6. EVALUACIÓN DEL ÁREA DE CÓMPUTO

6.1. Organización del área

Es la creación de una estructura, la cual determine las jerarquías necesarias y agrupación de

actividades, con el fin de simplificar las mismas y sus funciones dentro del grupo social.

El lugar donde debe estar ubicado el centro de cómputo debe de cumplir una serie de

requisitos de entre los cuales podemos mencionar los siguientes:

Estar situado en un lugar donde no pueda acceder personal no autorizado.

Que no entre mucha luz natural.

Debe haber aire acondicionado.

No debe haber entradas de aire natural.

Extinguidores

Ruta de evacuación, etc

6.2. Personal

Una de las partes más importantes dentro de la planeación de la auditoria en informática es

el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el

personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al

cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense

justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica

profesional y capacitación que debe tener el personal que intervendrá en la auditoria. En

primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente

nivel para poder coordinar el desarrollo de la auditoria, proporcionar toda la información que

se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar 

con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a 

auditar, sería casi imposible obtener información en el momento y con las características 

deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento

que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis,

nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario,

ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también

el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoria se

deben tener personas con las siguientes características:

Técnico en informática.

Experiencia en el área de informática.

Experiencia en operación y análisis de sistemas.

Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y 

experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que

una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir

una o varias personas con las características apuntadas.

6.3. Capacitación

Los gerentes y empleados de R.H. deben permanecer alertas a los tipos de capacitación que

se requieren, cuando se necesitan, quien lo precisa y que métodos son los mejores para dar

a los empleados el conocimiento, habilidades y capacitaciones necesarios. La evaluación de

necesidades comienza con un análisis de la organización. Los gerentes deben establecer un

contexto para la capacitación diciendo donde es más necesaria, como se relaciona con las

metas estratégicas y el cual es la mejor manera de utilizar los recursos organizacionales. El

análisis de tareas se utiliza para identificar los conocimientos, habilidades y capacidades que

se requieren. El análisis de personas se emplea para identificar quienes necesitan

capacitación.

6.4. Presupuestos

Se utilizan para designar recursos del hardware y software así como servicios al

departamento de informática como para la empresa o instituto.

Presupuesto del hardware

1) El presupuesto debe contener o desglosar las categorías del hardware a utilizar, es decir englobar en una categoría a equipos de computo (estaciones de trabajo, servidores etc.), sistemas de impresión (impresoras, inyecciones de tinta, matriz de punto laser, plotter etc.), sistemas de comunicación de redes (router, switch. Modem, etc.), sistemas de almacenamiento de datos (unidades de discos duros externos, CD, DVD, blue-ray, etc.). Consumibles (tóner, cartuchos, cintas magnéticas, etc.).

2) En listar las marcas y modelos que se van adquirir.

3) La garantía de los equipos que adquieran.

4) Los proveedores donde se harán las compras.

5) El precio en moneda nacional.

Presupuesto del software

1) Categorías de sistemas de sistemas o software que se va adquirir ejemplo (sistemas operativos, antivirus; sistemas de nomina).

2) La licencia adquirir (tiempo o periodo de la licencia, cantidad de usuarios que puedan utilizar la licencia).

3) Marca y versión del sistema o software.

4) Proveedor donde se comprara.

5) Los precios moneda nacional.

Presupuestos para servicios de comunicaciones o servicios de red.

1) Categorías de los equipos a adquirir (routers, switcher, módems, AP, etc).

2) El modelo y marca adquirir.

3) El proveedor para la compra.

4) Precios en moneda nacional.

Hoy en día las empresas necesitan un flujo de datos constantes y precisos para tomar

las decisiones correctas que les permita hacerles frente a la intensa competencia a las

que están sometidas en un ambiente de globalización para enrumbar la entidad al logro

de sus objetivos.

La magnitud del valor de la información es incalculable, ya que aquellas empresas que

cuentan con la mayor cantidad y calidad de datos, podrán tomar las mejores decisiones.

En la actualidad la información contable es un mecanismo indispensable para realizar

una administración efectiva de los recursos con los cuales cuentan. Lo que les permita

tomar decisiones sobre puntos tan determinantes como son:

· Los precios a los cuales se debe vender.

· Los precios a los cuales les conviene comprar.

· La capacidad de pago con la que se cuenta en un determinado momento.

· La situación financiera de la empresa.

· El costo del dinero que tomamos prestado, etc.; además de que esta información representa una herramienta de competencia que marca la diferencia a la hora de realizar acciones que impactaran la salud financiera de la organización.

6.5. Costos

Características de los Estados Financieros:

Siendo el fin primordial de los estados financieros brindar información adecuada a sus

diferentes usuarios. Para que ésta condición pueda materializarse, los estados

financieros deben satisfacer ciertas características, como son:

· Ser Comprensivo: Deben abarcar todas las actividades u operaciones de la empresa.

· Consistencia: La información contenida debe ser totalmente coherente entre las distintas partidas y entre los distintos estos financieros.

· Relevancia: Deben ayudar a mostrar los aspectos principales del desempeño de la empresa.

· Confiabilidad: Deben ser fidedignos de la realidad financiera de la empresa.

· Comparabilidad: Deben ser comparables con otros períodos de la misma empresa y con otras firmas de la misma actividad.

· Proporcionar Informaciones de Utilidad para evaluar la capacidad de la administración al utilizar con eficacia los recursos de la empresa que permiten lograr los objetivos propuestos.

· Proporcionar Informaciones Relativas a las transacciones y demás eventos que sirva par predecir, comparar y evaluar la capacidad generadora de utilidades.(26)

CLASIFICACIÓN DE LOS ESTADOS FINANCIEROS:

Atendiendo a su clasificación existen diferentes tipos de estados financieros que son:

a. Estados financieros proforma o proyectado: Este tipo de estados financieros pueden presentar total o parcialmente situaciones o hechos por acahecer, y se preparan con el objeto de presentar en que determinadas situaciones aún no consumadas por la situación financiera de la empresa; es un estado estimado que acompaña frecuentemente a un presupuesto.(27)

b. Estados financieros Auditados: Son aquellos estados que han pasado por un proceso de revisión y verificación de la información; este examen es ejecutado por un contador público independiente quienes finalmente expresan una opinión acerca de la razonabilidad de la situación financiera, resultados de operación y flujo de fondos que la empresa presenta en sus estados financieros de un ejercicio en particular.

c. Estados financieros consolidados: Son aquellos estados que son publicados por compañías legalmente independientes que muestran la posición financiera y la utilidad, tal como si las operaciones de las compañías fueran una sola entidad legal.

6.6. Controles de asignación de trabajo 

La asignación de recursos para el trabajo de auditoría debe considerar las técnicas de administración de proyectos las cuales tienen los siguientes pasos básicos: Desarrollar un plan detallado: El plan debe precisar los pasos a seguir para cada tarea y estimar de manera realista, el tiempo teniendo en cuenta el personal disponible.

Contrastar la actividad actual con la actividad planificada en el proyecto: debe existir algún mecanismo que permita comparar el progreso real con lo planificado. Generalmente se utilizan las hojas de control de tiempo. Ajustar el plan y tomar las acciones correctivas: si al comparar el avance con lo proyectado se determina avances o retrasos, se debe reasignar tareas.

El control se puede llevar en un diagrama de Gantt Los recursos deben comprender también las habilidades con las que cuenta el grupo de trabajo de auditoría y el entrenamiento y experiencia que estos tengan. Tener en cuenta la disponibilidad del personal para la realización del trabajo de auditoría, como los períodos de vacaciones que estos tengan, otros trabajos que estén realizando, etc.

La recopilación de material de evidencia es un paso clave en el proceso de la auditoría, algunas formas son las siguientes: Revisión de las estructuras organizacionales de sistemas de información. Entrevistas con el personal apropiado, las cuales deben tener una naturaleza de descubrimiento no de acusatoria. Observación de operaciones y actuación de empleados.

5. EVALUACIÓN DE CÓMPUTO

5.1.  Inventario de equipo

Este tipo de inventarios informáticos pueden hacerse a distintos niveles de profundidad, sólo en sus servidores o también en sus equipos clientes, para integración en redes corporativas más grandes, para controlar físicamente nuestros equipos en caso de movilidad, por auditorías de software, por auditorías de hardware, para toma de decisiones de renovaciones de parques informáticos, etc . . .

También nos podrá solicitar en cualquier momento si lo desea una instantánea del inventario del hardware, del software y del sistema operativo del ordenador que especifique durante un plazo de tiempo específico. Puede seleccionar una fecha específica, comparar datos entre dos fechas o ver datos del historial del inventario para un rango de fechas.

Podemos crear grupos de inventariado distintos para darles distinto control o seguimiento específico, tanto dentro de la red local como fuera de ella, en cualquier momento previa autorización suya e instalación de un software específico.

Este servicio puede darse de forma gratuíta para nuestros clientes que tengan contratado el mantenimiento integral de sus sistemas informáticos o bien cualquiera de los distintos contratos de mantenimiento informático.

Si tiene cualquier consulta o si usted no tiene contrato de mantenimiento de ordenadores puede contactar y solicitar el servicio de:

§ Inventario del harware

§ Inventario del software

§ Inventario del sistema informático

§ Informe del historial del hardware

§ Informe del historial del sofware

§ Informe del historial del sistemas informático completo

5.2. Mantenimiento de los equipos

Se trata de actividades tanto físicas como lógicas que buscan reducir la posibilidad de fallas en los equipos de cómputo (incluyendo no sólo computadoras, sino también el ratón, impresoras, teclados, pantallas, etc.) e inclusive la corrección de fallas menores.

Tipos de Mantenimiento de Equipo de Computo



1.- El Mantenimiento Predictivo (Adaptativo).

• Consiste en hacer revisiones periódicas (usualmente programadas) para detectarcualquier condición (presente o futura) que pudiera impedir el uso apropiado y seguro del dispositivo y poder corregirla, manteniendo de ésta manera cualquier herramienta o equipo en optimas condiciones de uso.Modificaciones que afectan a los entornos en los que el sistema opera, por ejemplo, cambios en la configuración del hardware, software de base, gestores de bases de datos, comunicaciones, etc…”.

2.- El Mantenimiento Preventivo.

• Es hacer los ajustes, modificaciones, cambios, limpieza y reparaciones (generalmente sencillos) necesarios para mantener cualquier herramienta o equipo en condiciones seguras de uso, con el fin de evitar posibles daños al operador o al equipo mismo.El mantenimiento preventivo permite detectar fallos repetitivos, disminuir los puntos muertos por paradas, aumentar la vida útil de equipos, disminuir costos de reparaciones, detectar puntos débiles en la instalación entre una larga lista de ventajas.

3.- El Mantenimiento Correctivo.

• Es reparar, cambiar o modificar cualquier herramienta, maquinaria o equipo cuando se ha detectado alguna falla o posible falla que pudiera poner en riesgo el funcionamiento seguro de la herramienta o equipo y de la persona que lo utiliza.El mantenimiento correctivo o mantenimiento por rotura fue el esbozo de lo que hoy día es el mantenimiento. Esta etapa del mantenimiento va precedida del mantenimiento planificado.En esta etapa, "mantener" es sinónimo de "reparar" y el servicio de mantenimiento operaba con una organización y planificación mínimas (mecánica y engrase) pues la industria no estaba muy mecanizada y las paradas de los equipos productivos no tenían demasiada importancia al tratarse de maquinaria sencilla y fiable y, debido a esta sencillez, fácil de reparar. La política de la empresa era la de minimizar el costo de mantenimiento.

Este mantenimiento agrupa las acciones a realizar en el software (programas, bases de datos, documentación, etc.) ante un funcionamiento incorrecto, deficiente o incompleto que por su naturaleza no pueden planificarse en el tiempo.

Estas acciones, que no implican cambios funcionales, corrigen los defectos técnicos de las aplicaciones. Entendemos por defecto una diferencia entre las especificaciones del sistema y su funcionamiento cuando esta diferencia se produce a causa de errores en la configuración del sistema o del desarrollo de programas. 

5.3. Orden en el centro de cómputo

Una dirección de Sistemas de Información bien administrada debe tener y observar reglas relativas al orden y cuidado del departamento de cómputo.

5.4. Seguridad y confidencialidad de los equipos

La computadora es un instrumento que estructura gran cantidad de información, la cual puede ser confidencial para individuos, empresas o instituciones, y puede ser mal utilizada o divulgada a personas que hagan mal uso de esta. También pueden ocurrir robos, fraudes o sabotajes que provoquen la destrucción total o parcial de la actividad computacional.

5.5. Controles

Control de los datos.

Control de Operación.

Control de los Medios de Almacenamiento Masivo.

Control de Mantenimiento.

5.6. Productividad 

La Auditoría de Productividad constará de una duración de 2 jornadas consecutivas en la instalación del cliente para la adquisición de datos.

La entrega del informe se realizará al final de la última jornada. En caso de que por necesidad de estudio del equipo auditor no se pueda entregar el informe en el acto, se convocará para otro día sin coste alguno para la empresa.

Al finalizar la Auditoría la empresa dispondrá de un informe con los resultados obtenidos, estructurado en dos partes; en la primera parte, se exponen las desviaciones y ratios de productividad reales analizados durante el estudio (estado actual en el que se encuentra la empresa):Nivel de Productividad Real del proceso o línea estudiado. Este nivel se calculará mediante el indicador internacional de productividad.Identificación de las tareas que no aportan valor en el proceso y causan la baja productividad y son susceptibles de eliminarse fácilmente (p. ejemplo: desplazamientos innecesarios del personal, almacenamientos intermedios de material, etc…)Identificación de los puntos negros que causan el sobrecoste en la fabricación del producto.Conclusiones generales del equipo auditor.

En la segunda parte del informe, es donde se recogen las acciones propuestas por el equipo técnico de IPYC como medida para solucionar las desviaciones detectas y los malos índices de productividad.

Este plan de acciones sirve a la empresa como una hoja de ruta para empezar a trabajar en conseguir un aumento de la productividad en poco tiempo, ya que en la mayoría de las ocasiones las acciones a realizar son sencillas y no requieren apenas inversiones por parte de la empresa.

4. EVALUACIÓN DE SISTEMAS

4.1. Documentación y estándares

A lo largo de todo el trabajo de auditoría, el auditor debe guardar las pruebas evidentes de lo realizado, no solo como recordatorio fundado de su actuación con las necesarias matizaciones para emitir el informe, sino como medio de demostrar, en cualquier momento, la amplitud y la evidencia de los hechos, y poder expresar los procedimientos de auditoría utilizados, así como la interpretación dada en cada caso a los hechos, con las conclusiones obtenidas.

Estas pruebas, deben ser conservadas en lugar protegido, donde no puedan ser inspeccionadas por terceros ajenos al auditor o equipo de auditores. No deberán destruirse antes de que haya transcurrido el tiempo que establecen las obligaciones derivadas de las leyes y de las necesidades de la práctica profesional. Su destrucción o pérdida, así como la difusión no autorizada, acarrearía responsabilidad para el auditor.

Estructura de contenidos. Cuando hablamos de papeles de trabajo, nos estamos refiriendo al conjunto de documentos preparados por un auditor, que le permite disponer de una información y de pruebas efectuadas durante su actuación profesional en la empresa, así como las decisiones tomadas para formar su opinión.

Su misión es ayudar en la planificación y la ejecución de la auditoría, ayudar en la supervisión y revisión de la misma y suministrar evidencia del trabajo llevado a cabo para respaldar la opinión del auditor.

Han de ser detallados y completos los papales de trabajo y deben estar diseñados para presentar la información requerida de forma clara y plena de significado. Estos deben elaborarse en el momento en que se realiza el trabajo y son propiedad del auditor, quien debe adoptar las medidas oportunas para garantizar su custodia sin peligro y su confidencialidad.

En cuanto a los objetivos de los papeles de trabajo podemos indicar los siguientes:

Servir como evidencia del trabajo realizado y de soporte de las conclusiones del mismo.

Presentar informes a las partes interesadas.

Facilitar los medios para organizar, controlar, administrar y supervisar el trabajo ejecutado en las oficinas del cliente.

Facilitar la continuidad del trabajo en el caso de que un área deba ser terminada por persona distinta de la que la inició.

Facilitar la labor de revisiones posteriores y servir para la información y evaluación personal.

Tipos de papeles de trabajo.

En función de la fuente de la que procedan los papeles de trabajo, éstos se podrán clasificar en tres grupos:

a) Preparados por la entidad auditada. Se trata de toda aquella documentación que la empresa pone al servicio del auditor para que pueda llevar a cabo su trabajo: estados financieros, memoria, escritura, contratos, acuerdos.

b) Confirmaciones de terceros. Una parte del trabajo de auditoría consiste en la verificación de los saldos que aparecen en el balance de situación a auditar.

c) Preparados por el auditor. Este último grupo estará formado por toda la documentación elaborada por el propio auditor a lo largo del trabajo a desarrollar: cuestionarios y programas, descripciones, detalles de los diferentes capítulos de los estados financieros, cuentas, transacciones,… Sistemas de archivo. Un complemento necesario a los papeles de trabajo lo constituye el archivo de trabajo. En él deben figurar recopilados todos los documentos utilizados en la actuación profesional, así como cuantas informaciones se consideren de interés, tanto para el presente como para el futuro.

Se pueden distinguir dos tipos de archivos: expediente de ejercicio y permanente.

El contenido de este archivo se refiere a documentos y papeles de trabajo cuya vigencia se limita al período de realización de la auditoría.

a) Archivo general Agrupa toda información referente a la organización de la auditoría, al mismo tiempo recogerá la documentación en la que se han ido reflejando los principales problemas que se han planteado en la ejecución de la auditoría y las conclusiones a las que a ha ido llegando el auditor. De esta forma, podríamos destacar como apartados importantes de la sección general del expediente del ejercicio:

- Estados financieros a auditar

- Proceso de planificación y programas de auditoría

- Informe sobre el sistema de control interno contable

- Indicación de quién realizó los procedimientos de auditoría y cuándo fueron realizados

- Constancia de que el trabajo realizado por colaboradores ha sido supervisado y revisado

- Puntos de informe

- Correspondencia con el cliente y resumen de las conversaciones mantenidas

- Hechos posteriores

- Terminación de la auditoría

b) Archivo por áreas de trabajo

4.2. Confidencialidad de los sistemas

Para lograr sus objetivos la seguridad informática se fundamenta en tres , que debe cumplir todo sistema informático:

Confidencialidad: Se refiere a la privacidad de los elementos de información almacenados y procesados en un sistema informático, Basándose en este principio, las herramientas de seguridad informática deben proteger el sistema de invasiones y accesos por parte de personas o programas no autorizados. Este principio es particularmente importante en sistemas distribuidos, es decir, aquellos en los que los usuarios , computadores y datos residen en localidades diferentes , pero están fisica y lógicamente interconectados.

Integridad: Se refiere a la validez y consistencia de los elementos de información almacenados y procesador en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deben asegurar que los procesos de actualización estén bien sincronizados y no se dupliquen, de forma que todos los elementos del sistema manipulen adecuadamente los mismos datos. Este principio es importante en sistemas descentralizados, es decir, aquellos en los que diferentes usuarios , computadores y procesos comparten la misma información.

Disponibilidad: Se refiere a la continuidad de acceso a los elementos de información almacenados y procesados en un sistema informático. Basándose en este principio, las herramientas de seguridad informática deber reforzar la permanencia del sistema informático, en condiciones de actividad adecuadas para que los usuarios accedan a los datos con la frecuencia y dedicación que requieran, este principio es importante en sistemas informáticos cuyos compromiso con el usuario, es prestar servicio permanente.

Factores de Riesgos:

Ambientales/Físicos : factores externos , lluvias, inundaciones , terremotos, tormentas, rayos, humedad, calor entre otros.

4.3. Seguridad de los sistemas




Cuando se habla de la función informática generalmente se tiende a hablar de tecnología nueva, de nuevas aplicaciones, nuevos dispositivos hardware, nuevas formas de elaborar información más consistente, etc.

Sin embargo se suele pasar por alto o se tiene muy implícita la base que hace posible la existencia de los anteriores elementos. Esta base es la información.

Es muy importante conocer su significado dentro la función informática, de forma esencial cuando su manejo esta basado en tecnología moderna, para esto se debe conocer que la información: 

esta almacenada y procesada en computadoras
puede ser confidencial para algunas personas o a escala institucional
puede ser mal utilizada o divulgada
puede estar sujeta a robos, sabotaje o fraudes

Los primeros puntos nos muestran que la información esta centralizada y que puede tener un alto valor y los últimos puntos nos muestran que se puede provocar la destrucción total o parcial de la información, que incurre directamente en su disponibilidad que puede causar retrasos de alto costo.

Pensemos por un momento que hay se sufre un accidente en el centro de computo o el lugar donde se almacena la información. Ahora preguntémonos: ¿Cuánto tiempo pasaría para que la organización este nuevamente en operación?

Es necesario tener presente que el lugar donde se centraliza la información con frecuencia el centro de cómputo puede ser el activo más valioso y al mismo tiempo el más vulnerable.

3. METODOLOGÍA

3.1. Investigación preliminar

Si un proyecto de sistema parece ser viable y tiene suficiente prioridad, se comienza la investigación preliminar. Esta investigación requiere uno o más analistas de sistemas analizando el “system request” para determinar la verdadera naturaleza y alcance del problema y recomendar si es que se debe continuar con el proyecto. El propósito de la investigación preliminar es buscar información suficiente para determinar si se debe continuar con el Ciclo de Vida del Desarrollo del Sistema. La investigación no es una actividad de recolección de datos; no se espera que se definan todos los problemas ni que se propongan todas las posibles soluciones. La investigación preliminar debe cumplir con los siguientes cinco objetivos:

1.  Entender la naturaleza del problema – Es el primer objetivo de la investigación preliminar. Muchas veces, el problema presentado en el “system request” no es el problema real, sino un síntoma. Al interaccionar con los usuarios, se debe evitar el uso de la palabra problema, ya que puede generar una impresión negativa. Es mejor hablar sobre mejoras que necesita el sistema.

2.  Definir el alcance y las restricciones o limitaciones del sistema – El alcance del proyecto es la extensión del proyecto o del sistema, o sea, hasta dónde se debe llegar. Se debe determinar quién es afectado por el problema o por la solución.  También es importante definir las limitaciones del sistema. Una limitación es una condición, restricción o requisito que el sistema debe satisfacer. La limitación puede tener que ver con el equipo, programas, tiempo, leyes, costos y otros.

3.   Identificar los beneficios que se obtendrían si el sistema propuesto es completado – Se debe identificar los beneficios tangibles e intangibles que se esperan como resultado del “system request”. Estos beneficios, junto a los estimados de costo, serán usado por la gerencia para decidir si se continúa con el proyecto. Los beneficios tangibles son aquellos que se pueden expresar en términos de dinero. Los beneficios intangibles son difíciles de contabilizar en dólares y centavos, pero son igualmente importantes. Tienen que ver con la satisfacción del empleado, mayor información disponible para tomar decisiones, mejorar la imagen de la compañía y otros aspectos que no se miden en término de dinero.

4.    Especificar un estimado de tiempo y costo para las próximas fases de desarrollo – Se debe presentar un estimado del tiempo que tomará realizar cada uno de las siguientes fases del desarrollo del sistema y del costo que la compañía debe incurrir para completar el sistema. Se debe incluir los costos de desarrollo – costos que ocurren una sola vez – y los costos continuos – costos pagados periódicamente.

5.  Presentar un informe a la gerencia describiendo el problema y detallando si se recomienda continuar con la fase de análisis del sistema – Debe incluir la evaluación del “system request”, estimado de tiempo y costo-beneficios y las recomendaciones.

  

Pasos para realizar la investigación preliminar:

1.      Obtener la autorización de la gerencia.

2.      Identificar la información necesaria para el proyecto para cumplir con los cinco objetivos de la investigación (ya mencionados).

3.      Realizar las acciones que sean necesarias para conseguir la información, como por ejemplo:

a.  Analizar el organigrama para conocer la estructura de los departamentos y las personas claves para el sistema.

b.  Realizar entrevistas a los usuarios, éste es el método principal de obtener información.

c. Revisar la documentación actual, verificando con los usuarios si la documentación es correcta y completa.

d.   Observar la operación actual para identificar fuentes de Input y Output.

e.  Realizar encuestas, método usado cuando se necesita información de muchas personas.

4.      Analizar la información obtenida, identificando alternativas con sus costos y beneficios y recomendando la acción que se debe tomar.

5.      Presentar los resultados y recomendaciones a la gerencia.

3.2. Planeación de la auditoría en informática

Para hacer una adecuada plantación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de área dentro del organismo a auditar, sus sistemas, organización y equipo.

 • En el caso de la auditoria en informática, la plantación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

 • Evaluación de los sistemas y procedimientos.

 • Evaluación de los equipos de cómputo

Para hacer una plantación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.  Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Metodología de Trabajo de Auditoria Informática 

3.3. Obtención de información

La información que se levante, debe ser suficiente, confiable, válida y sistemática, de tal manera que le permita al auditor, llegar a conclusiones y elaborar recomendaciones con bases sólidas.

Entrevista y cuestionario

Las entrevistas y los cuestionarios son técnicas que nos permiten recopilar información de campo.

“consiste en reunirse con una o varias personas y cuestionarlas  para obtener información.”

 

CUESTIONARIOS: Benjamín Franklin la define como:

“Se emplean para obtener información deseada en forma homogénea. Están constituidos por series de preguntas, escritas, predefinidas, secuenciadas y separadas por capítulos y temáticas”

Características de una entrevista

La entrevista es una reunión prefijada y determinada de antemano, aunque su desarrollo pueda parecer espontáneo y natural.

La entrevista siempre tiene un objetivo, que debe ser conocido al menos por el entrevistador y que será tenido en cuenta antes y durante su desarrollo.

Por lo tanto es un proceso de interacción con un fin determinado.

El entrevistador debe traducir lo que ve y oye a situaciones concretas y no dejar lo que dice el entrevistado en generalidades.

Es perfectible, por sus características dinámicas y carácter personal, se puede ir mejorando, en la medida en que el entrevistador observa el proceso.

Es una técnica que exige del entrevistador habilidades de comunicación y dirección.

CARACTERÍSTICAS DE CUESTIONARIO

¨El lenguaje utilizado debe ser acorde con el del sujeto al que se dirige la encuesta.

Las preguntas deben estar redactadas de la forma más corta posible, con el fin de facilitar su lectura y comprensión.

• Las preguntas deben plantearse con claridad y de forma inequívoca, un típico error de redacción consiste en incluir dos preguntas en una, lo que conduce a no poder concretar a cual corresponde la respuesta.
• Debe empezarse por las preguntas más fáciles.

¨Se debe tener un especial cuidado con la información de preguntas que puedan resultar delicadas o embarazosas para el encuestado, redactándolas de forma que pueda obtenerse la información sin provocar un rechazo o una falsa respuesta.”

Estas preguntas deben ir, además, al final del cuestionario.

No se debe incluir en las preguntas juicios de valor ni afirmaciones que puedan condicionar las respuestas, ni que puedan verse afectadas por el orden en que figuren dentro del cuestionario.

 Las preguntas deben formularse de forma que faciliten tanto el esfuerzo de memoria que tenga que realizar el encuestado, como en su caso, la realización de cálculos, para evitar errores en las respuestas.

OBSERVACIÓN DIRECTA

¨El auditor al levantar la información debe tener especial cuidado en lo que se refiere a los hallazgos que puede recopilar a través de la observación.

Estos datos los debemos sistematizar, es decir, registrar, si no pueden perder su validez, el registro de la observación lo podemos llevar a cabo, por ejemplo, en una auditoría de instalaciones por medio de lista de checado o check list, en donde escribiremos mediante una lista, el nombre de cada una de los elementos a auditar de las instalaciones de la empresa para ir “palomeando” el estado físico en que se encuentran las instalaciones.

¨También el auditor puede registrar las observaciones mediante unas tarjetas “cédulas”, en donde asientan las observaciones y hallazgos que va levantando.

OTRAS TÉCNICAS  PARA OBTENER INFORMACIÓN.

¨El auditor puede obtener información acerca de la empresa o área auditada mediante la utilización del intranet, ese sistema de información mediante la utilización de redes de web con que cuentan algunas empresas, donde el auditor puede acceder a información sobre: la operación de la empresa, capital mano, proveedores, clientes, acreedores, servicio al cliente, entre otros.

3.4. Análisis, evaluación y presentación de la auditoría


Planeación de la auditoría es la función donde se define el desarrollo secuencial de las actividades encaminadas dentro de los programas, así como la determinación del tiempo requerido para el desarrollo de cada una de sus etapas.


La finalidad de la planeación consiste en poder prever, anticipadamente a la acción, todos aquellos factores que se requieran, y que por ausencia de éstos no limiten el curso de acción a seguir en pro de los objetivos esperados.

En la planeación, el auditor debe considerar entre otros, los siguientes puntos:

Características particulares de la empresa.

Finalidad de los trabajos

Secuencia de su desarrollo

Estimación de tiempos, para estimación de cada trabajo

Determinación del personal que intervenga

Determinación de las técnicas que se utilizarán

Determinación de medios materiales

Determinación del apoyo que el organismo social proporcionará.



La información se captará por medio de los manuales de organización y operación, catálogo de formas, proyectos, fundamento legal que norme y regule el desarrollo del trabajo, planes y programas, informes emitidos por la unidad, etc. Todo esto con el objeto de contar con elementos que, además de dar un conocimiento general de la unidad a auditar, sirvan de base para la elaboración del programa específico de revisión.



Es importante que se considere que el personal cuente con capacidad y gran madurez en los problemas que se piensan auditar, y en caso de que surjan aspectos técnicos especializados, contar con técnicos especializados a nivel de asesoría, para comprender el problema y obtener resultados concretos.











EVALUACIÓN



Terminada la investigación, el auditor procederá a formular sus conclusiones, atendiendo el siguiente orden:


-Concentración de los datos obtenidos en la investigación

-Clasificación de los datos

-Evaluación de resultados

-Determinación de la solución



Concentración de los datos obtenidos en la investigación:

El auditor procederá a hacer una recopilación de todos aquellos datos contenidos en las informaciones escritas o verbales que le fueron proporcionadas, así como los papeles de trabajo elaborados en las investigaciones efectuadas, a fin de proceder en su clasificación.


Clasificación de los datos obtenidos:



La clasificación de los datos tiene por objeto facilitar el mecanismo para proceder a la evaluación de resultados, por lo que el auditor procederá a agruparlos de tal manera, que le sirvan de guía para formular sus conclusiones.

Evaluación de los resultados:



Los datos contenidos en los informes de que hablamos en el párrafo anterior, así como sus apreciaciones personales, serán los determinantes para que el auditor haga una justa evaluación de las situaciones y problemas investigados. Requisito que debe llenar satisfactoriamente, a fin de considerar los problemas importantes y que, consecuentemente, merecen mayor atención para una correcta solución.





Las observaciones y recomendaciones son la parte medular del trabajo del auditor, por lo que debe tener presente que al emitir sus apreciaciones, contrae una responsabilidad, ya que éste puede repercutir positiva o negativamente, según el caso , en las operaciones de la empresa, así como a todos los organismos y grupos sociales que tienen relación con la misma.

PRESENTACIÓN



Informe es la narración escrita o verbal sobre los resultados que se obtienen de un encargo.



Los informes rendidos por el auditor deben hacerse por escrito, ya que en esta forma queda constancia de su labor. Por otra parte, el informe escrito es prácticamente una prueba de sus sugerencias, acuerdos tomados o resultado de su trabajo.




La presentación y contenido del informe debe reunir, entre otros los siguientes requisitos:




-Debe estar redactado en forma sencilla, clara y precisa.


-Las conclusiones deben estar apoyadas con argumentos razonados y convincentes, motivando la acción correspondiente.


-Debe estar escrito con limpieza y en papel adecuado.


-El informe, según el caso, deberá acompañarse de todos aquellos documentos formulados como resultado de los trabajos, tales como. Gráficas, instructivos, formas, etc.


Seguimiento administrativo






3.5. Dictamen de la auditoría






Es la etapa final y su tamaño depende del propio tamaño y complejidad del sistema auditado, se basa en 3 puntos generales:




Recolección de la información y elaboración de un informe de situaciones detectadas
Elaboración de dictamen final
Presentación del informe de auditoria










3.6. Organización del área de auditoría en informática






Auditor informático es auditor y consultor de la empresa en materia de Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnología informática, Gestión de riesgos, etc.






La concepción típica de la función de Auditoría Informática es dentro de la función de AuditoríaInterna


Nacimiento histórico de la auditoría informática


Dificultad de separar el elemento informático de la auditoría operativa y financiera








La

2. CONTEXTO DE LA AUDITORÍA EN INFORMÁTICA

2.1. Auditaría de sistemas

La Auditoria en informática se refiere a la revisión práctica que se realiza sobre los recursos informáticos con que cuenta una entidad con el fin de emitir un informe o dictamen sobre la situación en que se desarrollan y se utilizan esos recursos.

Clasificación de la auditoria. Tradicionalmente se consideran dos tipos de auditoria: las internas y las externas La auditoria interna la desarrollan personan que pueden o no depender de la entidad y actúan revisando, las más de las veces, aspectos que interesan particularmente a la administración, aunque pueden efectuar revisiones programadas sobre todos los aspectos operativos y de registro de la empresa, con el fin de emitir un informe sobre su revisión. La auditoria externa, conocida también como auditoria independiente, la efectúan profesionistas que no dependen de la empresa, ni económicamente ni bajo cualquier otro concepto, y a los que se conoce un juicio imparcial merecedor de la confianza de terceros. El objeto de su trabajo es la emisión de un dictamen. Esta clase de auditoria es la actividad más característica el contador Público o del Licenciado en Informática .También existen otros tipos de auditoria como son: Auditoria operacional, se refiere a a revisión de la operación de una empresa y se juzga la eficiencia e la operación misma. Auditoria administrativa, se refiere a la organización y eficiencia de la estructura del personal con que cuenta la empresa y los procesos administrativos en que actúa dicho personal. Auditoria social.-se refiere a la revisión del entorno social en que se ubica y desarrolla una empresa, con el fin de valorar aspectos externos e internos que infieran en la productividad de la misma.

2.2. Auditoria al área de cómputo

 El auditor deberá efectuar entrevistas que le permitan recopilar información sobre los cargos definidos en el departamento de computo y las responsabilidades que pasan sobre esos cargos , osea deberán determinar lo que corresponde a la conformación interna del departamento, pero esto también deberá completarlo con la evaluación de la estructura de la empresa y la determinación de la ubicación que ha dado ese departamento dentro de la empresa

2.3. Auditoria al equipo de cómputo

dentro de la evaluación del equipo de computo tendremos que hacer las siguientes observaciones:

• revisar números de equipos, localización y las características
• conocer las fechas de instalación de los equipos y sus capacidades actuales
• revisar las políticas de uso de los equipos
• revisar el manual en el que se encuentra estructurada la forma en que da el mantenimiento al equipo 

2.4. Ventajas y limitaciones de la auditor en informática

Una auditoria nos proporciona una información que debemos poner en manos de las personas adecuadas, la idea es utilizar la información obtenida para mejorar y para ello analizamos las siguientes preguntas:

 ¿Qué se hace? <-> ¿Qué se debería hacer? Lo que existe <-> Lo que debería existir


ventajas:

1. Facilita una ayuda primordial a la dirección al evaluar de forma relativamente independiente los sistemas de organización y de administración.
2. Facilita una evaluación global y objetiva de los problemas de la empresa, que generalmente suelen ser interpretados de una manera parcial por los departamentos afectados.
3. Pone a disposición de la dirección un profundo conocimiento de las operaciones de la empresa, proporcionado por el trabajo de verificación de los datos contables y financieros.
4. Contribuye eficazmente a evitar las actividades rutinarias y la inercia burocrática que generalmente se desarrollan en las grandes empresas.
5. Favorece la protección de los intereses y bienes de la empresa frente a terceros

limitaciones:

1. Tiene la desventaja que cada empresa tiene sus características propias y especiales de manera que deben enfocarse al tipo de empresa que se trate, además puede modificarse por que es el control interno halla variado por lo que los procedimientos también serán diferentes.