Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la
informática.
Para su realización el auditor debe conocer lo siguiente:
Organización
Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es
fundamental. Para realizar esto en auditor deberá fijarse en:
Organigrama: El organigrama expresa la estructura oficial de la organización a auditar.
Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de
manifiesto tal circunstancia.
Departamentos: Se entiende como departamento a los órganos que siguen
inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones
de cada uno de ellos.
Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo
auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el
organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos
jefes.
Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el
contrario, indican relaciones no estrictamente subordinables.
Flujos de Información: Además de las corrientes verticales intradepartamentales, la
estructura organizativa cualquiera que sea, produce corrientes de información
horizontales y oblicuas extradepartamentales.
Los flujos de información entre los grupos de una organización son necesarios para su
eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio
organigrama.
En ocasiones, las organizaciones crean espontáneamente canales alternativos de
información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales
alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el
organigrama que los representa.
Otras veces, la aparición de flujos de información no previstos obedece a afinidades
personales o simple comodidad. Estos flujos de información son indeseables y producen
graves perturbaciones en la organización.
Número de Puestos de trabajo
El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo
de la organización corresponden a las funciones reales distintas.
Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica
la existencia de funciones operativas redundantes.
Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a
conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente
diferentes.
Número de personas por Puesto de Trabajo
Es un parámetro que los auditores informáticos deben considerar. La inadecuación del
personal determina que el número de personas que realizan las mismas funciones rara
vez coincida con la estructura oficial de la organización.
Entorno Operacional
El equipo de Auditoria informática debe poseer una adecuada referencia del entorno en
el que va a desenvolverse.
Este conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:
Situación geográfica de los Sistemas
Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en
la empresa. A continuación, se verificará la existencia de responsables en cada unos de
ellos, así como el uso de los mismos estándares de trabajo.
Arquitectura y configuración de Hardware y Software
Cuando existen varios equipos, es fundamental la configuración elegida para cada uno
de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado.
La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de
las compañías.
Los auditores, en su estudio inicial, deben tener en su poder la distribución e
interconexión de los equipos.
Inventario de Hardware y Software
El auditor recabará información escrita, en donde figuren todos los elementos físicos y
lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control
local y remotas, periféricos de todo tipo, etc.
El inventario de software debe contener todos los productos lógicos del Sistema, desde
el software básico hasta los programas de utilidad adquiridos o desarrollados
internamente. Suele ser habitual clasificarlos en facturables y no facturables.
Comunicación y Redes de Comunicación
En el estudio inicial los auditores dispondrán del número, situación y características
principales de las líneas, así como de los accesos a la red pública de comunicaciones.
Igualmente, poseerán información de las Redes Locales de la Empresa.
Aplicaciones bases de datos y ficheros
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea
general de los procesos informáticos realizados en la empresa auditada. Para ello
deberán conocer lo siguiente:
• Volumen, antigüedad y complejidad de las Aplicaciones
• Metodología del Diseño
Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo
de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de
manifiesto.
Documentación
La existencia de una adecuada documentación de las aplicaciones proporciona
beneficios tangibles e inmediatos muy importantes.
La documentación de programas disminuye gravemente el mantenimiento de los
mismos.
Cantidad y complejidad de Bases de Datos y Ficheros.
El auditor recabará información de tamaño y características de las Bases de Datos,
clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a
ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia
de actualizaciones de los mismos.
Estos datos proporcionan una visión aceptable de las características de la carga
informática.
Determinación de los recursos necesarios para realizar la Auditoria
Mediante los resultados del estudio inicial realizado se procede a determinar los
recursos humanos y materiales que han de emplearse en la Auditoria.
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados
por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente
en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de
uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software
Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se
añaden a las ejecuciones de los procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de
Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los
procesos de control deben efectuarse necesariamente en las Computadoras del auditado.
Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras
ocupadas, etc.
Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las características y perfiles
del personal seleccionado depende de la materia auditable.
Es igualmente reseñable que la Auditoria en general suele ser ejercida por profesionales
universitarios y por otras personas de probada experiencia multidisciplinaria.
EXPOSICIÓN
- PRESENTACIÓN.
- CONTROL DE PROYECTOS.
- CUESTIONARIO.
- CONTROL DE DISEÑO DE SISTEMAS Y PROGRAMACIÓN
- INSTRUCTIVOS DE OPERACIÓN.
- FORMA DE IMPLEMENTACIÓN.
- ENTREVISTA A USUARIOS.
- GUÍA DE CUESTIONARIO PARA ENTREVISTA DE USUARIO.
- CONTROLES.
- CONTROL DE LOS DATOS FUENTE Y MANEJO CIFRAS DE CONTROL
- CUESTIONARIO PARA EVALUAR LA ENTRADA DE LA INFORMACIÓN.
- CONTROL DE OPERACIÓN.
- CONTROL DE MEDIOS DE ALMACENAMIENTO MASIVO.