METODOLOGIAS, PROCEDIMIENTOS, TÉCNICAS DE AUDITORIA DE SISTEMAS

AUDITORIA DE SISTEMAS

METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión:

• Estudio preliminar.
• Revisión y evaluación de controles y seguridades.
• Examen detallado de áreas criticas.
• Comunicación de resultados.

Estudio preliminar.-

Incluye definir el grupo de trabajo, el Programa de Auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

Revisión y evaluación de controles y seguridades.-

Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

Examen detallado de áreas criticas.-

Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usara, definirá la metodología de trabajo, la duración de la Auditoría, Presentará el plan de trabajo y analizara detalladamente cada problema encontrado con todo lo anteriormente analizado en este folleto.

Comunicación de resultados.-

Se elaborara el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual presentara esquemáticamente en forma de matriz, cuadros o redacción  simple y concisa que destaque los problemas encontrados , los efectos y las recomendaciones de la Auditoría.

El informe debe contener lo siguiente:

• Motivos de la Auditoría.
• Objetivos.
• Alcance.
• Estructura Orgánico-Funcional del área Informática.
• Configuración del Hardware y Software instalado.
• Control Interno.
• Resultados de la Auditoría.

PROCEDIMIENTOS Y TÉCNICAS DE AUDITORIA DE SISTEMAS

• Cuestionarios
• Entrevistas
• Checklist
• Trazas y huellas

CUESTIONARIOS

Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

ENTREVISTAS

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.

El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas.

CHECKLISTS

El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklist.

El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma.

TRAZAS Y/O HUELLAS

Estas Trazas se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.

La auditoría financiero-contable convencional emplea trazas con mucha frecuencia. Son programas encaminados a verificar lo correcto de los cálculos de nóminas, primas, etc.