Auditoría interna y auditoría externa

Auditoría de

Sistemas

Tabla de contenido

La auditoría y la empresa 1

Rol de la auditoría 1

Rol más frecuente 3

Nuevo rol de la auditoría – Cambio 5

Aplicación del nuevo rol 5

Planeación del proceso de auditoría 8

Organización de la auditoría 9

Auditoría interna y auditoría externa 10

Alcance de la auditoría informática 12 Características de la auditoría informática 13 Síntomas de necesidad de una auditoría informática 13

Clases de auditoría 15

Tipos de auditoría 16

Funciones operativas de la auditoría 17

Revisión de controles de la gestión informática 18

Funciones básicas de la auditoría 19

Indicadores de gestión en la auditoría 20

Resumen 22

Bibliografía recomendada 23

Párrafo nexo 23

Auditoría de sistemas Fascículo No. 2

Copyright©1999 FUNDACION UNIVERSITARIA SAN MARTIN Facultad de Contaduría Pública. Sistema de Educación Abierta y a Distancia. Santa Fe de Bogotá, D.C.

Prohibida la reproducción total o parcial sin autorización por escrito del Presidente de la Fundación.

La redacción de este fascículo estuvo a cargo de JAVIER OSWALDO GUECHA MARIÑO Sede Santa Fe de Bogotá, D.C.

Diseño instruccional y orientación a cargo de MARIANA BAQUERO DE PARRA

Diseño gráfico y diagramación a cargo de SANTIAGO BECERRA SAENZ ORLANDO DIAZ CARDENAS

La auditoría y la empresa

La auditoría en informática es la revisión y la evaluación de los contro-les, sistemas, procedimientos de informática, de los equipos de cómpu-to, su utilización, eficiencia y seguridad, de la organización que participa en el procesamiento de la información, a fin de que por medio del seña-lamiento de recomendaciones se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de deci-siones.

Al terminar el estudio del presente fascículo, el estudiante:

 Identifica el papel que desempeña la auditoría informática en una

organi-zación y su desempeño frente a los riesgos y necesidades de la misma.

 Describe las funciones del auditor.

Rol de la auditoría

La auditoría en informática deberá comprender, no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general, desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

2

Fascículo No. 2

las diferentes organizaciones, entidades, empresas y compañías en ge-neral.

El conocimiento de esta tecnología se ha ampliado a todas las esferas; la gente aprende cada día más, se vuelve más estudiosa y conocedora, pero no todos están orientados puramente al conocimiento como au-mento de calidad en todos los campos; a algunos les interesa aprender más que todo, para ver cómo efectúan o generan irregularidades en provecho propio, o que como producto de lo que conocen, adquieren destreza para utilizarlas con fines alevosos y malintencionados; situa-ción que ligada a la pérdida de valores morales, éticos y religiosos en todos los niveles y estratos de la sociedad, ha originado todo tipo de acciones fraudulentas, lo que hace imposible para la administración, es-tablecer controles que disminuyan los riesgos presentados.

Adicionalmente a lo anterior, las aperturas comerciales, la globalización, las alianzas estratégicas y las integraciones de todo tipo, de alguna ma-nera han venido a complicar la situación en cuanto al sistema de control Interno se refiere; también han recargado las funciones que deben reali-zar los auditores.

Los aspectos citados han generado también, un desajuste en todos los campos relacionados con la T. I.; nadie sabe qué hacer, ni cómo hacer-lo; unos dicen:

"...eso no me corresponde a mí, "le toca" a los técnicos expertos en computo."

Los informáticos manifiestan:

La alta administración, no participa y delega en otros las funciones y ac-tividades que le corresponden. Los usuarios jefes, únicamente solicitan trabajos a sistemas, sin participación activa, y dicen:

"...Yo no sé de Sistemas, pero entiendo que todo es muy fácil..."

La auditoría interna, ha participado muy poco en todos los procesos, más que todo por desconocimiento y por temor a perder la independen-cia, también por influencia de la alta administración, que no los deja "participar".

La auditoría en sistemas de información (ASI): se ha preocupado más en las revisiones posteriores de lo ya realizado (cuando ya es tarde), que en el establecimiento de controles preventivos.

Todos los aspectos citados, han tenido gran influencia en la situación actual de los sistemas de información diseñados y desarrollados en la mayoría de nuestras organizaciones; situación que debe cambiar ya, (debió cambiar hace unos 20 ó más años), y somos nosotros, los mis-mos auditores quienes debemis-mos ser agentes de este cambio.

Rol más frecuente

4

Fascículo No. 2

peso; es lo último que se lleva a cabo, en la parte de la evaluación de sistemas en operación.

Por estar pendientes de lo anterior, no han querido hacer, porque pien-san o creen que no están realizando así, lo que verdaderamente les co-rresponde llevar a cabo: evaluar los procesos que no requieren de un computador para efectuarlo, como son:

 Gestión informática

 Controles generales

 Procesos de adquisiciones

 Planificación

 Seguridad

 Mantenimiento de equipo y sistemas

 Diseño y desarrollo de sistemas

 Evaluación y análisis de riesgos

Nuevo rol de la auditoría - Cambio

Si desean continuar revisando al final, no existe nada que lo impida, pe-ro es importante que nos ppe-ropongamos a realizar el cambio que se ne-cesita, para que se atienda una serie de aspectos que se han dejado de lado y que son básicos para lograr que se diseñen sistemas de informa-ción como los requieren nuestras organizaciones, que tengan las pro-tecciones, seguridades y controles que permitan su adecuado y correc-to funcionamiencorrec-to, y que soporten los ataques de los que intenten vio-lentarlos para cometer actos irregulares.

Este cambio se refiere a que dejemos de ser REVISORES y nos convir-tamos en ASESORES Y CONSULTORES, en aquellos puntos o aspec-tos de la T.I. en que se ha venido fallando desde sus inicios con el com-putador ENIAC en 1945, como es el:

"CICLO DE VIDA DEL DESARROLLO DE SISTEMAS" y algunos otros conceptos relacionados con él.

Es en este campo en donde reside el fundamento y la base de:

 Los sistemas de información

 La aplicación correcta de la tecnología de información

 La administración de la información

 El sistema de control interno

 La auditoría de sistemas de información

 Los procesos de reingeniería

 Los sistemas como soporte de la productividad

Aplicación del nuevo rol

entida-6

Fascículo No. 2

CVDS: ciclo de vida del desarrollo de sistemas.

des, debemos comenzar por efectuar reingeniería en nuestra forma de realizar las actividades de auditoría, (disminución de papeles de trabajo; menos procedimientos y procesos; eliminación de tareas paralelas; au-mento en la participación y mayor valor agregado), si deseamos que los Sistemas de Información cumplan con la función para los cuales se con-ciben y desarrollan. Entonces variemos sustancialmente la forma de rea-lizar nuestro trabajo, de ahora en adelante (ahora significa HOY, no la espera de otros 10 ó 15 años) vamos a:

ASESORAR, NO A REVISAR.

El CVDS se divide, para efectos de su aplicación, en dos partes: técnica

y administrativa. La primera de ellas se conoce y se está manejando bastante bien, aunque sólo sea por los técnicos en Informática; sólo res-ta que le hagamos ver a la alres-ta administración, que deben velar porque los técnicos mencionados, la lleven a cabo en todos sus extremos y que se cumpla a cabalidad con todos sus requisitos esenciales, los cuales se citan a continuación:

 Áreas de control (planificación; diseño; desarrollo e implantación).

 Etapas correspondientes a cada área de control,

independientemen-te de la metodología que se emplee.

 Actividades de cada una de las etapas.

 Productos finales de cada una de las etapas.

 Participantes en el proceso total.

"Suministrar datos e información que soporten la toma de decisiones, a todos los niveles de la organización, con lo que

asisten a la consecución de objetivos y metas".

Debe tenerse muy en cuenta que ambas partes citadas deben verse co-mo una sola a la hora de desarrollar una aplicación; no puede ni debe desligarse una de la otra, y por más bien que funcione una de ellas, si la otra no funciona de igual manera, continuaremos con la cantaleta de siempre:

"que los sistemas de información no están bien...";

por no decirlo de otra manera.

Así que también debe ponérsele mayor atención todavía, a la segunda de las partes citadas, ya que ésta no depende en absoluto de los técni-cos, sino más bien de la Administración, y es en este aspecto en donde se ha estado fallando mucho, más que todo por:

 Falta de involucrar a la alta dirección.

 Dejar en manos de los técnicos todo el proceso.

 Exigencias e imposiciones de la alta dirección.

 Necesidad de los técnicos de cumplir con lo solicitado aunque no

esté bien definido.

 Falta de integración.

 El tomar la herramienta de cómputo como un ente "solucionador de

problemas".

 El no saber distinguir los diferentes tipos de sistemas de

informa-ción.

 La ausencia de políticas, estándares y procedimientos

 El desconocimiento de lo que es el CVDS y el grado de participación

8

Fascículo No. 2

2.1

Identifique y describa el papel del auditor de Sistemas o informática en los procesos operativos de una organización. Además, califique cada uno de estos aspectos de acuerdo con su importancia o impac-to dentro de la empresa.

Planeación del proceso de auditoría

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el ta-maño y características de área dentro del organismo a auditar, sus siste-mas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

 Evaluación de los sistemas y procedimientos.

 Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informá-tica a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas; con base en esto, planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y docu-mentos auxiliares a solicitar o formular durante el desarrollo de la mis-ma.

2.2

Check list: listas o cues-tionarios de chequeo.

Organización de la auditoría

La auditoría nace como un órgano de control de algunas instituciones estatales y privadas. Su función inicial es estrictamente económico-fi-nanciera, y los casos inmediatos se encuentran en las peritos judiciales y las contrataciones de expertos por parte de Bancos Oficiales.

La función auditora debe ser absolutamente independiente; no tiene ca-rácter ejecutivo. Queda a cargo de la empresa tomar las decisiones per-tinentes. La auditoría contiene elementos de análisis, de verificación y de exposición de debilidades. Aunque pueden aparecer sugerencias y planes de acción para eliminar las desviaciones y debilidades detecta-das, estas sugerencias plasmadas en el informe final reciben el nombre de recomendaciones.

Las funciones de análisis y revisión que el auditor informático realiza, pueden chocar con la sicología del auditado, ya que es un informático y tiene la necesidad de realizar sus tareas con racionalidad y eficiencia. La reticencia del auditado es comprensible. El nivel técnico del auditor es a veces insuficiente, dada la gran complejidad de los Sistemas, unidos a los plazos demasiado breves de los que suelen disponer para realizar su tarea.

Además del chequeo de los Sistemas, el auditor somete al auditado a

una serie de cuestionarios. Dichos cuestionarios, llamados Check List,

10

Fascículo No. 2

estar subordinado a la regla, a la norma, al método. Sólo una metodolo-gía precisa puede desentrañar las causas por las cuales se realizan acti-vidades teóricamente inadecuadas o se omiten otras correctas.

El auditor sólo puede emitir un juicio global o parcial basado en hechos y situaciones incontrovertibles, careciendo de poder para modificar la situación analizada por él mismo.

Auditoría interna y auditoría externa

La auditoría interna es la realizada con recursos materiales y personas

que pertenecen a la empresa auditada. Los empleados que realizan es-ta es-tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la empresa, o sea, que puede optar por su di-solución en cualquier momento.

Por otro lado, la auditoría externa es realizada por personas ajenas a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoría interna, debido al mayor distanciamiento entre auditores y auditados.

En una empresa, los responsables de informática escuchan, orientan e informan sobre las posibilidades técnicas y los costos de tal Sistema. Con voz, pero a menudo sin voto, informática trata de satisfacer lo más adecuadamente posible aquellas necesidades. La empresa necesita controlar su informática y ésta necesita que su propia gestión esté so-metida a los mismos procedimientos y estándares que el resto de aque-lla. La conjunción de ambas necesidades se cristaliza en la figura del auditor interno informático.

En cuanto a empresas se refiere, solamente las más grandes pueden poseer una auditoría propia y permanente, mientras que el resto acuden a las auditorías externas. Puede ser que algún profesional informático sea trasladado desde su puesto de trabajo a la auditoría interna de la empresa cuando ésta existe.

Finalmente, la propia informática requiere de su propio grupo de Control Interno, con implantación física en su estructura, puesto que si se ubica-ra dentro de la estructuubica-ra informática ya no sería independiente. Hoy, ya existen varias organizaciones informáticas dentro de la misma empresa, y con diverso grado de autonomía, que son coordinadas por órganos corporativos de Sistemas de Información de las Empresas.

Una empresa o institución que posee auditoría interna puede y debe en

ocasiones contratar servicios de auditoría externa. Las razones para

hacerlo suelen ser:

 Necesidad de auditar una materia de gran especialización, para

la cual los servicios propios no están suficientemente capacita-dos.

 Contrastar algún informe interno con el que resulte del externo,

recomenda-12

Fascículo No. 2

ciones que chocan con la opinión generalizada de la propia em-presa.

 Servir como mecanismo protector de posibles auditorías

informá-ticas externas decretadas por la misma empresa.

 Aunque la auditoría interna sea independiente del Departamento

de Sistemas, sigue siendo la misma empresa; por lo tanto, es ne-cesario que se le realicen auditorías externas como para tener una visión desde afuera de la empresa.

La auditoría informática, tanto externa como interna, debe ser una activi-dad exenta de cualquier contenido o matiz "político" ajeno a la propia estrategia y política general de la empresa. La función auditora puede actuar de oficio, por iniciativa del propio órgano, o a instancias de parte, esto es, por encargo de la dirección o cliente.

Alcance de la auditoría informática

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática y se complementa con los objeti-vos de ésta. El alcance ha de figurar expresamente en el informe final, de modo que quede perfectamente determinado, no solamente hasta qué puntos se ha llegado, sino cuáles materias fronterizas han sido omi-tidas. Ejemplo: ¿Se someterán los registros grabados a un control de in-tegridad exhaustivo? ¿Se comprobará que los controles de validación de errores son adecuados y suficientes?

Características de la auditoría informática

La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus stocks o materias primas si las hay. Del mismo modo, los sistemas informáticos han de protegerse de modo global y particular: a ello se debe la existen-cia de la auditoría de seguridad informática en general, o la auditoría de seguridad de alguna de sus áreas, como pudieran ser desarrollo de sis-temas. Cuando se producen cambios estructurales en la informática, se reorganiza de alguna forma su función: se está en el campo de la audi-toría de organización informática.

Estos tipos de auditorías engloban las actividades auditoras que se rea-lizan en una auditoría parcial. De otra manera: cuando se realiza una au-ditoria del área de Desarrollo de Proyectos de la Informática de una em-presa, es porque en ese desarrollo existen, además de ineficiencias, de-bilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.

Síntomas de necesidad de una auditoría

informática

Las empresas acuden a las auditorías externas cuando existen síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en clases:

 Síntomas de descoordinación y desorganización:

 No coinciden los objetivos de la informática de la compañía y

de la propia compañía.

 Los estándares de productividad se desvían sensiblemente de

los

14

Fascículo No. 2

 Síntomas de mala imagen e insatisfacción de los usuarios:

 No se atienden las peticiones de cambios de los usuarios.

Ejemplos: cambios de Software en los usuarios, alteración o cambios de los archivos que deben ponerse diariamente a su disposición, etc.

 No se reparan los daños de Hardware ni se resuelven las

que-jas en plazos razonables. El usuario percibe que está abando-nado y desatendido permanentemente.

 No se cumplen, en todos los casos, los plazos de entrega de

resultados periódicos. Pequeñas desviaciones pueden causar importantes desajustes en la actividad del usuario, en especial en los resultados de aplicaciones críticas y sensibles.

 Síntomas de debilidades económico-financiero:

 Incremento desmesurado de los costos.

 Necesidad de justificación de inversiones informáticas (la

em-presa no está absolutamente convencida de tal necesidad y decide contrastar opiniones).

 Desviaciones presupuestarias significativas.

 Costos y plazos de nuevos proyectos (deben auditarse

simul-táneamente a Desarrollo de Proyectos y al órgano que realizó la petición).

 Síntomas de inseguridad: evaluación de nivel de riesgos:

 Seguridad lógica

 Seguridad física

 Confidencialidad

 Continuidad del servicio. Es un concepto aún más importante

que la seguridad. Establece las estrategias de continuidad en-tre fallas mediante planes de contingencia.

 Centro de proceso de datos fuera de control. Si tal situación

Clases de auditorías

El Departamento de Informática posee una actividad proyectada al exte-rior, al usuario, aunque el "exterior" siga siendo la misma empresa. He

aquí, la Auditoría Informática de Usuario. Se hace esta distinción para

contraponerla a la informática interna, en donde se hace la informática cotidiana y real. En consecuencia, existe una Auditoría Informática de Actividades Internas.

El control del funcionamiento del Departamento de informática con el exterior, con el usuario se realiza por medio de la Dirección. Su figura es importante, en cuanto es capaz de interpretar las necesidades de la Compañía. Una informática eficiente y eficaz requiere el apoyo continua-do de su Dirección frente al "exterior". Revisar estas interrelaciones constituye el objeto de la Auditoría Informática de Dirección. Estas au-ditorías, más la Auditoría de Seguridad, son las Áreas Generales de la Auditoría Informática más importantes.

Dentro de las áreas generales, se establecen las siguientes divisiones de Auditoría Informática: de Operación, de Sistemas, de Comunicacio-nes y de Desarrollo de Proyectos. Estas son las Áreas Especificas de la Auditoría Informática más importantes.

Áreas Específicas Áreas Generales

Interna Dirección Usuario Seguridad

Operación Desarrollo Sistemas

16

Fascículo No. 2

Cada área específica puede ser auditada desde los siguientes criterios generales:

 Desde su propio funcionamiento interno.

 Desde el apoyo que recibe de la Dirección y, en sentido

ascen-dente, del grado de cumplimiento de las directrices de ésta.

 Desde la perspectiva de los usuarios, destinatarios reales de la

informática.

 Desde el punto de vista de la seguridad que ofrece la informática

en general o el área auditada.

Estas combinaciones pueden ser ampliadas y reducidas según las ca-racterísticas de la empresa auditada.

Tipos de auditoría

Existen algunos tipos de auditoría entre los que la Auditoría Informática integra un mundo paralelo pero diferente y peculiar resaltando su enfo-que a la función informática. Es necesario recalcar enfo-que Auditoría de Sis-temas o Informática no es lo mismo que Auditoría Financiera.

Entre los principales enfoques de Auditoría tenemos los siguientes:

 La Auditoría Financiera brinda veracidad de estados financieros,

preparación de informes de acuerdo con principios contables, evalúa la eficiencia.

 La Auditoría Operacional brinda eficacia, economía, buenos

méto-dos y procedimientos que rigen un proceso de una empresa.

 La Auditoría de Sistemas se preocupa de la función informática.

 La Auditoría Fiscal se dedica a observar el cumplimiento de las

 La Auditoría Administrativa analiza el logro de los objetivos de la

administración, el desempeño de funciones administrativas y evalúa: la calidad de los procedimientos, hace mediciones, evalúa controles de los bienes y servicios y revisa la contribución a la sociedad, así como la participación en actividades socialmente orientadas.

2.3

1. Describa las clases y tipos de auditorías y determine cuáles son las más utilizadas en Colombia. Justifique su respuesta.

2.¿De qué depende la utilización de las clases y tipos de Auditoría en las organizaciones? Explique su respuesta.

Funciones operativas de la auditoría

La operatividad es una función que consiste en que la organización y las máquinas funcionen adecuadamente. No es admisible detener la maqui-naria informática para descubrir sus fallos y comenzar de nuevo. La au-ditoría debe iniciar su actividad cuando los Sistemas están operativos; ese es el principal objetivo: mantener tal situación.

La operatividad de los sistemas ha de constituir, entonces, la principal preocupación del auditor informático. Para conseguirla hay que acudir a la realización de Controles Técnicos Generales de Operatividad y Con-troles Técnicos Específicos de Operatividad, previos a cualquier activi-dad de aquel.

profu-18

Fascículo No. 2

sión de entornos de trabajo muy diferenciados obliga a la contra-tación de diversos productos de software básico, con el consi-guiente riesgo de abonar más de una vez el mismo producto o desaprovechar parte del software instalado. Puede ocurrir tam-bién con los productos de Software básico desarrollados por el personal de Sistemas Interno, sobre todo cuando los diversos equipos están ubicados en Centros de Proceso de Datos geográ-ficamente alejados. Lo negativo de esta situación es que puede producir la inoperatividad del conjunto. Cada Centro de Proceso de Datos tal vez sea operativo trabajando independientemente, pero no será posible la interconexión e intercomunicación de to-dos los Centros de Proceso de Datos si no existen productos co-munes y compatibles.

 Los controles técnicos específicos, son igualmente necesarios

para lograr la Operatividad de los Sistemas. Un ejemplo de lo que se puede encontrar mal, son parámetros de asignación automáti-ca de espacio en disco que dificulten o impidan su utilización posterior por una sección distinta de la que lo generó. También, los periodos de retención de archivos comunes a varias aplica-ciones, pueden estar definidos con distintos plazos en cada una de ellas, de modo que la pérdida de información es un hecho que podrá producirse con facilidad, quedando inoperativa la explotación de alguna de las aplicaciones mencionadas.

Revisión de controles de la gestión

informática

con las del resto de la empresa. Para ello, habrán de revisarse sucesiva-mente y en este orden:

1. Las normas generales de la instalación informática. Se debe reali-zar una revisión inicial, registrando las áreas que carezcan de norma-tividad, y sobre todo verificando que esta normatividad general mática no esté en contradicción con alguna Norma General no infor-mática de la empresa.

2. Los procedimientos generales informáticos. Se verificará su exis-tencia, al menos, en los sectores más importantes. Por ejemplo, la recepción de las máquinas debería estar firmada por los responsa-bles de su uso. También el entregar en funcionamiento una nueva aplicación podría producirse si no existieran los procedimientos de backup y recuperación correspondientes.

3. Los procedimientos específicos informáticos. se debe revisar su existencia en las áreas fundamentales. En Desarrollo no debería salir a producción una Aplicación sin haber exigido la pertinente docu-mentación. Del mismo modo, deberá comprobarse que los procedi-mientos específicos no se opongan a los procediprocedi-mientos generales.

Funciones básicas de la auditoría

Las siguientes son las principales funciones que se deben desarrollar en una auditoría informática:

 Buscar la mejor relación costo-beneficio de los sistemas automáticos

o computarizados diseñados, implantados o adquiridos por el área de informática.

 Incrementar la satisfacción de los usuarios de los sistemas

computa-rizados.

 Asegurar la mayor integridad, confidencialidad y confiabilidad de la

20

Fascículo No. 2

 Conocer la situación actual del área informática y las actividades y

esfuerzos necesarios para lograr los objetivos propuestos, la seguir-dad del personal, de los datos, hardware, software e instalaciones de la empresa.

 Apoyar la función informática, las metas y objetivos de la

organiza-ción, en cuanto a la seguridad, utilidad, confianza, privacidad y dis-ponibilidad en el ambiente informático.

 Minimizar existencias de riesgos en el uso de la tecnología de

infor-mación

 Estudiar y analizar las decisiones de inversión y gastos innecesarios

en tecnología.

 Capacitar y educar sobre controles en los sistemas de información

2.4

Describa cómo puede realizar las funciones de Auditoria Informática mediante un plan de trabajo.

Indicadores de gestión en la auditoría

Para garantizar el éxito en la gestión de un auditor informático o de sis-temas podemos dividir el proceso de auditoría en: planeación, personal, control e informes de desempeño.

 Planeación: la administración de la auditoría debe desarrollar una

matriz de la planeación de la auditoría Informática para determinar las áreas que serán evaluadas durante un periodo (sistemas de infor-mación existentes, desarrollo de sistemas, áreas usuarias, adquisi-ción de tecnología, proveedores, etc.).

planes de informática, planes de auditoría (financiera, operacional, etc.). Algunos componentes para el éxito de la planeación son:

 Juntas formales para discutir los planes de auditoria

informá-tica.

 Revisiones periódicas y seguimiento de las deficiencias y

de-bilidades importantes que fueron detectadas.

 Intercambio de los reportes de auditoría y otros documentos

orientados a brindar el aseguramiento de la calidad.

 Proveer la capacitación necesaria

 Usar metodologías, técnicas y herramientas comunes.

 Personal: cada organización debe contar con políticas y

procedi-mientos de selección y contratación de personal, en donde se identi-fiquen las habilidades, perfiles y competencias necesarios para los cargos de la organización y en especial de los auditores en informáti-ca ya que es importante para la organización, pues se requiere un ni-vel de preparación suficiente y confiable en las áreas de auditoría e informática. La oportunidad y el nivel de evaluación que se hagan so-bre estos procedimientos de selección junto con la capacitación que se brinde al personal, determinará la calidad, confiabilidad y produc-tividad con que se ejecuten los proyectos de auditoría informática. Cuando se contrate personal de auditoría informática, la administra-ción debe tener en cuenta atributos y habilidades profesionales inhe-rentes a este tipo de cargos, tales como experiencia, educación, adaptabilidad, inteligencia, determinación y diligencia.

 Control: la supervisión oportuna asegura que las auditorías

22

Fascículo No. 2

 Informes de desempeño: estos representan una herramienta muy

importante para que se evalúen los siguientes aspectos:

 Productividad y calidad de los proyectos

 Resultados

 Avance de los proyectos

 Áreas susceptibles de control y seguimiento

 Seguimiento individual y de grupo

En resumen, para que exista aseguramiento de calidad o un control efi-ciente de los proyectos, el gerente o responsable de la función de au-ditoría informática debe revisar cada deficiencia encontrada en los in-formes de auditoría.

2.5

Explique de qué depende el éxito en la gestión de un auditor de siste-mas.

obtendrán sistemas que no van a necesitar mantenimiento excesivo, que Sistemas va a ser parte de la solución y no parte del problema, co-mo lo es hoy en día.

Hernández Hernández, Enrique. Auditoría en Informática. México: Edito-rial CECSA, 2000.

Piettini, G., Emilio del Peso. Auditoría Informática, un enfoque práctico. México: Editorial Alfaomega, segunda edición, 2001.

24

AAAuuutttoooeeevvvaaallluuuaaaccciiióóónnnfffooorrrmmmaaatttiiivvvaaa

Auditoría de sistemas - Fascículo No. 2

Nombre_____________________________________________________________________ Apellidos ________________________________________ Fecha ____________________

Ciudad _________________________________________ Semestre _________________

1. ¿Cuál es el rol de la Auditoría?

2. Explique los pasos en el proceso de Auditoría.

3. ¿Cómo está organizada la Auditoría?

4. ¿Cuál es la Función de la Auditoría?