3.1. Investigación preliminar
Si un proyecto de sistema parece ser viable y tiene suficiente prioridad, se comienza la investigación preliminar. Esta investigación requiere uno o más analistas de sistemas analizando el “system request” para determinar la verdadera naturaleza y alcance del problema y recomendar si es que se debe continuar con el proyecto. El propósito de la investigación preliminar es buscar información suficiente para determinar si se debe continuar con el Ciclo de Vida del Desarrollo del Sistema. La investigación no es una actividad de recolección de datos; no se espera que se definan todos los problemas ni que se propongan todas las posibles soluciones. La investigación preliminar debe cumplir con los siguientes cinco objetivos:
1. Entender la naturaleza del problema – Es el primer objetivo de la investigación preliminar. Muchas veces, el problema presentado en el “system request” no es el problema real, sino un síntoma. Al interaccionar con los usuarios, se debe evitar el uso de la palabra problema, ya que puede generar una impresión negativa. Es mejor hablar sobre mejoras que necesita el sistema.
2. Definir el alcance y las restricciones o limitaciones del sistema – El alcance del proyecto es la extensión del proyecto o del sistema, o sea, hasta dónde se debe llegar. Se debe determinar quién es afectado por el problema o por la solución. También es importante definir las limitaciones del sistema. Una limitación es una condición, restricción o requisito que el sistema debe satisfacer. La limitación puede tener que ver con el equipo, programas, tiempo, leyes, costos y otros.
3. Identificar los beneficios que se obtendrían si el sistema propuesto es completado – Se debe identificar los beneficios tangibles e intangibles que se esperan como resultado del “system request”. Estos beneficios, junto a los estimados de costo, serán usado por la gerencia para decidir si se continúa con el proyecto. Los beneficios tangibles son aquellos que se pueden expresar en términos de dinero. Los beneficios intangibles son difíciles de contabilizar en dólares y centavos, pero son igualmente importantes. Tienen que ver con la satisfacción del empleado, mayor información disponible para tomar decisiones, mejorar la imagen de la compañía y otros aspectos que no se miden en término de dinero.
4. Especificar un estimado de tiempo y costo para las próximas fases de desarrollo – Se debe presentar un estimado del tiempo que tomará realizar cada uno de las siguientes fases del desarrollo del sistema y del costo que la compañía debe incurrir para completar el sistema. Se debe incluir los costos de desarrollo – costos que ocurren una sola vez – y los costos continuos – costos pagados periódicamente.
5. Presentar un informe a la gerencia describiendo el problema y detallando si se recomienda continuar con la fase de análisis del sistema – Debe incluir la evaluación del “system request”, estimado de tiempo y costo-beneficios y las recomendaciones.
Pasos para realizar la investigación preliminar:
1. Obtener la autorización de la gerencia.
2. Identificar la información necesaria para el proyecto para cumplir con los cinco objetivos de la investigación (ya mencionados).
3. Realizar las acciones que sean necesarias para conseguir la información, como por ejemplo:
a. Analizar el organigrama para conocer la estructura de los departamentos y las personas claves para el sistema.
b. Realizar entrevistas a los usuarios, éste es el método principal de obtener información.
c. Revisar la documentación actual, verificando con los usuarios si la documentación es correcta y completa.
d. Observar la operación actual para identificar fuentes de Input y Output.
e. Realizar encuestas, método usado cuando se necesita información de muchas personas.
4. Analizar la información obtenida, identificando alternativas con sus costos y beneficios y recomendando la acción que se debe tomar.
5. Presentar los resultados y recomendaciones a la gerencia.
3.2. Planeación de la auditoría en informática
Para hacer una adecuada plantación de la auditoria en
informática, hay que seguir una serie de pasos previos que
permitirán dimensionar el tamaño y características de área
dentro del organismo a auditar, sus sistemas, organización y
equipo.
• En el caso de la auditoria en informática, la plantación es
fundamental, pues habrá que hacerla desde el punto de vista
de los dos objetivos:
• Evaluación de los sistemas y procedimientos.
• Evaluación de los equipos de cómputo
Para hacer una plantación eficaz, lo primero que se
requiere es obtener información general sobre la organización y sobre la función de informática a evaluar.
Para ello es preciso hacer una investigación preliminar y
algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo,
personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
Metodología de Trabajo de Auditoria Informática
3.3. Obtención de información
La información que se levante, debe ser suficiente, confiable, válida y sistemática, de tal manera que le permita al auditor, llegar a conclusiones y elaborar recomendaciones con bases sólidas.
Entrevista y cuestionario
Las entrevistas y los cuestionarios son técnicas que nos permiten recopilar información de campo.
“consiste en reunirse con una o varias personas y cuestionarlas para obtener información.”
CUESTIONARIOS: Benjamín Franklin la define como:
“Se emplean para obtener información deseada en forma homogénea. Están constituidos por series de preguntas, escritas, predefinidas, secuenciadas y separadas por capítulos y temáticas”
Características de una entrevista
La entrevista es una reunión prefijada y determinada de antemano, aunque su desarrollo pueda parecer espontáneo y natural.
La entrevista siempre tiene un objetivo, que debe ser conocido al menos por el entrevistador y que será tenido en cuenta antes y durante su desarrollo.
Por lo tanto es un proceso de interacción con un fin determinado.
El entrevistador debe traducir lo que ve y oye a situaciones concretas y no dejar lo que dice el entrevistado en generalidades.
Es perfectible, por sus características dinámicas y carácter personal, se puede ir mejorando, en la medida en que el entrevistador observa el proceso.
Es una técnica que exige del entrevistador habilidades de comunicación y dirección.
CARACTERÍSTICAS DE CUESTIONARIO
¨El lenguaje utilizado debe ser acorde con el del sujeto al que se dirige la encuesta.
Las preguntas deben estar redactadas de la forma más corta posible, con el fin de facilitar su lectura y comprensión.
- Las preguntas deben plantearse con claridad y de forma inequívoca, un típico error de redacción consiste en incluir dos preguntas en una, lo que conduce a no poder concretar a cual corresponde la respuesta.
- Debe empezarse por las preguntas más fáciles.
¨Se debe tener un especial cuidado con la información de preguntas que puedan resultar delicadas o embarazosas para el encuestado, redactándolas de forma que pueda obtenerse la información sin provocar un rechazo o una falsa respuesta.”
Estas preguntas deben ir, además, al final del cuestionario.
No se debe incluir en las preguntas juicios de valor ni afirmaciones que puedan condicionar las respuestas, ni que puedan verse afectadas por el orden en que figuren dentro del cuestionario.
Las preguntas deben formularse de forma que faciliten tanto el esfuerzo de memoria que tenga que realizar el encuestado, como en su caso, la realización de cálculos, para evitar errores en las respuestas.
OBSERVACIÓN DIRECTA
¨El auditor al levantar la información debe tener especial cuidado en lo que se refiere a los hallazgos que puede recopilar a través de la observación.
Estos datos los debemos sistematizar, es decir, registrar, si no pueden perder su validez, el registro de la observación lo podemos llevar a cabo, por ejemplo, en una auditoría de instalaciones por medio de lista de checado o check list, en donde escribiremos mediante una lista, el nombre de cada una de los elementos a auditar de las instalaciones de la empresa para ir “palomeando” el estado físico en que se encuentran las instalaciones.
¨También el auditor puede registrar las observaciones mediante unas tarjetas “cédulas”, en donde asientan las observaciones y hallazgos que va levantando.
OTRAS TÉCNICAS PARA OBTENER INFORMACIÓN.
¨El auditor puede obtener información acerca de la empresa o área auditada mediante la utilización del intranet, ese sistema de información mediante la utilización de redes de web con que cuentan algunas empresas, donde el auditor puede acceder a información sobre: la operación de la empresa, capital mano, proveedores, clientes, acreedores, servicio al cliente, entre otros.
Planeación de la auditoría es la función donde se define el desarrollo secuencial de las actividades encaminadas dentro de los programas, así como la determinación del tiempo requerido para el desarrollo de cada una de sus etapas.
La finalidad de la planeación consiste en poder prever, anticipadamente a la acción, todos aquellos factores que se requieran, y que por ausencia de éstos no limiten el curso de acción a seguir en pro de los objetivos esperados.
En la planeación, el auditor debe considerar entre otros, los siguientes puntos:
Características particulares de la empresa.
Finalidad de los trabajos
Secuencia de su desarrollo
Estimación de tiempos, para estimación de cada trabajo
Determinación del personal que intervenga
Determinación de las técnicas que se utilizarán
Determinación de medios materiales
Determinación del apoyo que el organismo social proporcionará.
La información se captará por medio de los manuales de organización y operación, catálogo de formas, proyectos, fundamento legal que norme y regule el desarrollo del trabajo, planes y programas, informes emitidos por la unidad, etc. Todo esto con el objeto de contar con elementos que, además de dar un conocimiento general de la unidad a auditar, sirvan de base para la elaboración del programa específico de revisión.
Es importante que se considere que el personal cuente con capacidad y gran madurez en los problemas que se piensan auditar, y en caso de que surjan aspectos técnicos especializados, contar con técnicos especializados a nivel de asesoría, para comprender el problema y obtener resultados concretos.
EVALUACIÓN
Terminada la investigación, el auditor procederá a formular sus conclusiones, atendiendo el siguiente orden:
-Concentración de los datos obtenidos en la investigación
-Clasificación de los datos
-Evaluación de resultados
-Determinación de la solución
Concentración de los datos obtenidos en la investigación:
El auditor procederá a hacer una recopilación de todos aquellos datos contenidos en las informaciones escritas o verbales que le fueron proporcionadas, así como los papeles de trabajo elaborados en las investigaciones efectuadas, a fin de proceder en su clasificación.
Clasificación de los datos obtenidos:
La clasificación de los datos tiene por objeto facilitar el mecanismo para proceder a la evaluación de resultados, por lo que el auditor procederá a agruparlos de tal manera, que le sirvan de guía para formular sus conclusiones.
Evaluación de los resultados:
Los datos contenidos en los informes de que hablamos en el párrafo anterior, así como sus apreciaciones personales, serán los determinantes para que el auditor haga una justa evaluación de las situaciones y problemas investigados. Requisito que debe llenar satisfactoriamente, a fin de considerar los problemas importantes y que, consecuentemente, merecen mayor atención para una correcta solución.
Las observaciones y recomendaciones son la parte medular del trabajo del auditor, por lo que debe tener presente que al emitir sus apreciaciones, contrae una responsabilidad, ya que éste puede repercutir positiva o negativamente, según el caso , en las operaciones de la empresa, así como a todos los organismos y grupos sociales que tienen relación con la misma.
PRESENTACIÓN
Informe es la narración escrita o verbal sobre los resultados que se obtienen de un encargo.
Los informes rendidos por el auditor deben hacerse por escrito, ya que en esta forma queda constancia de su labor. Por otra parte, el informe escrito es prácticamente una prueba de sus sugerencias, acuerdos tomados o resultado de su trabajo.
La presentación y contenido del informe debe reunir, entre otros los siguientes requisitos:
-Debe estar redactado en forma sencilla, clara y precisa.
-Las conclusiones deben estar apoyadas con argumentos razonados y convincentes, motivando la acción correspondiente.
-Debe estar escrito con limpieza y en papel adecuado.
-El informe, según el caso, deberá acompañarse de todos aquellos documentos formulados como resultado de los trabajos, tales como. Gráficas, instructivos, formas, etc.
Seguimiento administrativo
3.5. Dictamen de la auditoría
Es la etapa final y su tamaño depende del propio tamaño y complejidad del sistema auditado, se basa en 3 puntos generales:
Recolección de la información y elaboración de un informe de situaciones detectadas
Elaboración de dictamen final
Presentación del informe de auditoria
3.6. Organización del área de auditoría en informática
Auditor informático es auditor y consultor de la empresa en materia de Seguridad, Control interno operativo, Eficiencia y eficacia, Tecnología informática, Gestión de riesgos, etc.
La concepción típica de la función de Auditoría Informática es dentro de la función de AuditoríaInterna
Nacimiento histórico de la auditoría informática
Dificultad de separar el elemento informático de la auditoría operativa y financiera
La
