Metodologa de Trabajo de Auditora Informtica

Ing. Elizabeth Guerrero V.

El mtodo de trabajo del auditor pasa por las siguientes etapas:

Alcance y Objetivos de la Auditora Informtica. Estudio inicial del entorno auditable. Determinacin de los recursos necesarios para realizar la auditora. Elaboracin del plan y de los Programas de Trabajo. Actividades propiamente dichas de la auditora. Confeccin y redaccin del Informe Final. Redaccin de la Carta de Introduccin o Carta de Presentacin del Informe final.

Alcance y Objetivos de la Auditora Informtica

El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van a ser auditadas.

Estudio Inicial del entorno auditable

Para su realizacin el auditor debe conocer lo siguiente:

Organizacin

Organigrama Departamentos Relaciones Jerrquicas y funcionales entre rganos de la Organizacin Relaciones Jerrquicas y funcionales entre rganos de la Organizacin Flujos de Informacin Nmero de Puestos de trabajo Nmero de personas por Puesto de Trabajo

Estudio Inicial del entorno auditable

Para su realizacin el auditor debe conocer lo siguiente:

Entorno Operacional

Situacin geogrfica de los Sistemas Arquitectura y configuracin de Hardware y Software Inventario de Hardware y Software Comunicacin y Redes de Comunicacin

Aplicaciones bases de datos y ficheros

Volumen, antigedad y complejidad de las Aplicaciones Metodologa del Diseo Documentacin Cantidad y complejidad de Bases de Datos y Ficheros

Recursos necesarios para realizar la auditora.

Recursos materiales

Recursos materiales Software Recursos materiales Hardware

Recursos Humanos

Ver Perfiles del auditor informtico

Perfiles Profesionales de los auditores informticos

Perfiles Profesionales de los auditores informticos

Elaboracin del Plan y de los programas de trabajo

El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso, la elaboracin es ms compleja y costosa. b) Si la auditora es global, de toda la Informtica, o parcial. El volumen determina no solamente el nmero de auditores necesarios, sino las especialidades necesarias del personal.

Actividades propiamente dichas de la Auditora

Auditora por temas generales

mayor calidad empleo de ms tiempo total y mayores recursos

se abarcan de una vez todas las peculiaridades que afectan a la misma el resultado se obtiene ms rpidamente con menor calidad

Auditora por reas especficas

Tcnicas de Trabajo
Anlisis de la informacin recabada del auditado

Anlisis de la informacin propia.

Cruzamiento de las informaciones anteriores.

Entrevistas
Simulacin Muestreos Entrevistas.

Herramientas
Cuestionario general inicial. - Cuestionario Checklist. - Estndares.

- Monitores.

- Simuladores (Generadores de datos).

- Paquetes de auditora (Generadores de Programas).

- Matrices de riesgo.

Confeccin y redaccin del Informe Final

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se

incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora.

Confeccin y redaccin del Informe Final

Cuerpo expositivo:
a. Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. b. Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c. Puntos dbiles y amenazas. d. Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. e. Redaccin posterior de la Carta de Introduccin o Presentacin.

Modelo conceptual de la exposicin del informe final

El informe debe incluir solamente hechos importantes. El Informe debe consolidar los hechos que se describen en el mismo. El trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados. La consolidacin de los hechos debe satisfacer, al menos los siguientes criterios:

El hecho debe poder ser sometido a cambios. Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situacin. No deben existir alternativas viables que superen al cambio propuesto. La recomendacin del auditor sobre el hecho debe mantener o mejorar las normas y estndares existentes en la instalacin. La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad que ha de ser corregida.

Modelo conceptual de la exposicin del informe final

Flujo del hecho o debilidad: 1 Hecho encontrado. - Ha de ser relevante para el auditor y pera el cliente. - Ha de ser exacto, y adems convincente. - No deben existir hechos repetidos. 2 Consecuencias del hecho - Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. 3 Repercusin del hecho - Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa.

Modelo conceptual de la exposicin del informe final

Flujo del hecho o debilidad: 4 Conclusin del hecho - No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido muy extensa o compleja. 5 Recomendacin del auditor informtico - Deber entenderse por s sola, por simple lectura. - Deber estar suficientemente soportada en el propio texto. - Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su implementacin. - La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla

Carta de introduccin o presentacin del informe final

La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encargo o contrato la auditora. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.