Planeación de la auditoria Informática
Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo. En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
- Evaluación de los sistemas y procedimientos.
- Evaluación de los equipos de cómputo.
2.1.1 Reconocer las normas y estándares relacionados con proyectos de TI
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.
2.1.2 Identificar las fases de la auditoria Informática
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
2.1.3 Definir los elementos de la planeación de la auditoria Informática
Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
2.1.4 Definir el concepto de la lista de Verificación
La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período de tiempo determinado.
En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos que ya sucedieron.
A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente indica cuál es el problema que muestra esa ocurrencia.
La lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operación, a lo largo de un cierto período de tiempo.
Impacto de una actividad a lo largo de un período de tiempo.
Se usa para:
Registrar informaciones sobre el desempeño de un proceso.
¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
En esta fase el auditor debe de armarse de un conocimiento amplio del área que va a auditar, los objetivos que debe cumplir, tiempos , herramientas y conocimientos previos, así como de crear su equipo de auditores expertos en la materia con el fin de evitar tiempos muertos a la hora de iniciar la auditoria.
Los objetos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática.
2.1.2 Identificar las fases de la auditoria Informática
El examen de los objetivos de la auditoría, sus normas, procedimientos y sus relaciones con el concepto de la existencia y evaluación, nos lleva a la conclusión de que el papel del computador afecta significativamente las técnicas a aplicar.
Mediante una revisión adecuada del sistema de procesamiento electrónico de datos del cliente, y el uso de formatos bien diseñados para su captura, el auditor puede lograr un mejor conocimiento de los procedimientos para control del cliente.
2.1.3 Definir los elementos de la planeación de la auditoria Informática
Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar, ya que se debe contar con un equipo seleccionado y con ciertas características que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado.
2.1.4 Definir el concepto de la lista de Verificación
La Lista de Verificación, se usa para determinar con qué frecuencia ocurre un evento a lo largo de un período de tiempo determinado.
En la Lista de Verificación se pueden recoger informaciones de eventos que están sucediendo o aquellos que ya sucedieron.
A pesar de que la finalidad de la Lista de verificación es el registro de datos y no su análisis, frecuentemente indica cuál es el problema que muestra esa ocurrencia.
La lista de verificación permite observar, entre otros, los siguientes aspectos:
Número de veces que sucede una cosa.
Tiempo necesario para que alguna cosa suceda.
Costo de una determinada operación, a lo largo de un cierto período de tiempo.
Impacto de una actividad a lo largo de un período de tiempo.
Se usa para:
Registrar informaciones sobre el desempeño de un proceso.
¿Cómo usarla?
Determine exactamente lo que debe ser observado.
Defina el período durante el cual los datos serán recolectados.
Construya un formulario simple y de fácil manejo para anotar los datos.
Haga la recolección de datos, registrando la frecuencia de cada ítem que está siendo observado.
Sume la frecuencia de cada ítem y regístrela en la columna Total.
Checklist:
El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la complementación sistemática de sus Cuestionarios, de sus Checklists.
Hay opiniones que descalifican el uso de las Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
No hay comentarios.:
Publicar un comentario