METODOLOGÍA DE AUDITORIA DE SISTEMAS-

(Muñoz Razo)

1ª ETAPA: PLANEACIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

1. Identificar el origen de la auditoría

El primer paso formal para iniciar la planeación de una auditoría en el área de sistemas es identificar el origen de la auditoría; es decir, lo primero es saber por qué surge la necesidad o inquietud de realizar una auditoría. Para esto nos debemos preguntar ¿de dónde?, ¿por qué?, ¿quién? o para qué se requiere hacer la evaluación de algún aspecto de sistemas de la empresa. Para el responsable de realizar la planeación de la auditoría de sistemas es de suma importancia identificar el origen de la auditoría, debido a que además de proporcionarle los elementos necesarios para hacer una buena planeación de la revisión, también le ayuda a definir los elementos de juicio que contribuirán a normar su criterio de evaluación. Además, conociendo el origen de la auditoría, el auditor también puede definir la manera de enfocar la revisión.

También puede saber de antemano cuáles serán los aspectos primordiales en la evaluación; es decir, puede saber cuáles serán los asuntos más relevantes sobre los que deberá trabajar, a fin de satisfacer lo que se espera de la auditoría de sistemas. Dentro de este punto de la auditoría de sistemas encontramos estas posibles causas: 

· Por solicitud expresa de procedencia interna 

· Por solicitud expresa de procedencia externa 

· Como consecuencia de emergencias y condiciones especiales 

· Por riesgos y contingencias informáticas 

· Como resultado de los planes de contingencia 

· Por resultados obtenidos de otras auditorías 

· Como parte del programa integral de auditoría 

2. Realizar una visita preliminar al área que será evaluada

Es recomendable, diríamos que casi imprescindible, que el auditor realice una visita preliminar al área de informática que será auditada, justo después de conocer el origen de la petición de auditoría, y antes de iniciarla formalmente; el propósito es que tenga un contacto inicial con el personal de dicha área y que observe cómo se encuentran distribuidos los sistemas, cuántos y cuáles son los equipos que están instalados en el centro de cómputo, cuáles son sus principales características, de qué tipo son las instalaciones, cuáles son las medidas de seguridad visibles que existen, y en sí, que conozca la problemática a la cual se enfrentará, de manera muy simple y de carácter tentativo.

3. Establecer los objetivos de la auditoría

El siguiente paso, después de haber identificado el origen de la auditoría y haber realizado una visita preliminar al área que será auditada, es establecer lo más claramente posible el (los) objetivo(s) de la auditoría, ajustándose lo más posible a las necesidades de la evaluación. El propósito es establecer claramente lo que se busca con este tipo de trabajo.

Objetivo: el objetivo representa las condiciones futuras que pretenden alcanzar los individuos, grupos u organizaciones, lo cual es sumamente aplicable para el caso de la auditoría de sistemas, ya que al establecer el objetivo de una auditoría se busca anticipar lo que se desea alcanzar, ya sea en el área de sistemas o en toda la institución. Más concretamente, desde el punto de vista de los autores de referencia, en el caso de una auditoría de sistemas el establecimiento del objetivo es el establecimiento de lo que se pretende satisfacer con dicha auditoría; se incluyen los siguientes conceptos:

· Misión: Deber moral que se impone a la realización de la auditoría de sistemas. 

· Visión: La forma como se ve la realización de la auditoría y lo que se espera de ella. 

· Propósitos: Objetivo que se pretende alcanzar con la auditoría. 

· Metas: Fines específicos de la auditoría. 

· Fines: Son los últimos aspectos que se busca satisfacer con la auditoría. 

· Plazos: Los términos en unidades de tiempo en que se satisface el fin que se pretende con la auditoría.

4. Determinar los puntos que serán evaluados en la auditoría

Después de haber determinado el origen de la auditoría y de establecer los objetivos concretos que se pretenden alcanzar con ésta, el siguiente paso es determinar los puntos concretos que serán evaluados. Esta definición de los puntos que tienen que ser evaluados debe ser realizada considerando aspectos muy específicos de los sistemas computacionales, tales como los siguientes:

· La gestión administrativa e informática del centro de cómputo 

· El cumplimiento de las funciones del personal informático y usuarios de los sistemas 

· El análisis, diseño y desarrollo de los sistemas computacionales 

· La operación de los sistemas computacionales 

· La capacitación y adiestramiento del personal y usuarios del sistema La protección, custodia y niveles de acceso a las bases de datos 

· La protección y respaldo de archivos e información La seguridad y protección de los usuarios, de la información, de los archivos y en general del centro de cómputo

5. Elaborar planes, programas y presupuestos para realizar la auditoría

Después de haber considerado todos los puntos antes señalados, el siguiente paso es realizar la planeación formal de la auditoría de sistemas, en la cual se concreten los planes, programas y presupuestos para dicha auditoría; es decir, se deben elaborar los documentos que contemplen los planes formales para el desarrollo de la auditoría, los programas en donde se delimiten perfectamente las etapas, eventos, actividades y los tiempos de ejecución para cumplir con el objetivo, así como los presupuestos de la auditoría, documentos en donde se deben asignar los costos de los recursos que serán utilizados y el tiempo que serán utilizados para determinada actividad.

6. Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para la auditoría

El siguiente paso es determinar los documentos y medios con los cuales se llevará a cabo la revisión a los sistemas de la empresa, lo cual se logrará a través de la selección o diseño de los métodos, procedimientos, herramientas e instrumentos necesarios, de acuerdo con lo indicado en los planes, presupuestos y programas establecidos para la auditoría. 

7. Asignar los recursos y sistemas computacionales para la auditoría 

Una vez definidos todos los aspectos señalados en las fases anteriores, el siguiente paso es asignar los recursos que serán utilizados para realizar la auditoría, de acuerdo con los aspectos ya establecidos con anterioridad. Con la asignación de estos recursos especializados, sean humanos, informáticos, tecnológicos o cualesquiera otros que se hayan establecido para la auditoría, es como se lleva a cabo la misma.

2ª ETAPA: EJECUCIÓN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

El siguiente paso después de la planeación de la auditoría es su ejecución, la cual estará determinada por las características concretas, los puntos y requerimientos que se estimaron en la etapa de planeación.

1. Realizar las acciones programadas para la auditoría

De acuerdo con el programa de auditoría, cada auditor tiene que realizar las actividades que le corresponden conforme fueron diseñadas, en la cronología que le fue asignada a cada una, y de acuerdo con los tiempos y recursos que le corresponde utilizar; el propósito es ejecutar los eventos programados y alcanzar el objetivo de la auditoría.

2. Aplicar los instrumentos y herramientas para la auditoría

Aquí lo importante es que, conforme a la guía de auditoría, se tienen que utilizar, uno a uno, los instrumentos y herramientas elegidos para llevar a cabo la evaluación, ya sea mediante la recopilación y análisis de la información, la observación, las pruebas y simulaciones de los sistemas, o mediante cualquier otro instrumento de los que se diseñaron previamente para esta revisión.

3. Identificar y elaborar los documentos de desviaciones encontradas

Una vez que se realizaron las actividades diseñadas en el programa de trabajo de auditoría, que se utilizaron los instrumentos de recopilación de información y/o se utilizaron los instrumentos determinados para la auditoría, entonces se buscan las posibles desviaciones y se procede a elaborar los documentos de desviaciones, en los cuales se anotan las situaciones encontradas, las causas que las originaron y sus posibles soluciones, así como los responsables de solucionar dichas desviaciones y las posibles fechas para hacerlo.

El auditor puede elaborar este documento cuando lo considere necesario; es decir, lo puede elaborar conforme va realizando cada evaluación, conforme va evaluando áreas completas, conforme va realizando cada evento programado o conforme a cualquier otro criterio. Lo importante es que conforme el auditor detecte las desviaciones, elabore de inmediato el documento de desviaciones. 

4. Elaborar el dictamen preliminar y presentarlo a discusión

Una vez que el auditor determinó las desviaciones encontradas durante la evaluación, debe elaborar un documento que contenga todas las desviaciones detectadas, o lo puede elaborar con cada una de las desviaciones por separado, de acuerdo a las necesidades de la empresa. Una vez hecho esto, es obligación del auditor comentarlas con las personas que están involucradas directamente en las desviaciones, a fin de encontrar de manera conjunta las causas que las originaron y, derivado de este intercambio de opiniones, debe determinar las posibles soluciones para cada una de estas causas. También puede asignar a los responsables de solucionarlas y, de ser posible, las fechas para hacerlo. 

Es muy conveniente señalar que la importancia de la auditoría no sólo estriba en reportar las desviaciones encontradas en una operación normal, sino que las personas que están involucradas directamente en la operación deben conocerlas; el propósito es que estén conscientes de las desviaciones encontradas en su trabajo para que puedan emprender las acciones necesarias para corregirlas, si es que las correcciones están en sus manos.

5. Integrar el legajo de papeles de trabajo de la auditoría

El auditor tiene la obligación de conservar en el llamado legajo de papeles de la auditoría cada uno de los instrumentos aplicados en la evaluación, con el propósito de sustentar, llegado el caso, las observaciones reportadas.

3ª ETAPA: DICTAMEN DE LA AUDITORÍA DE SISTEMAS COMPUTACIONALES

1. Dictamen de la auditoría de sistemas computacionales

Al emitir el dictamen, el cual es el resultado final de la auditoría de sistemas computacionales. Se debe presentar los siguientes puntos:

· La información y elaborar un informe de situaciones detectadas

· Elaborar el dictamen final

· Presentar el informe de auditoría

2. Elaborar un informe de situaciones detectadas

El análisis de los papeles de trabajo y la elaboración en borrador de las llamadas situaciones detectadas como:

· Que el auditor elabore su borrador y comente las desviaciones con los auditados. 

· Que el auditor elabore las modificaciones pertinentes, así como el informe definitivo de las situaciones encontradas. 

· Advertir que el fin de una auditoría de sistemas computacionales no es encontrar culpables, sino ayudar a corregir las desviaciones encontradas en la operación normal de dichos sistemas; esto se logra comentando las desviaciones con los responsables directos, con el fin de que las conozcan y tomen las acciones necesarias para su corrección. 

3. Elaborar los papeles de trabajo

El propósito del estudio de los papeles de trabajo es detectar las posibles desviaciones en la operación normal del área o sistema computacional que está auditando. Luego debe colocar las desviaciones que encontró en el formato como por ejemplo de situaciones, causas y soluciones, mismo que debe elaborar primero en borrador para comentar estos aspectos con los involucrados, y por ultimo elaborar el definitivo.

4. Desviaciones Detectadas

· El auditor debe indicar en forma específica y lo más claro posible las desviaciones encontradas en la operación del sistema o en el área que está evaluando y,

· Debe señalar las causas que las generaron, basándose en los papeles de trabajo, su experiencia en el ramo y las situaciones detectadas, 

· Elaborar el borrador de lo detectado que se encontró durante la evaluación de los sistemas, procurando detallar, hasta donde le sea posible, en qué consisten, como puede afectar y los demás que crea pertinentes, y por ultimo

· Señalar concretamente lo observado correspondiente al informe de auditoría analizando más a fondo el formato de desviaciones detectadas.

5. Indicar las situaciones encontradas al personal de las áreas afectadas

Una vez que ha detectado las desviaciones, es obligación del auditor comentarlas en forma directa y abierta con los responsables de la operación, a fin de que las conozcan, acepten, aclaren, complementen y/o las modifiquen con detalles y pruebas. 

El auditor no debe, presentar las desviaciones encontradas sin antes haberlas comentado con el auditado. Sin embargo, si el auditor no tiene la suficiente experiencia, los comentarios con los auditados se pueden desviar e incluso provocar conflictos que puede perjudicar.

Es un requisito que el auditor comente las desviaciones encontradas, debido a que además de servirle para refirmar sus observaciones, le ayudará a comprobarlas, complementarlas y en su caso ampliarlas; esto también le ayudará a establecer las causas que ocasionaron las desviaciones, así como sus posibles soluciones. 

6. Modificaciones necesarias

Una vez el auditor haya comentado ampliamente las desviaciones con los involucrados, deberá ratificar las observaciones y, de ser necesario, elaborar las correcciones que sean pertinentes, modificando el borrador, las causas o las posibles soluciones. También podría elaborar nuevamente el borrador del informe, e incluso lo podría comentar nuevamente si fuera necesario. 

7. Situaciones relevantes

Una vez que el auditor ha comentado y corregido el borrador inicial, conforme a lo señalado en los puntos anteriores, debe proceder a elaborar un documento que contenga las situaciones relevantes que encontró durante la auditoría y, según el plan de trabajo, puede continuar con la elaboración del dictamen de auditoría.

8. Elaborar el informe y el dictamen formales

Después de analizar los informes anteriores (el borrador inicial comentado), el auditor debe elaborar, de manera formal, lo siguiente:

· El informe de las desviaciones encontradas, especificándolas por área, por servicio o por cualquier otro formato de presentación, de manera clara y precisa. 

· También deberá presentar las desviaciones conforme a la costumbre de la empresa; ya sea por importancia, por orden cronológico, por secuencia de operaciones o por cualquier otro criterio. 

· Elaborará dictamen y tomar en cuenta todas las desviaciones, analizarlas y emitir su opinión acerca de la situación de las áreas y sistemas auditados, especificando, lo más clara y sinceramente posible, su opinión respecto a dichas desviaciones y, de ser posible, debe presentar una sugerencia profesional para corregirlas.

· Comentar el informe y el dictamen con los directivos del área.

· Presentar el informe de auditoría

· Elaboración del dictamen formal