pasos para una auditoria en sistemas Informaticos

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoria en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos

Evaluación de los sistemas y procedimientos

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar

Evaluación de los equipos de cómputo

Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Alcanzes y Objetivos

alcance de la auditoría expresa los límites de la misma.
Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.
Para su realización el auditor debe conocer lo siguiente

Organizacion

Organigrama

El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.

Departamentos

Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección.

Relaciones Jerárquicas y funcionales entre órganos de la Organización

El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes

Flujos de Información

Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales

Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas

Número de personas por Puesto de Trabajo

Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización

Entorno Operacional

Situación geográfica de los Sistemas

Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo

Arquitectura y configuración de Hardware y Software

Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado

Inventario de Hardware y Software

El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente

Volumen, antigüedad y complejidad de las Aplicaciones
Metodología del Diseño

El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías

Determinación de recursos de la auditoria Informática

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoria

Elaboración del plan y de los Programas de Trabajo

Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan del trabajo. Decidido éste, se procede a la programación del mismo

Actividades de la Auditoria Informática

La auditoria Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos

Informe Final

El informe comienza con la fecha de comienzo de la auditoria y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente

Cuerpo expositivo

a)Situación actual. Se expondrá la situación prevista y la situación real del lugar

b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras

c) Puntos débiles y amenazas

d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoria informática

e) Redacción posterior de la Carta de Introducción o Presentación