Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Estudio inicial
Para realizar dicho estudio ha de examinarse las funciones y actividades
generales de la informtica. Para su realizacin el auditor debe conocer lo
siguiente:
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin
ejecuta es fundamental. Para realizar esto en auditor deber fijarse en:
1) Organigrama: El organigrama expresa la estructura oficial de la organizacin
a auditar. Si se descubriera que existe un organigrama fctico diferente al
oficial, se pondr de manifiesto tal circunstancia.
2) Departamentos: Se entiende como departamento a los rganos que siguen
inmediatamente a la Direccin. El equipo auditor describir brevemente las
funciones de cada uno de ellos.
Entorno Operacional
El equipo de auditora informtica debe poseer una adecuada referencia del
entorno en el que va a desenvolverse. Este conocimiento previo se logra
determinando, fundamentalmente, los siguientes extremos:
a.
Situacin geogrfica de los Sistemas: Se determinar la ubicacin
geogrfica de los distintos Centros de Proceso de Datos en la empresa. A
continuacin, se verificar la existencia de responsables en cada uno de ellos,
as como el uso de los mismos estndares de trabajo.
b.
Arquitectura y configuracin de Hardware y Software: Cuando existen
varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado.
La configuracin de los sistemas est muy ligada a las polticas de seguridad
Entrevistas
Simulacin
Muestreos
Herramientas:
Cuestionario Checklist
Estndares
Monitores
Matrices de riesgo
Informe final
La funcin de la auditora se materializa exclusivamente por escrito. Por lo
tanto la elaboracin final es el exponente de su calidad. Resulta evidente la
necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinin entre auditor y auditado y
que pueden descubrir fallos de apreciacin en el auditor.
Cuerpo expositivo:
Para cada tema, se seguir el siguiente orden a saber:
a) Situacin actual. Cuando se trate de una revisin peridica, en la que
se analiza no solamente una situacin sino adems su evolucin en el
tiempo, se expondr la situacin prevista y la situacin real
b) Tendencias. Se tratarn de hallar parmetros que permitan establecer
tendencias futuras.
c) Puntos dbiles y amenazas
d) Recomendaciones y planes de accin. Constituyen junto con la
exposicin de puntos dbiles, el verdadero objetivo de la auditora
informtica.
e) Redaccin posterior de la Carta de Introduccin o Presentacin.
2.
Las ventajas del cambio deben superar los inconvenientes derivados de
mantener la situacin.
3.
4.
La recomendacin del auditor sobre el hecho debe mantener o mejorar
las normas y estndares existentes en la instalacin.
Se redactar las influencias directas que el hecho pueda tener sobre otros
aspectos informticos u otros mbitos de la empresa.
4 Conclusin del hecho
Deber ser concreta y exacta en el tiempo, para que pueda ser verificada
su implementacin.
Entrevistas
El auditor comienza a continuacin las relaciones personales con el auditado.
Lo hace de tres formas:
1.
Mediante la peticin de documentacin concreta sobre alguna materia
de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un
mtodo estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un mtodo
preestablecido de antemano y busca unas finalidades concretas.
La entrevista es una de las actividades personales ms importante del auditor;
en ellas, ste recoge ms informacin, y mejor matizada, que la proporcionada
por medios propios puramente tcnicos o por las respuestas escritas a
cuestionarios.
Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y
auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que
Checklist
El auditor profesional y experto es aqul que reelabora muchas veces sus
cuestionarios en funcin de los escenarios auditados. Tiene claro lo que
necesita saber, y por qu. Sus cuestionarios son vitales para el trabajo de
anlisis, cruzamiento y sntesis posterior, lo cual no quiere decir que haya de
someter al auditado a unas preguntas estereotipadas que no conducen a nada.
Muy por el contrario, el auditor conversar y har preguntas "normales", que
en realidad servirn para la cumplimentacin sistemtica de sus Cuestionarios,
de sus Checklists.
Hay opiniones que descalifican el uso de los Checklists, ya que consideran que
leerle una pila de preguntas recitadas de memoria o ledas en voz alta
descalifica al auditor informtico. Pero esto no es usar Checklists, es una
evidente falta de profesionalismo. El profesionalismo pasa por un
procesamiento interno de informacin a fin de obtener respuestas coherentes
que permitan una correcta descripcin de puntos dbiles y fuertes. El
profesionalismo pasa por poseer preguntas muy estudiadas que han de
formularse flexiblemente.
El conjunto de estas preguntas recibe el nombre de Checklist. Salvo
excepciones, las Checklists deben ser contestadas oralmente, ya que superan
en riqueza y generalizacin a cualquier otra forma.
Segn la claridad de las preguntas y el talante del auditor, el auditado
responder desde posiciones muy distintas y con disposicin muy variable. El
auditado, habitualmente informtico de profesin, percibe con cierta facilidad
el perfil tcnico y los conocimientos del auditor, precisamente a travs de las
preguntas que ste le formula. Esta percepcin configura el principio de
autoridad y prestigio que el auditor debe poseer.
Por ello, aun siendo importante tener elaboradas listas de preguntas muy
sistematizadas, coherentes y clasificadas por materias, todava lo es ms el
modo y el orden de su formulacin. Las empresas externas de Auditora
Informtica guardan sus Checklists, pero de poco sirven si el auditor no las
utiliza adecuada y oportunamente. No debe olvidarse que la funcin auditora
se ejerce sobre bases de autoridad, prestigio y tica.
El auditor deber aplicar la Checklist de modo que el auditado responda clara y
escuetamente. Se deber interrumpir lo menos posible a ste, y solamente en
los casos en que las respuestas se aparten sustancialmente de la pregunta. En
algunas ocasiones, se har necesario invitar a aqul a que exponga con mayor