auditoría en informática debe generar, como todas las áreas del negocio, un

plan de proyectos que justifiquen su trabajo durante cierto periodo; de igual manera, cada uno de

esos proyectos tendrá que contemplar un análisis costo/beneficio y la estructura de los mismos

14

con un enfoque metodológico con el fin de que esta función sea evaluada según su desempeño,

con parámetros lo mas tangibles y mesurables posibles.

Cada proyecto de auditoría en informática respalda los objetivos y requerimientos de tres

entidades del negocio en alto o bajo grado:

A) Alta dirección.

· Seguimiento a proyectos relacionados con tecnología informática.

· Verificación y aseguramiento del cumplimiento de políticas tecnología informática.

· Otros aspectos de interés para la alta dirección.

B) Auditoría.

· Apoyo en la definición, implantación y seguimiento de políticas, controles y

procedimientos de auditoría financiera operativa, de créditos, fiscal, etc., relacionadas

directa o indirectamente con la tecnología de informática (sistemas de información,

equipos de cómputo, comunicaciones, etc.).

· Planes de capacitación en el uso y entendimiento de software de auditoría,

herramientas de productividad (hojas electrónicas, procesadores de palabras,

graficadores, diagramadores, etc.), base de datos (consulta de información, por

ejemplo), equipos de cómputo (micros, terminales, portátiles, etc.); otros de interés

para los auditores.

· Otros de interés para el desarrollo eficiente de los auditores cuando evalúen áreas del

negocio que se apoyan en informática.

C) Informática.

· Apoyo en la definición, implantación y seguimiento de políticas, controles,

procedimientos y estándares relativos a la organización y administración de

informática, el proceso de planeación, la evaluación y adquisición de nueva

tecnología, la evaluación y adquisición de servicios, el desarrollo e implantación de

soluciones (EDI, CASE, base de datos, telecomunicaciones, sistemas estratégicos,

multimedia, etc.) y otros de interés para informática.

Lo anterior permite concluir que es muy importante la comunicación permanente entre la

función de auditoría en informática y la alta dirección, así como con las direcciones o gerencias

de auditoria o informática.

Proceso de planeación de auditoría en informática.

Consta de la definición y planificación de proyectos. Abarca las actividades desarrolladas

por el auditor en informática que tiene como objetivo principal elaborar y presentar un conjunto

de proyectos inherentes a la función de auditoria en informática a la alta dirección, y que estarán

orientados primordialmente al aseguramiento de la calidad y control de los diferentes elementos

que se encuentran relacionados de manera directa o indirecta con los recursos de informática.

15

Proceso detallado de la planeación de la auditoría en informática.

Es importante aclara que este proceso de planeación depende en gran medida del

diagnostico previo que haga el auditor en informática de la situación que prevalece en cada una

de las áreas o servicios de la función de informática. También se deben considerar las

necesidades o prioridades que tenga la alta dirección de auditar o evaluar un área especifica de

informática.

El diagnóstico de la situación de informática previo a la planeación de ésta deberá ser

breve y muy objetivo; de ninguna manera debe descuidarse el objetivo principal de esta tarea, que

es determinar las áreas de mayor riesgo de la función de informática con base en criterios

económicos, grado de satisfacción de la alta dirección, seguridad, calidad, productividad,

vanguardia tecnológica, etcétera.

Actividades sugeridas para el proceso: elaboración, documentación, autorización y difusión

formal del plan de auditaría en informática

Es importante identificar el nivel de riesgo de cada uno de los elementos que integran la

función de informática en el negocio a través del diagnóstico de la situación actual en

informática.

Las áreas que serán diagnosticadas pueden variar de acuerdo con el tamaño y estructura

del negocio. Estos pueden ser empresas que dependan de un corporativo o Holding; asimismo, el

giro de la empresa y el número de sucursales o subsidiarias originan en ocasiones que el auditor

en informática tenga que evaluar productos y servicios de informática con un enfoque

centralizado o descentralizado, según sea el caso.

Algunos de los siguientes servicios se mencionan de manera ilustrativa, esto es, no son

limitativos o totalitarios para empresa alguna, ya que será el propio, perfil y sus características los

que definan el alcance de la función de informática:

· Sistemas de información en operación

· Administración de hardware y software

· Desarrollo de sistemas de información

· Soporte a usuarios (capacitación, asesoría, entre otros)

· Administración de telecomunicaciones

· Investigación y desarrollo tecnológico

· Otros

El auditor deberá utilizar todos los parámetros de medición y evaluación posibles, sin caer

en un análisis detallado, para detectar la problemática principal de cada área.

Si este proceso mostrara anomalías de considerable importancia en alguno de los

elementos evaluados, se tomarán acciones inmediatas orientadas a minimizarlas o eliminarlas.

Determinar el nivel de riesgo que existe en cada una de las áreas de la función de

informática: cada área, producto o servicio de informática es susceptible de evaluación y control

para asegurar que se desarrolle de acuerdo con los estándares, políticas y procedimientos

específicos que le han sido asignados según su función.

16

Consideraciones que se deben tomar en cuenta al diagnosticar la situación actual para la

obtención de la matriz de riesgos: el auditor en informática ha de conocer de manera aceptable

los aspectos relativos a auditoría e informática que deben tener cada una de las áreas de

informática. Lo anterior es un requisito indispensable, ya que tendrá que basarse en su

experiencia y dominio de la auditoría en informática para efectuar un diagnóstico objetivo y

contundente; además, se apoyará en la visión de los principales usuarios del negocio y del

responsable de informática.

Diagnóstico de la situación actual de los sistemas información en operación.

Dado que los sistemas de información en operación son un elemento primordial dentro del

funcionamiento formal de cualquier negocio (aquí se manejan los datos de las áreas financieras,

productivas y administrativas para la toma de decisiones), conviene recalcar las consideraciones y

criterios

...