Professional Documents
Culture Documents
Sobre estos elementos está construido el sistema de control y por lo tanto constituyen el
marco de referencia para su evaluación.
Dependiendo del tamaño del sistema, las transacciones se dividen en procesos y estos en
subprocesos. La importancia de las transacciones deberá ser asignada con los
administradores.
En esta etapa se hace uso de los flujogramas ya que facilita la visualización del
funcionamiento y recorrido de los procesos.
3.1.Identificación de riesgos
• Ineficiencia de operaciones
• Errores
4.1.Codificación de controles
La relación con los controles debe establecerse para cada tema (Rec/Amz/Rie) identificado.
Para cada tema debe establecerse uno o más controles.
Este análisis tiene como propósito determinar si los controles que el auditor identificó como
necesarios proveen una protección adecuada de los recursos.
Fase V: Evaluación de Controles
5.1.Objetivos de la evaluación
5.3.Pruebas de controles
Este informe debe prepararse una vez obtenidas y analizadas las respuestas de compromiso
de la áreas.
• Objetivos de la auditoría
• Opinión: con relación a la suficiencia del control interno del sistema evaluado
• Hallazgos
• Recomendaciones
Fin de la sesión.
Auditoría Informática
Revisión
Evaluación
Auditoría Informática
Objetivos
Tipos
• Síntomas de Descoordinación
• Síntomas de Inseguridad
Auditoría Informática de Desarrollo de Aplicaciones Cada una de las fases del desarrollo de
las nuevas aplicaciones informáticas deben ser sometidas a un minucioso control, a fin de
evitar un aumento significativo de los costos, así como también insatisfacción de los
usuarios. Informática II. Decanato de Administración y Contaduría
Copias de Seguridad Las copias pueden ser totales o parciales y la fre- cuencia varía
dependiendo de la importancia de la información que se genere. Backup Se recomienda
tener como mínimo dos (2) respaldos de la información, uno dentro de la empresa y otro
fuera de ésta (preferiblemente en un Banco en Caja Fuerte). Informática II. Decanato de
Administración y Contaduría
Medidas de Protección Medidas utilizadas para garantizar la Seguridad Física de los Datos.
Aquellos equipos en donde se genera información crítica, deben tener un UPS. De igual
forma, el suministro de corriente eléctrica para el área informática, debe ser independiente
del resto de las áreas. Informática II. Decanato de Administración y Contaduría
Para clarificar aún más la lámina, diremos entonces que la Auditoría Informática es el
proceso de revisión y evaluación de los controles y medidas de seguridad que se aplican a
los recursos:
a). Tecnológicos.
b). Personal.
c). Software
Tal como lo pudo apreciar, las definiciones anteriores son muy sencillas y no dejan lugar a
ninguna duda. Sin embargo, consideramos prudente ampliar nuestra exposición y ofrecerle
algo más que una mera definición. Auditoría Interna
Con este tipo de auditoría existe menor margen de error, puesto que las personas que se
encargan de realizarla son especialistas en el área. Entonces, deben ser pocos los errores
que se detecten y las sugerencias aportadas son muy valiosas. Del mismo modo existe poco
margen de encubrimiento, ya que son personas ajenas a la firma.
Si bien es cierto que la Auditoría Interna es menos costosa, es una buena práctica para las
empresas, realizar Auditorías Externas periódicamente. Sin embargo, existen algunas
razones por las cuales una firma debería contratar los servicios de gente especializada.
Tales razones son las mostradas en la lámina, las cuales explicaremos con más detalle a
continuación: Síntomas de Descoordinación: No coincide el objetivo informático con el de
la empresa. En este sentido, es recomendable revisar la gestión de la informática a fin de
que la misma esté en función de apoyar al logro de los objetivos. Síntomas de Debilidad
Económica: Cuando existe un crecimiento indiscriminado de los costos informáticos. De
igual forma, se contrata un servicio externo para estudiar la factibilidad de invertir una
fuerte suma de dinero en el área. Síntomas de Mala Imagen: Existe una percepción poco
idónea de los usuarios finales de computadoras en relación a la Gestión actual del personal
de Informática. Existen quejas de que los programas no funcionan, problemas con la red
informática, desconfiguración de equipos, entre otros. Síntomas de Inseguridad: Cuando no
existe seguridad ni física ni lógica de la información manejada en la empresa.
Auditoria Alrededor del Computador: La cual comprende la verificación tanto de los datos
de entrada como de salida, sin evaluar el software que procesó los datos. Aunque es muy
sencillo, no hace el seguimiento de las transacciones ni la exactitud ni integridad del
software utilizado. Es por ello, que se recomienda como un complemento de otros métodos
de auditoria.
Una de las actividades que más dolores de cabeza trae a las organizaciones es el desarrollo
de los nuevos sistemas informáticos. Existen muchas razones para tantos inconvenientes,
entre las que se destaca: una pobre determinación de los requerimientos (tanto los analistas
como los usuarios, que en muchas oportunidades asumen cosas que el otro no ha dicho),
carencia de un prototipo adecuado, una deficiente prueba del sistema y la premura con la
que se implanta el mismo.
En este sentido, la auditoría debe verificar que se cumplan a cabalidad cada una de las fases
del desarrollo del sistema. Se deben chequear los instrumentos y métodos empleados para
la determinación de los requerimientos, las herramientas que se utilizan para la
construcción del sistema, evaluar el prototipo que va a ser mostrado a los usuarios y
verificar que se hagan las pruebas al sistema antes de ser implantado. Recuerde: es
preferible esperar un poco más por un sistema probado y ajustado a las necesidades que
querer implantar “en dos días” un software que no ayudará en nada a los procesos
empresariales, por el contrario: entorpecerá los mismos. (¿Cuantas veces no le han dicho en
la calle como excusa “tenemos problemas con el sistema”?).
La materia prima para la generación de la información son los datos de entrada, es por ello
que todo proceso de auditoria informática debe contemplar el estudio de los mismos. Bajo
esta premisa, es importante llevar un control del origen de los datos que se introducen al
sistema y en la medida de lo posible, el responsable de la introducción de los mismos.
Por ejemplo, para un banco el origen de los datos lo representan las planillas de depósito,
retiro, entre otras. Si se lleva un control de dichos documentos es fácil auditar lo que tiene
el sistema contra el soporte físico (las planillas). Dicho proceso permite entonces detectar
errores de trascripción de datos al Sistema.
Otro hecho importante de la Auditoria de los datos de entrada, es que puede ser utilizado
como un mecanismo para determinar fraudes informáticos. ¿Cómo cree usted que se puede
determinar un retiro no autorizado de una cuenta bancaria?, ¿el cambio de calificaciones de
un estudiante?.
Es por ello que todas las organizaciones deben contar con mecanismos apropiados que
permitan auditar los datos de entrada.de los sistemas informáticos.
Al igual que ocurre con los datos de entrada, se deben revisar periódicamente las
herramientas informáticas que se utilizan dentro de la firma, a fin de verificar que se
adecuen a las necesidades del negocio. Es importante señalar que dicha revisión no debe
limitarse únicamente al hardware, por el contrario, se debe incluir también la revisión tanto
del software instalado como la red informática existente.
Toda empresa debe poseer software actualizado y con licencia de uso; el Sistema Operativo
no escapa de dicha situación. En este sentido, es conveniente que se cuente con una versión
que permita la evolución de las aplicaciones, de no ser así determinar las causas de ello. Por
ejemplo en el caso específico del Sistema Operativo Windows, es inusual que se labore con
la versión 3.11 para grupos de trabajo, en tal caso, como mínimo Windows 98 o Windows
NT 4.0.
Del mismo modo se debe auditar la red informática instalada, entre otras cosas para
observar su rendimiento (velocidad), la seguridad que ofrece (gran parte de los fraudes
obedecen a la carencia de seguridad tanto de los Sistemas como de las Redes Informáticas)
y verificar que se cumplan con las políticas y estándares establecidos para la red.
La prueba de un Sistema es una tarea un poco más compleja de lo que realmente parece ser.
La misma no se limita exclusivamente a introducir algunos datos al Sistema a fin de
verificar que arroje el resultado esperado. Va mucho más allá. En primer lugar, la prueba
del Sistema no debe ser efectuada por los programadores, ya que éstos conocen los “trucos
del sistema”, e inconscientemente introducirán datos que no harán fallar a la aplicación,
razón por la cual se recomienda la designación de un equipo responsable para las misma.
Dicho equipo debe diseñar una “Batería de Prueba”, la cual consiste en un conjunto de
datos a ser introducidos en el sistema para observar su comportamiento. Por supuesto los
resultados de dichos datos se deben conocer con antelación a fin de que puedan ser
cotejados contra los que arroja el sistema. En toda batería de prueba aparte de las
transacciones comunes, se debe contar con:
Datos de Excepción: Aquellos que rompen con la regla establecida. Se deben incluir dichos
datos a fin de determinar si el sistema contempla las excepciones.
Datos Ilógicos: Son datos que no tienen ningún sentido. Se incluyen dentro de la prueba a
fin de determinar si el sistema posee los mecanismo de validación adecuados que impidan
el procesamiento de los mismos.
Datos Erróneos: Son aquellos que no están acordes con la realidad. El sistema no está en
capacidad de determinar si un dato esta correcto o no. Sencillamente, se introducen este
tipo de datos a fin de verificar si el sistema posee los mecanismos que permitan revertir la
transacción.
Usted pensará “perfecto, estos son los peligros que existen, por lo que he leído creo que la
Auditoria pude ayudar a evitar los robos y fraudes informático, pero ¿un incendio o una
inundación?, no veo como”. Si esa es su manera de pensar, pues le diremos que está en lo
cierto. Aquí no le vamos a decir como evitar incendios o inundaciones. Sino más bien de
que tome conciencia de las cosas que puede pasar dentro de una empresa.
Pero “sigo sin entender que tiene que ver todo esto”, es muy simple: lo que se busca es
crear conciencia, de los peligros que existen, que ninguna organización está exenta de ellos
y que por lo tanto es necesario que existan mecanismos que contrarresten los mismos. Esto
es precisamente lo próximo que se va a exponer a continuación. Respuesta a la Pregunta
Anterior: Puede ocasionar molestias a las personas en la reubicación de equipos (una
persona con un equipo muy potente pero subutilizado, no estará muy conforme que le
reasignen un equipo de menor potencia).
Dentro de las empresas deben existir mecanismos de contingencias que permitan garantizar
la continuidad de los procesos que en ella se realizan. Dentro de la informática tal aspecto
no debe variar, es decir, deben estar especificados dichos mecanismos (por ejemplo, como
realizar un proceso manualmente en caso de que falle el automatizado). En este módulo nos
compete exclusivamente la contingencia de la información.
Al igual que otras cosas, la información puede tener daños, los cuales pueden obedecer a
causas accidentales (tales como errores en la trascripción de datos, ejecución de procesos
inadecuados) o intencionales (cuando se busca cometer algún fraude). No importa cual sea
la causa, lo importante en este momento (claro, es importante determinar a que obedeció el
problema) es disponer algún mecanismo que nos permita obtener la información sin
errores. Las copias de seguridad nos ofrecen una alternativa para ello, ya que en caso de
que se dañe la información original, se recurre entonces al respaldo el cual contiene la
información libre de errores.
Como se mencionó anteriormente, las copias de seguridad ofrecen una contingencia en caso
de pérdidas de información. La frecuencia con la cual deben hacerse dichas copias va a
depender de acuerdo a la volatilidad de la misma. Por ejemplo, usted puede decir que es
suficiente realizar las copias de seguridad diariamente, así en caso de ocurrir algún
imprevisto, se perderá tan solo un día de trabajo. Tal concepción puede funcionar para
muchas organizaciones, pero no para todas, para un banco sería catastrófico perder la
información de todas las transacciones de un día, caso contrario ocurre en una organización
donde la información no varíe con tanta frecuencia, en la cual no tendría mucho sentido
respaldarla diariamente.
Deben existir medidas que impidan la pérdida de información, ocasionada por averías en
los equipos (Seguridad Física). Si bien es cierto que los computadores no están exentos de
sufrir algún desperfecto (es por ello que existen las copias de seguridad), es recomendable
diseñar normas para disminuir tales amenazas.
Una de las principales causales de pérdida de información, son las bajas de energía. Es por
ello que deben estar conectados a un UPS todos los equipos en donde se genere
información crítica. Un UPS es un dispositivo (parecido a un regulador de voltaje) que
ofrece corriente alterna por un período de tiempo (depende de las especificaciones del
equipo, los hay de 5 minutos hasta casi dos horas). De acuerdo a lo anterior, se deduce
entonces su importancia: primero, permite completar transacciones inconclusas en el
momento del fallo de energía y segundo permite guardar la información y apagar el equipo
con normalidad. De igual forma a fin de disminuir las fallas de energía, debe existir una
toma independiente de corriente para el área informática.
¿Recuerda los peligros que existen?. ¿Las inundaciones?, es por ello que el Departamento
de Computación debe estar ubicados en las zonas más altas del edificio, puesto que tanto
los sótanos como los primeros pisos son los más propensos a inundarse.
Uno de los mayores peligros dentro de las empresas son los Fraudes Informáticos (muy
comunes hoy en día), es por ello que se diseñan medidas que permitan garantizar la
integridad de la información y que la misma esté acorde con la realidad (Seguridad Lógica).
El mayor riesgo existe en los Sistemas Multiusuarios, puesto que pueden se manejados por
varias personas concurrentemente. En dichos sistemas no todas las personas pueden acceder
a la misma información (no todos pueden manipular la nómina de la empresa). para ello se
restringe el uso de los Sistemas a través de nombres de usuarios y contraseñas, así cuando
una persona desea utilizar el Sistema debe identificarse (con su nombre de usuario) y podrá
manipular únicamente lo que tenga autorizado.
En este sentido, se debe tener un control de los usuarios que entran al sistema (existen
muchos sistemas operativos que lo hacen de manera automática), es por ello que no se debe
divulgar el nombre de usuario a otras personas. Por ejemplo, suponga que Marta González
tiene asignado el nombre de usuario mgonz128a y su amigo Marcelo Alvarez le pide por
favor su nombre de usuario, porque “necesita hacer algunas cosas con su módulo”,
(Marcelo tiene su usuario asignado, malv287s), pues resulta que ocurrió un problema con
dicha información ¿a quién reporta el sistema como responsable?. Sencillo, al usuario que
accedió al Sistema, en este caso mgonz128a que pertenece a Marta González. De igual
forma, se debe restringir el acceso al Sistema en horas no laborables, ya que el mayor
número intento de fraudes ocurre durante dicho período (por lo general en horas de la
madrugada). ¿Con estas medidas estoy 100% seguro que no existirán fraudes
informáticos?. No, nadie está exento de sufrir un fraude informático, con decirle que han
violado la seguridad del Pentágono, NASA, Yahoo!, entre otros. En tal caso le disminuye le
riesgo, por lo tanto se recomienda revisar las medidas de seguridad constantemente.
Revision Preliminar Auditoria
Informatica
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a
auditar, los objetivos que debe cumplir, tiempos (una empresa no pude dejar sus equipos y
personal que lo opera sin trabajar porque esto le genera perdidas sustanciosas),
herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en
la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Es de tomarse en cuenta que el propietario de dicha empresa, ordena una auditoria cuando
siente que un área tiene una falla o simplemente no trabaja productivamente como se
sugiere, por esta razón habrá puntos claves que
se nos instruya sean revisados, hay que recordar que las auditorias parten
desde un ámbito administrativo y no solo desde la parte tecnológica, porque al
fin de cuentas hablamos de tiempo y costo de producción, ejercicio de ventas,
etc. Es decir, todo aquello que representa un gasto para la empresa.
Los objetos de la fase detallada son los de obtener la informacion nesesaria para que el
auditor tenga un profundo entendimento de los controles usados dentro del area de
informatica.
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con
el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del
computador afecta significativamente las técnicas a aplicar. Mediante una revisión
adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de
formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de
los procedimientos para control del cliente.
Recreando programas de auditoría por computador, el auditor cubre una actividad más
grande de la utilidad mercantil tanto financiera como operacional; y puede utilizar recursos
para analizar y evaluar campos de problemas de evaluación en las operaciones del cliente.
Tal método incrementa su aptitud para remitir óptimos servicios a los mismos. La
evaluación de un sistema informático, estriba primero en la revisión del mismo para obtener
un conocimiento de como se dice que funciona, y ponerlo a prueba para acumular
evidencias que demuestren como es el funcionamiento en la realidad.
Una parte significativa del sistema de control interno está comprendida en el programa de
la computadora. Existen baches en la ruta de auditoría, haciendo difícil e poco práctico
obtener resultados o verificar cálculos. Esta situación es posible tanto en aplicaciones
sencillas, como en sistemas integrados complejos.
El volumen de registros que quizás sea más económico y efectivo usar métodos de datos de
prueba, en vez de métodos de prueba manual.
El objetivo de esta fase es comprobar que los controles internos funcionan como lo deben
de hacer, es decir, que los controles que se suponía que existían, existen realmente y
funcionan bien. Las técnicas utilizadas, además de la recogida manual de evidencias ya
descrita, contemplan el uso del ordenador para verificar los controles.
El auditor puede decidir que no hace falta confiar en los controles internos porque existen
controles del usuario que los sustituyen o compensan. Para un auditor externo, revisar estos
controles del usuario puede resultar más costoso que revisar los controles internos. Para un
auditor interno, es importante hacerlo para eliminar posibles controles duplicados, bien
internos o bien del usuario, para evitar la redundancia.
7 prueba para
determinar falta de seguridad.
Tambien los invito a aportar material a los mas de 30,000 temas que constituyen las 30
carreras profesionales que se imparten en los Institutos Tecnologicos de Mexico y se
encuentran en este sitio.
Cada uno de los imprevistos, hechos desafortunados, etc., que puede cubrir un seguro.
Seguridad
y empresarios.
Se dice también de todos aquellos objetos, dispositivos, medidas, etc., que contribuyen a
hacer más seguro el funcionamiento o el uso de una cosa: cierre de seguridad, cinturón de
seguridad.
A continuación se citarán las consideraciones inmediatas que se deben tener para elaborar
la evaluación de la seguridad, pero luego se tratarán las áreas específicas con mucho mayor
detalle.
Uso de la Computadora
Sistema de Acceso
Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las
computadoras de acuerdo a:
Control de Programación
Se debe tener conocer que el delito más común está presente en el momento de la
programación, ya que puede ser cometido intencionalmente o no, para lo cual se debe
controlar que:
Personal
Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que están
ligadas al sistema de información de forma directa y se deberá contemplar principalmente:
Medios de Control
Se debe ver muy cuidadosamente el carácter del personal relacionado con el sistema, ya
que pueden surgir:
- malos manejos de administración
Instalaciones
Es muy importante no olvidar las instalaciones físicas y de servicios, que significan un alto
grado de riesgo. Para lo cual se debe verificar:
- evaluar las conexiones con los sistemas eléctrico, telefónico, cable, etc.
Control de Residuos
- formular las medidas de seguridad necesarias dependiendo del nivel de seguridad que se
requiera
Cada uno de estos puntos es de mucha importancia por lo que se sugiere clasificar estos
elementos en áreas de riesgo que pueden ser:
Riesgo Computacional
Se debe evaluar las aplicaciones y la dependencia del sistema de información, para lo cual
es importante considerar responder las siguientes cuatro preguntas:
- Un sistema de contabilidad fuera del tiempo de balance será de mucho menor riesgo.
4. ¿Qué se ha hecho en casos de emergencia hasta ahora? Para responder esta pregunta se
debe considerar al menos las siguientes situaciones, donde se debe rescatar los
acontecimientos, las consecuencias y las soluciones tomadas, considerando:
- Si hay sistemas duplicados en las áreas críticas (tarjetas de red, teclados, monitores,
servidores, unidades de disco, aire acondicionado).
- Si las instalaciones eléctricas, telefónicas y de red son adecuadas (se debe contar con el
criterio de un experto). - Si se cuenta con un método de respaldo y su manual
administrativo.
Conclusión
Cuando se ha definido el grado de riesgo se debe elaborar una lista de los sistemas con las
medidas preventivas que se deben tomar y las correctivas en casi de desastre, señalando la
prioridad de cada uno. Con el objetivo que en caso de desastres se trabajen los sistemas de
acuerdo a sus prioridades.
Ahora que se han establecido los riesgos dentro la organización, se debe evaluar su impacto
a nivel institucional, para lo cual se debe:
Una vez determinada esta información se la debe CUANTIFICAR, para lo cual se debe
efectuar entrevistas con los altos niveles administrativos que sean afectados por la
suspensión en el procesamiento y que cuantifiquen el impacto que podrían causar estas
situaciones.
- Medidas en caso de desastre como perdida total de datos, abuso y los planes necesarios
para cada caso.
- Verificar el tipo de acceso que tiene las diferentes personas de la organización, cuidar que
los programadores no cuenten con acceso a la sección de operación ni viceversa.
- Que los operadores no sean los únicos en resolver los problemas que se presentan.
Higiene
Otro aspecto que parece de menor importancia es el de orden e higiene, que debe
observarse con mucho cuidado en las áreas involucradas de la organización (centro de
computo y demás dependencias), pues esto ayudará a detectar problemas de disciplina y
posibles fallas en la seguridad. También podemos ver que la higiene y el orden son factores
que elevan la moral del recurso humano, evita la acumulación de desperdicios y limita las
posibilidades de accidentes. (ejm del rastrillo)
Ademas es un factor que puede perjudicar el desarrollo del trabajo tanto a nivel formal
como informal.
Cultura Personal
Conclusión
El fin de este punto es encontrar y evitar posibles situaciones de roce entre el recurso
humano y la organización y lograr una mejor comunicación entre ambos.
- A nivel departamental
- A nivel institucional
- Organizar y dividir las responsabilidades
- Hardware y software
- Flujo de energía
- Debe proteger y conservar los activos de desastres provocados por la mano del hombre y
los actos abiertamente hostiles
Donde:
• Asumir riesgos
• Cumplir promesas
• Innovar
Motivar
Capacitación General
En un principio a los ejecutivos con el fin de que conozcan y entiendan la relación entre
seguridad, riesgo y la información, y su impacto en la empresa. El objetivo de este punto es
que se podrán detectar las debilidades y potencialidades de la organización frente al riesgo.
Este proceso incluye como práctica necesaria la implantación la ejecución de planes de
contingencia y la simulación de posibles delitos.
Capacitación de Técnicos
Ética y Cultura
Se debe establecer un método de educación estimulando el cultivo de elevados principios
morales, que tengan repercusión a nivel personal e institucional.
De ser posible realizar conferencias periódicas sobre: doctrina, familia, educación sexual,
relaciones humanas, etc.
Para hacer que el plan entre en vigor y los elementos empiecen a funcionar y se observen y
acepten las nuevas instituciones, leyes y costumbres del nuevo sistema de seguridad se
deben seguir los siguiente 8 pasos:
2. Definir los procesos de flujo de información y sus riesgos en cuanto a todos los recursos
participantes.
5. Definir y trabajar sobre todo las áreas donde se pueden lograr mejoras relativamente
rápidas.
7. Identificar claramente las áreas de mayor riesgo corporativo y trabajar con ellas
planteando soluciones de alto nivel.
8. Capacitar a todos los trabajadores en los elementos básicos de seguridad y riesgo para el
manejo del software, hardware y con respecto a la seguridad física.
• Aumento de la productividad.
• Aumento de la motivación del personal.
ADMINISTRACIÓN
Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de
informática
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos instalados y por
instalar y programados)
Contratos de seguros.
Planes de expansión.
Políticas de operación.
SISTEMAS Descripción general de los sistemas instalados y de los que estén por instalarse
que contengan volúmenes de información.
Manual de formas.
Descripción genérica.
Salidas.
No tiene y se necesita.
No se tiene y no se necesita.
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la información sin
fundamento)
PERSONAL PARTICIPANTE
Una de las partes más importantes en la planeación de la auditoria en
informática es el personal que deberá participar, ya que se debe contar con un
equipo seleccionado y con ciertas características que puedan ayudar a llevar la
auditoria de manera correcta y en el tiempo estimado.
Aquí no se vera el número de persona que deberán participar, ya que esto depende de las
dimensiones de la organización, de los sistemas y de los equipos, lo que se deberá
considerar son exactamente las características que debe cumplir cada uno del personal que
habrá de participar en la auditoria.
Uno de los esquemas generalmente aceptados para tener un adecuado control es que el
personal que intervenga este debidamente capacitado, que tenga un alto sentido de
moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o
compense justamente por su trabajo.
Primeramente, debemos pensar que hay personal asignado por la organización, que debe
tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos
toda la información que se solicite y programar las reuniones y entrevistas requeridas.
Este es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar
con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a
auditar, será casi imposible obtener información en el momento y con las características
deseadas.
También se deben contar con personas asignadas por los usuarios para que en el momento
que se solicite información, o bien se efectúe alguna entrevista de comprobación de
hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo
multidisciplinario, ya que debemos analizar no sólo el punto de vista de la dirección de
informática, sino también el del usuario del sistema.
Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias
señaladas, pero si que deben intervenir una o varias personas con las características
apuntadas.