Auditoria de Sistemas e Informtica

Docente: Ing. Adin Snchez Snchez

Tema: Planeacin y Programacin de una Auditoria
Informtica

Introduccin
Nuestro tema est enfocado al estudio de la Auditoria de
Sistemas e Informtica, aprenderemos de como se
desarrolla la planeacin de una auditoria en informtica
y cual es la metodologa a seguir.

Planeacin y programacin de una Auditoria.

Para hacer una adecuada planeacin de la auditoria en
informtica,
hay que seguir una serie de pasos previos que
.
permitirn dimensionar el tamao y caractersticas de rea dentro
del organismo a auditar, sus sistemas, organizacin y equipo.
En el caso de la auditoria en informtica, la planeacin es
fundamental, pues habr que hacerla desde el punto de vista de los
dos objetivos:
Evaluacin de los sistemas y procedimientos.
Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es

obtener informacin general sobre la organizacin y sobre la
funcin de informtica a evaluar.
Para ello es preciso hacer una investigacin preliminar y
algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deber incluir tiempo, costo,
personal necesario y documentos auxiliares a solicitar o formular
durante el desarrollo de la misma

Metodologa de Trabajo de Auditora Informtica

El mtodo de trabajo del auditor pasa por las siguientes
etapas:
Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.
Elaboracin del plan y de los Programas de Trabajo.
Actividades propiamente dichas de la auditora.
Confeccin y redaccin del Informe Final.
Redaccin de la Carta de Introduccin

Definicin de Alcance y Objetivos alcance de la auditora

expresa los lmites de la misma.
Debe existir un acuerdo muy preciso entre auditores y clientes
sobre las funciones, las materias y las organizaciones a auditar.

Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informtica.
Para su realizacin el auditor debe conocer lo siguiente:
Organizacin
Entorno Operacional
Aplicaciones bases de datos y ficheros
Recursos materiales
Recursos Humanos

Organizacin
Para el equipo auditor, el conocimiento de quin ordena,
quin disea y quin ejecuta es fundamental. Para realizar
esto el auditor deber fijarse en:
1)Organigrama:
El organigrama expresa
organizacin a auditar.

la

estructura

oficial

de

la

Si se descubriera que existe un organigrama fctico

diferente al oficial, se pondr de manifiesto tal
circunstancia.

2) Departamentos:
Se entiende como departamento a los rganos que siguen
inmediatamente a la Direccin.
3) Relaciones Jerrquicas y funcionales entre rganos
de la Organizacin:
El equipo auditor verificar si se cumplen las relaciones
funcionales y Jerrquicas previstas por el organigrama, o por
el contrario detectar, por ejemplo, si algn empleado tiene
dos jefes.

4) Flujos de Informacin:

Adems de las corrientes verticales intradepartamentales, la

estructura organizativa cualquiera que sea, produce corrientes
de informacin horizontales y oblicuas extradepartamentales.
5) Nmero de Puestos de trabajo:
El equipo auditor comprobar que los nombres de los Puestos
de Trabajo de la organizacin corresponden a las funciones
reales y/o distintas.
6)Nmero de personas por Puesto de Trabajo:
Es un parmetro que los auditores informticos deben
considerar. La inadecuacin del personal determina que el
nmero de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organizacin

Entorno Operacional

a) Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de
Proceso de Datos en la empresa. A continuacin, se verificar la
existencia de responsables en cada unos de ellos, as como el uso de
los mismos estndares de trabajo.
b) Arquitectura y configuracin de Hardware y Software:
Cuando existen varios equipos, es fundamental la configuracin
elegida para cada uno de ellos, ya que los mismos deben constituir
un sistema compatible e intercomunicado.

c) Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos
los elementos fsicos y lgicos de la instalacin. En cuanto a
Hardware figurarn las CPUs, unidades de control local y
remotas, perifricos de todo tipo, etc.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina

con una idea general de los procesos informticos realizados en la
empresa auditada. Para ello debern conocer lo siguiente:
Volumen, antigedad y complejidad de las Aplicaciones
Metodologa del Diseo.
Se clasificar globalmente la existencia total o parcial de metodologia
en el desarrollo de las aplicaciones Cantidad y complejidad de Bases de
Datos y Ficheros.
El auditor recabar informacin de tamao y caractersticas de las
Bases de Datos, clasificndolas en relacin y jerarquas

Determinacin de recursos de la auditoria Informtica

Mediante los resultados del estudio inicial realizado, se procede a
determinar los recursos humanos y materiales que han de
emplearse en la auditoria.

Elaboracin del plan y de los Programas de Trabajo.

Una vez asignados los recursos, el responsable de la
auditora y sus colaboradores establecen un plan del trabajo.
Decidido ste, se procede a la programacin del mismo.

Actividades de la Auditoria Informtica

Auditoria por temas generales o por reas especficas:
La auditoria Informtica general se realiza por reas generales
o por reas especficas. Si se examina por grandes temas,
resulta evidente la mayor calidad y el empleo de ms tiempo
total y mayores recursos.

Informe Final

La funcin de la auditoria se materializa exclusivamente por

escrito. Por lo tanto la elaboracin final es el exponente de su
calidad.
Estructura del informe final:

El informe comienza con la fecha de inicio de la auditoria y la fecha

de redaccin del mismo. Se incluyen los nombres del equipo
auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que
ostente.

Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a)Situacin actual. Se expondr la situacin prevista y la situacin
real del lugar.
b) Tendencias. Se tratarn de hallar parmetros que permitan
establecer tendencias futuras.

c) Puntos dbiles y amenazas.

d) Recomendaciones y planes de accin.
Constituyen junto con la exposicin de puntos dbiles, el
verdadero objetivo de la auditoria informtica.
e) Redaccin posterior de la Carta de Introduccin o
Presentacin.
Conocido como el informe final de la auditora informtica

Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella

ha de resumirse la auditora realizada.
Se destina exclusivamente al responsable mximo de la empresa,
o a la persona concreta que encargo o contrato la auditora.
As como pueden existir tantas copias del informe Final como
solicite el cliente, la auditora no har copias de la citada carta de
Introduccin.

La carta de introduccin poseer los siguientes atributos:

1.Tendr como mximo 4 folios.
2.Incluir fecha, naturaleza, objetivos y alcance.
3.Cuantificar la importancia de las reas analizadas.
4.Proporcionar una conclusin general, concretando las reas de
gran debilidad.
5.Presentar las debilidades en orden de importancia y gravedad.
6.En la carta de Introduccin no se escribirn nunca
recomendaciones.