Planeación Auditoría en Informática
Planeación Auditoría en Informática
Planeación Auditoría en Informática
2.1.1 PLANEACIÓN.
Para hacer una adecuada planeación de la auditoría en informática hay que seguir una serie de
pasos previos que permitirán dimensionar el tamaño y características del área dentro del
organismo a auditar, sus sistemas, organización y equipo. Con ello podremos
determinar el número y características del personal de auditoría, las herramientas
para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditoria en
general, la planeación es uno de los pasos más importantes, ya que una inadecuada planeación
provocara una serie de problemas que pueden impedir que se cumpla con la auditoria o bien
hacer que no se efectué con el profesionalismo que debe tener cualquier auditor. El trabajo de
auditoría deberá incluir la planeación de la auditoria, el examen y la evaluación de la
información, la comunicación de los resultados y el seguimiento.
Para lograr una adecuada planeación, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. El proceso de
planeación comprende el establecer:
• Metas.
• Programas de trabajo de auditoría.
• Planes de contratación de personal y presupuesto financiero.
• Informes de actividades.
Este proceso de planificación concuerda con la definición esencial del enfoque organizacional de
auditoria, que es el trabajo enfocado “de arriba hacia abajo”. La planificación estratégica
brinda una visión “desde arriba”, englobando toda la auditoria en su conjunto. La
planificación detallada “desde abajo”, trabaja con cada estrategia definida y determina
como ejecutarla. Esta clasificación entre planificación estratégica y detallada dentro del enfoque
organizacional de auditoría está de acuerdo con otro de los pilares del enfoque empresarial que
es la realización de auditorías “a medida”. Las etapas mencionadas, su orden y la forma en
que se tratan, suponen la realización de un trabajo de auditoría recurrente.
Conocimiento acumulado La comprensión del negocio del ente es fundamental para realizar
una planificación efectiva y una auditoria eficiente. El conocimiento adquirido en trabajo de
auditoría recurrente para un ente, en particular tiene un valor agregado que debe aprovecharse
en años sucesivos.
Luego corresponde analizar que sucede en el ambiente del sistema de información. Una
parte integral del conocimiento del negocio y de los sistemas que registran sus transacciones es
el desarrollo de una comprensión global de los sistemas de información presentes. En este
momento de la planificación estratégica corresponde determinar cuál es la naturaleza y
alcance de los sistemas de la organización, si posee procesamiento computarizado o
manual, cual es el software de sistemas con que opera, cuáles fueron los cambios ocurridos
desde la última visita, cual es la naturaleza en cuanto a la configuración y estructura de las
operaciones computadorizadas.
Por último corresponde analizar qué cambios ocurrieron en las políticas contables de la
organización, si hubo algún cambio a la política vigente por decisión del ente o por cambio de
las normas contables aplicables en la empresa.
Objetivos específicos:
- Asegurar una mayor integridad, confidencialidad y confiabilidad de la información.
- Seguridad del personal, los datos, el hardware, el software y las instalaciones.
- Minimizar existencias de riesgos en el uso de Tecnología de información
- Conocer la situación actual del área de sistemas para lograr los objetivos de la
Organización.
- Seguridad, utilidad, confianza, privacidad y disponibilidad de los entornos.
- Incrementar la satisfacción de los usuarios de los sistemas de información.
- Capacitación y educación sobre controles en los Sistemas de Información.
- Buscar una mejor relación costo-beneficio de los sistemas automáticos.
- Decisiones de inversión y gastos innecesarios.
El objetivo final que tiene el auditor de sistemas es dar recomendaciones a la alta gerencia para
mejorar o lograr un adecuado control interno en ambientes de tecnología informática con el fin
de lograr mayor eficiencia operacional y administrativa.
En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios. En el
Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las
prioridades del cliente. El Plan establece disponibilidad futura de los recursos durante la
revisión. El Plan estructura las tareas a realizar por cada integrante del grupo. En el
Plan se expresan todas las ayudas que el auditor ha de recibir del auditado.
Informe de auditoría. Los informes de auditoría son el producto final del trabajo del
auditor de sistemas, este informe es utilizado para indicar las observaciones y
recomendaciones a la gerencia, aquí también se expone la opinión sobre lo adecuado o lo
inadecuado de los controles o procedimientos revisados durante la auditoría, no existe un
formato específico para exponer un informe de auditoría de sistemas de información, pero
generalmente tiene la siguiente estructura o contenido:
El auditor puede decidir que se obtendrá un mayor costo-beneficio al dar una mayor
confianza a los controles de compensación y revisar y probar mejor estos controles. La revisión
preliminar significa la recolección de evidencias por medio de entrevistas con el
personal de la instalación, la observación de las actividades en la instalación y la
revisión de la documentación preliminar. Las evidencias se pueden recolectar por medio de
cuestionarios iníciales, o bien por medio de entrevistas, o con documentación narrativa.
Debemos considerar que ésta será sólo una información inicial que nos permitirá elaborar el plan
de trabajo, la cual se profundizará en el desarrollo de la auditoría.
La revisión preliminar elaborada por un auditor interno difiere de la realizada por un auditor
externo en tres aspectos.
En general, la opinión del gerente de informática de la alta gerencia considera que el que
el auditor participe en la fase de diseño disminuye la independencia del auditor, pero
existen varias formas en las cuales se puede eliminar esto:
• Aumentando los conocimientos en informática del auditor.
• Asignar diferentes auditores a la fase de diseño, al trabajo de auditoría y al posterior a la
auditoria.
• Crear una sección de auditoría en informática dentro del departamento de auditoría
interno, especializado en auditoría en informática.
• Obtener mayor soporte de la alta gerencia.
Realizar una auditoría en informática es un trabajo complejo. Por ello, para lograr los
objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, y en forma
agregada evaluar cada subsistema hasta llegar a una evaluación global sobre la confianza total
del sistema.
Se debe recopilar información para obtener una visión general del departamento por
medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es
definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
En el caso de la auditoría en informática debemos comenzar la investigación preliminar con una
visita al organismo, al área de informática y a los equipos de cómputo, y solicitar una serie de
documentos.
Antes de concluir esta etapa no se olvide que el éxito de análisis crítico depende de las
consideraciones siguientes:
• Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento).
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos recabados.
CONCLUSIÓN
La creciente importancia asignada a los sistemas de información como ayuda inestimable e
imprescindible en el desarrollo de los procesos de negocio, aportando información, que apoye la
correcta toma de decisiones, se le atribuye esa misma importancia a la auditoría de los sistemas
de información.