Planeacin de la auditora en informtica Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie

de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso necesario, poder elaborar el contrato de servicios. Dentro de la auditora en general, la planeacin es uno de los pasos ms importantes, ya que una inadecuada planeacin provocar una serie de problemas que pueden impedir que se cumpla con la auditora o bien hacer que no se efecte con el profesionalismo que debe tener cualquier auditor. El trabajo de auditora deber incluir la planeacin de la auditora, el examen y la evaluacin de la informacin, la comunicacin de los resultados y el seguimiento. La planeacin de la auditora deber ser documentada e incluir: El establecimiento de los objetivos y el alcance del trabajo. La obtencin de informacin de apoyo sobre las actividades que se auditarn. La determinacin de los recursos necesarios para realizar la auditora. El establecimiento de la comunicacin necesaria con todos los que estarn involucrados en la auditora. La realizacin, en la forma ms apropiada, de una inspeccin fsica para familiarizarse con las actividades y controles a auditar, as como identificacin de las reas en las que se deber hacer nfasis al realizar la auditora y promover comentarios y la promocin de los auditados. La preparacin por escrito del programa de auditora. La determinacin de cmo, cundo y a quien se le comunicarn los resultados de la auditora. La obtencin de la aprobacin del plan de trabajo de la auditora. En el caso de la auditora en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo (software, hardware, redes, bases de datos, comunicaciones). Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas de la informacin Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin de informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual deber incluir tiempos, costos, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditora. El proceso de planeacin comprende el establecer:

Metas Programas de trabajo de auditora Planes de contratacin de personal y presupuesto financiero. Informes de actividades. Las metas se debern establecer de tal manera que se pueda lograr su cumplimiento, sobre la base de los planes especficos de operacin y de los presupuestos, los que hasta donde sea posible debern ser cuantificables. Debern acompaarse de los criterios para medirlas y de fechas lmite para su logro. Los programas de trabajo de auditora debern incluir: las actividades que se van a auditar, cundo sern auditadas, el tiempo estimado requerido, tomando en consideracin el alcance del trabajo de auditora planeado y la naturaleza y extensin del trabajo de auditora realizado por otros. Los programas de trabajo debern ser lo suficientemente flexibles para cubrir demandas imprevistas. Los planes de contratacin de empleados y los presupuestos financieros incluyendo el nmero de auditores, su conocimiento, su experiencia y las disciplinas requeridas para realizar su trabajo-, debern contemplarse al elaborar los programas de trabajo de auditora, as como las actividades administrativas, la escolaridad y el adiestramiento requeridos, la investigacin sobre auditora y los esfuerzos de desarrollo. Revisin preliminar El primer paso en el desarrollo de la auditora, despus de la planeacin, es la revisin preliminar del rea de informtica. El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de como proceder en la auditora. Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes. Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora. Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias. Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de vista de costobeneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea de informtica pueden duplicar los controles existentes en el rea del usuario. El auditor puede decidir que se obtendr un mayor costo-beneficio al dar una mayor confianza a los controles de compensacin y revisar y probar mejor estos controles La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades en la instalacin y la revisin de la documentacin preliminar. Las evidencias se pueden recolectar por medio de cuestionarios iniciales, o bien por medio de entrevistas, o con documentacin narrativa. Debemos considerar que sta ser slo una informacin inicial que nos permitir elaborar el plan de trabajo, la cual se profundizar en el desarrollo de la auditora. La revisin preliminar elaborada por un auditor interno difiere de la realizada por un auditor externo en tres aspectos. En primer lugar, el auditor interno normalmente requiere

de menos revisiones y trabajos, especialmente en la parte gerencial y de organizacin, ya que l es parte de la organizacin y est familiarizado con la misma. En segundo, el auditor externo se enfoca ms en las causas de las prdidas y en los controles necesarios para justificar sus decisiones; el auditor interno tiene una amplia perspectiva, la cual incorpora en sus consideraciones sobre la eficiencia y la eficacia con la que se trabaja. En tercero, si el auditor interno supone serias debilidades en los controles internos, en lugar de proceder directamente con las pruebas sustantivas, deber continuar con la fase de revisin detallada para sealar recomendaciones para mejorar los controles internos. Revisin detallada El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisin con los usuarios (pruebas compensatorias), o a las pruebas sustantivas. En algunos casos el auditor puede, despus de hacer una anlisis detallado, decidir que con los controles internos se tiene suficiente confianza, y en otros casos que los procedimientos alternos de auditora pueden ser ms apropiados. En la fase de evaluacin detallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los controles establecidos reducen las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la profundidad con que se obtiene la informacin y se evala. Evaluacin de los sistemas de acuerdo al riesgo Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la prdida de la informacin o bien el que sea usado por personal ajeno a la organizacin. Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que: Son susceptibles a diferentes tipos de prdida econmica. Ejemplo: Fraudes y desfalcos entre los cuales estn los sistemas financieros. El auditor debe de poner especial atencin a aquellos sistemas que requieran de un adecuado control financiero. Ejemplo: Flujo de caja, inversiones cuentas por pagar y cobrar, nmina. Las fallas pueden impactar grandemente a la organizacin. Ejemplo: Una falla en el procesamiento de la nmina puede tener como consecuencia el que se tenga una huelga. Interfieren con otros sistemas, y los errores generados permean a otros sistemas.

 Potencialmente, alto riesgo debido a daos en la competencia. Algunos sistemas le dan a la organizacin un nivel competitivo muy alto dentro de un mercado. Ejemplo: Sistema de planeacin estratgica. Patentes, derechos de autor, los cuales son las mayores fuentes de recursos de la organizacin. Otros a travs de los cuales su prdida puede destruir la imagen de la organizacin. Sistemas de tecnologa de punta o avanzada. Si los sistemas utilizan tecnologa avanzada o de punta. Ejemplo: sistemas de bases de datos, sistemas distribuidos o de comunicacin, tecnologa sobre la cual la organizacin tenga muy poca experiencia o respaldo, la cual es ms probable que sea una fuente de problemas de control. Sistemas de alto costo. Sistemas que son muy costosos de desarrollar, los cuales son frecuentemente sistemas complejos que pueden presentar muchos problemas de control. Investigacin preliminar Es necesario iniciar el trabajo de obtencin de datos con un contacto preliminar que permita una primera idea global. El objeto de este primer contacto es percibir rpidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado. La investigacin preliminar debe incorporar fases de evaluacin del control gerencial y el control de las aplicaciones. Durante la revisin de los controles gerenciales el auditor debe entender a la organizacin y las polticas y prcticas gerenciales usadas en cada uno de los niveles, dentro de la jerarqua de la instalacin en que se encuentran las computadoras. Durante la revisin de los controles de las aplicaciones, el auditor debe entender los controles ejercidos sobre el mayor tipo de transacciones que fluyen a travs de los sistemas de aplicaciones ms significativos dentro de la instalacin de computadoras. Se debe recopilar informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y el alcance del estudio, as como el programa detallado de la investigacin. Se deber observar el estado general del departamento o rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. En el caso de la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La investigacin preliminar se debe hacer solicitando y revisando la informacin de cada una de las reas, basndose en los siguientes puntos:

Administracin. Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento Para poder analizar y dimensionar la estructura a auditar se debe solicitar: A nivel organizacin total: Objetivos a corto y largo plazos Manual de la organizacin Antecedentes o historia del organismo Polticas generales A nivel del rea de informtica: Objetivos a corto y largo plazos. Manual de organizacin del rea que incluye puestos, funciones, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea. Procedimientos administrativos del rea. Presupuestos y costos del rea. Recursos materiales y tcnicos: Solicitar documentos sobre los equipos, as como el nmero de ellos, su localizacin y sus caractersticas. Estudios de viabilidad Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contrato de seguros. Covenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Configuracin de equipos de comunicacin y localizacin de los equipos. Planes de expansin Ubicacin general de los equipos. Polticas de operacin Polticas de uso de los equipos Polticas de seguridad fsica y prevencin contra contingencias internas y externas.

Sistemas: Descripcin general de los sistemas instalados y de los que estn por instalarse, que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica.

 Diagramas de entrada, archivos, salida. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. Bases de datos, propietarios de la informacin y usuarios de la misma. Procedimientos y polticas en casos de desastre. Sistemas propios, rentados y adquiridos. En el momento de hacer la planeacin de la auditora o bien en su realizacin debemos evaluar que pueden presentarse las siguientes situaciones: Se solicita la informacin y se ve que: No se tiene y se necesita. No se tiene y no se necesita. Se tiene la informacin pero: No se usa Es incompleta No est actualizada No es la adecuada Se usa, est actualizada, es la adecuada y est completa. El xito del anlisis crtico depende de las consideraciones siguientes: Estudiar hechos y no opiniones. Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados. Personal participante Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos y se le retribuya o compense justamente por su trabajo. Se debe contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se est solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no solo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditora, se deben tener personas con las siguientes caractersticas: Tcnico en informtica Conocimientos de administracin, contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencia en psicologa industrial.

 Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes. En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencia en reas especficas como base de datos, redes, comunicaciones, etc. Una vez planeada la forma de llevar a cabo la auditora, estaremos en posibilidad de presentar la carta convenio de servicios profesionales - y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y alcance de la auditora, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar. Una vez que se ha hecho la planeacin, se puede utilizar el formato sealado en la siguiente figura, el cual servir para resumir el plan de trabajo de la auditora. Este formato de progrma de auditora nos servir de base para llevar un adecuado control del desarrollo de la misma. En el figuran el organismo, la fecha de formulacin, las fases y subfases que comprenden la descripcin de la actividad, el nmero de personas participantes, las fechas estimadas de inicio y terminacin, el nmero de das hbiles y el nmero de das- hombre estimados. Formato de planeacin de la auditora

El control de avance de la auditora lo podemos llevar mediante el formato de la siguiente figura, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se est llevando a cabo de acuerdo con el programa de auditora, con los recursos estimados y en el tiempo sealado en la planeacin. El hecho de contar con la informacin del avance permite que el trabajo elaborado pueda ser revisado por cualquiera de nuestros asistentes.