[AUDITORA DE SISTEMAS] Unidad 3 11/04/14

Metodologa ASC
1ra Etapa: Planeacin de la Auditora de Sistemas Computacionales.

1) Identificar el origen de la auditora.
2) Realizar una lista preliminar al rea que ser evaluada.
3) Establecer los objetivos de la auditora.
4) Determinar los puntos que sern evaluados en la auditora.
5) Elaborar planes, programas y presupuestos para realizar la auditora.
6) Identificar y seleccionar los mtodos, herramientas y procedimientos necesarios
para la auditora.
7) Asignar los recursos y sistemas computacionales para la auditora.

*: Primer avance

2da Etapa: Ejecucin de la Auditora de Sistemas Computacionales.
3ra Etapa: Dictamen de la Auditora de Sistemas Computacionales.

Identificacin del Documento

Empresa Auditora

Empresa: Empresa Auditada.
Auditores: Nombres



Plan de Auditora de Sistemas
1) Ident.

LOGO
Periodo: fecha, da, mes y ao) desde y hasta donde se
realizar la auditora.

Area auditada (Que se va a auditar)
HOJA.
1-20
Unidad 4: Estndares de Documentacin
Lista de Verificacin
[Investigar: Estndares Internacionales para el proceso de auditora. Como se debe determinar el
contenido de las Listas de Verificacin]
ISO 19011: 2000 (Clusula 6.4.3)
Extracto: Los miembros del equipo auditor deberan revisar la informacin pertinente a las
tareas asignadas y preparar los documentos de trabajo que sean necesarios como referencia
y registro del desarrollo del auditor. Tales documentos de trabajo pueden incluir listas de
verificacin y planes de muestreo de auditora, formularios para registrar informacin, tal
como evidencia de apoyo hallazgos de auditora y registros de las reuniones. El uso de listas
de verificacin y formularios no debera restringir la extensin de las actividades de auditora
que pueden cambiarse como resultado de la informacin recopilada durante la auditora.

Cmo debe preparase una Lista de Verificacin
1) El auditor debe determinar el propsito o la funcin de la auditora.
2) Determinar el formato del cuestionario:
- Descrito por el procedimiento de auditora.
- Por preferencias personales (de darse el caso).
Esto no es un requisito de la norma pero hay empresas que tienen documentado la manera en cmo elaborar
sus listas de verificacin, por lo tanto se deben cumplir sus procedimientos.
3) El formato de esta lista tambin puede variar considerablemente dependiendo de:
si se pretende usar como una ayuda de memoria o como una parte de los registros
de auditora, en este caso de deben mostrar el alcance y comportamiento en el
desarrollo de la auditora.
4) La primera parte puede consistir slo en tpicos generales a ser cubiertos durante
la auditora.
5) Luego puede ser un cuestionario extensivo y detallado en el cual deben ser
registrados muestras, respuestas a las preguntas y ejemplos detallados.




[AUDITORA DE SISTEMAS] Unidad 4 21/04/14
Contenido de las Listas de Verificacin
Se deben considerar un nmero de puntos generales en el momento en que se
audite cualquier procedimiento o rea geogrfica, por lo cual es recomendable preparar el
cuestionario con lo siguiente:
1) Disponibilidad de los procedimientos e instrucciones de trabajo.
2) La autorizacin, emisin y control de las modificaciones de los procedimientos,
instrucciones de trabajo y documentos asociados.
3) El entrenamiento, experiencia y cualidades del personal que ejecuta trabajos en el
rea y su entendimiento de los procedimientos que ellos requieran para su aplicacin.
4) La efectiva y correcta implantacin junto al empleo de los procedimientos.
5) La calibracin y control de los equipos (donde sea requerido).
6) La total correcta distribucin y uso de los documentos (formas).
7) El correcto archivo de documentos y otros registros de calidad donde se incluya el
mantenimiento para asegurar recuperacin.

Ventajas del Uso de Listas de Verificacin
1) Si se desarrollan o se usan correctamente para una auditora:
1.1 Promueve la planificacin del auditor.
1.2 Asegura un enfoque consistente del auditor.
1.3 Acta como plan de muestreo y controlador de tiempo.
1.4 Sirve como ayuda a la memoria del auditor.
1.5 Proporciona un archivo para las notas recolectadas durante el proceso de
auditora.
2) Necesitan ser desarrolladas para proporcionar asistencia al proceso de auditora.
3) Los auditores necesitan ser entrenados en el uso de listas de verificacin particulares
y ensearles cmo usarlas para obtener la mxima informacin utilizando buenas
tcnicas de cuestionamiento.
4) Deben asistir al auditor en el desempeo del proceso de la auditora.
5) Ayudan a asegurar que la auditora se realice de manera sistemtica y comprensiva
logrando as la obtencin de evidencia adecuada.
6) Pueden proporcionar la estructura y continuidad del alcance de la auditora.
7) Pueden proporcionar un medio de comunicacin y un lugar para registrar los datos
para usar como futura referencia.
8) Una lista de verificacin completa proporciona evidencia objetiva de que la auditora
se desarroll.
9) Puede proporcionar un registro de que el SGC (Sistema de Gestin de Calidad) fue
examinado.
10) Pueden ser utilizadas como informacin base para planificar futuras planificaciones.
11) Pueden proporcionar su utilizacin antes de la auditora en sitio.

Desventajas del Uso de las Listas de Verificacin
Cuando las listas de verificacin para auditora no estn disponibles o estn
pobremente preparadas surgen los siguientes aspectos de preocupacin:
1) Puede ser vista como arma de intimidacin por el auditado.
2) El enfoque de la lista de verificacin puede ser muy estrecho en alcance para
identificar las reas especficas con problemas.
3) Son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza
como el nico medio o mecanismo de soporte del auditor.
4) No deben ser un sustituto del plan de auditora.
5) Una lista de verificacin utilizada por un auditor inexperto pudiera no ser capaz de
comunicar claramente que es lo que el auditor est buscando.
6) Las que son pobremente preparadas pueden hacer lento el proceso de auditora
debido a duplicaciones y repeticiones.
7) Las que son genricas, no reflejan el sistema de gestin especfico de la
organizacin y pudieran no agregar valor e interferir con la auditora.

Factores a Considerar con el Uso de las Listas de Verificacin
1) Necesidades de los clientes.
2) Restricciones de costo y tiempo.
3) La experiencia del auditor.
4) Los requisitos del esquema del sitio a auditar incluyendo los procedimientos.


Evaluacin de Sistemas de Informacin
Esta nos permite revisar si existen realmente sistemas entrelazados como un todo o
si existen programas aislados adems se evala si existe un plan estratgico para la
elaboracin de los sistemas o si se estn elaborando sin el adecuado sealamiento de
prioridades y objetivos.
Este plan estratgico debe establecer los servicios que se prestarn en un futuro
contestando preguntas como las siguientes:
1) Cules servicios se implementarn?
2) Cundo se pondrn a disposicin de los usuarios?
3) Qu caractersticas tendrn?
4) Cuntos recursos se requerirn?
En lo referente a la consulta a los usuarios, el plan estratgico debe definir los
requerimientos de informacin de la organizacin:
1) Qu estudios van a ser realizados al respecto?
2) Qu metodologa se utilizar para dichos estudios?
3) Quin administrar y realizar estos estudios?
El plan estratgico determina la planeacin de los recursos y que estos estn
claramente identificados en el plan de desarrollo de aplicaciones y datos. Estos recursos
(Hardware, Software y comunicaciones) debern ser compatibles con la estrategia de la
arquitectura de la tecnologa, con la que se cuenta actualmente en la organizacin.

1era Etapa de Evaluacin:

1) Requerimientos de usuario
2) Estudio de factibilidad (econmica, tcnica, operativa. Disponibilidad de los recursos)
3) Diseo general.
4) Anlisis.
5) Diseo lgico.
6) Desarrollo fsico.
7) Pruebas.
8) Implementacin.
9) Evaluacin.
10) Modificaciones.
11) Instalacin.
12) Mejoras (Actualizaciones o mantenimiento).

Problemas que se pueden presentar en los Sistemas
1) Falta de estndares en el desarrollo, en el anlisis y la programacin.
2) Falta de participacin y revisin de la alta gerencia.
3) Falta de participacin por parte de los usuarios.
4) Inadecuada especificacin del sistema al momento de realizar el diseo detallado.
5) Deficiente anlisis costo-beneficio.
6) Nueva tecnologa no usada o usada incorrectamente.
7) Inexperiencia por parte del personal de anlisis y de programacin.
8) Diseo deficiente.
9) Proyeccin pobre de la forma en que se realizar el sistema.
10) Control dbil o falta de control en las fases de elaboracin del sistema y su
estructura.
11) Problemas de auditora.
12) Inadecuados procedimientos de seguridad, de recuperacin y archivos.
13) Falta de integracin de los sistemas.
14) Documentacin inadecuada o inexistente.
15) Dificultad de dar mantenimiento al sistema,
16) Problemas en la conversin e implementacin.
17) Procedimientos incorrectos o no autorizados.