Auditoria de Sistemas

Personal Involucrado, Saberes del Auditor , Tecnicas y Herramientas, Recursos

Escrito por msucreseccion29infysis 26-01-2010 en General. Comentarios (0)
Equipo Nº 6

TIPOS DEAUDITORIA

La auditoriapuede ser externa, interna o mixta, coincidiendo con los tipos de observaciónde participantes, no participantes y semi−participantes. Cada uno de estostipos de auditoria tiene las ventajas o inconveniencias.

En realidadparece que, siempre que económicamente sea posible, o a menos que lo impidanotras

circunstanciasparticulares, la ultima forma de auditoria, la mixta es la mas recomendable,por que reúne las ventajas y elimina en gran parte los inconvenientes de lasotras dos.

 

ETAPAS DE LAAUDITORIA DE PERSONAL

Obtenciónde los datos e informes:

Losdos principales aspectos previos de esta auditoria son

Eldiseño de formas y cuestionarios apropiados, que nos hagan mas fácil lainvestigación, la recolección y la precisión de los datos.

·El adiestramiento de las personas que habrán de recoger estos datos.

·Yaque el aspecto humano y aun el administrativo en general, escapa muchas veces atoda medición, en ocasiones tendremos que contentarnos con una determinación detipo descriptivo o cualitativo. 

Análisisde los datos recabados:

Laparte mas importante de la auditoria, se centra en el análisis de los datosrecabados; el señalamiento de las fallas encontradas sobre el cumplimiento delos programas y presupuestos en materia de personal; la investigación de suscausas la determinación de si los programas y procedimientos pueden mejorarse,ya sea para obtención de las políticas fijadas, ya para la modificaciónsupresión, adición o cambio de otros objetivos y políticas, a la luz de lasnuevas necesidades surgidas, las nuevas técnicas que vayan apareciendo, etc.

Tambiénes importante mencionar la discusión con diversos jefes, para conocer suspuntos de vista,

aclaracionesy adiciones hasta que el, o los auditores puedan formarse en relación con losobjetivos que en materia de personal sostiene la empresa.

 

 

Elinforme de la auditoria:

Elresultado final debe contener los siguientes puntos, para lograr que seaprecisa, técnica y concisa.

·Laindicación de aquella fallas a los programas y procedimientos que se hayanencontrado, con la

indicaciónde los daños que se estima ha causado o pudieron causar.

·   La adecuación o inadecuación de losprogramas, en relación con los objetivos y políticas señalados en materia depersonal.

 

 ·La recomendación de aquellos casos en los queconvenga elevar, reducir, modificar, cambiar o suprimir determinados objetivosy políticas, por considerarse inalcanzables, inadecuados, obsoletos, etc,indicando la razón y demostraciones objetivas en que se funde lo anterior.

·La información de lo que no pudo auditarse, y las razones que lo impidieron.

 

PRINCIPALESTEMAS QUE SUELE COMPRENDER UNA AUDITORIA

·Objetivos y políticas de personal

·Las escritas.

·Las principales de apelación

·Posición y funciones del departamento de personal

¨Su jerarquía.

¨Su estructura.

¨Numero de personas que ocupa.

¨Funciones que se desempeñan y su distribución.

·Datos numéricos de los trabajadores de la empresa

Cuantos?

¨Obreros

¨Empleados de oficina

¨Vendedores

¨Técnicos

¨Supervisores de primera línea

2

¨Altos Ejecutivos

¨Otras categorías especiales?

·Datos sobre la sindicalización

¨Sindicatos a los que pertenecen los trabajadores

¨Cuantos de cada uno?

¨De que categorías?

·Central a la que pertenecen el, o los sindicatos.

·Situación general de las relaciones con el, o los sindicatos.

·Admisión y empleo

¨Fuentes de abastecimiento, por categorías de personal

¨Pasos usados en el procedimiento de la selección.

¨Correlaciónentre los resultados de la selección, y los obtenidos en el trabajo y conductade

    los empleados.

 

·Adiestramiento, capacitación y desarrollo

¨Sistemas de adiestramiento, para los diversos niveles

¨Capacitación que haya podido darse

¨Capacitación de los empleados u obreros ascendidos a jefes

¨Métodos de desarrollo de altos ejecutivos

¨Evaluación, por los propios adiestrados, sobre el adiestramiento, capacitaciónrecibida.

Correlacionesentre el adiestramiento, capacitación y desarrollo dados, y los resultados

obtenidosen el trabajo y en la conducta.

¨

·Sueldos y salarios

¨Políticas fijadas al respecto

¨Sistemas de valuación empleados

¨Encuestas de salarios en la región, y sus repercusiones en la fijación de losde la empresa

¨Clasificación de los salarios

¨Sistemas de calificación de meritos y/o apreciación de resultados

¨Cómo ha influido la antigüedad en los salarios.

¨Sistemas de incentivos; categorías que los tienen, y las que carecen de ellos

¨Prestaciones legales y extra legales

·Movilidad del personal

·Moral del personal

¨Ausentismos y sus causas

¨Retardos y sus causas

Tiposde encuestas de actitud:

Antetodo, a la manera de la Auditoria de personal, puede ser realizada porempleados de la empresa,

obien por técnicos, bufetes, universidades, etc. De fuera de ella. Puedenaplicarse, al efecto, todas las consideraciones señaladas anteriormente.

Ami juicio, la encuesta de actitud por entrevista, no obstante el hecho de sermuy usada en otros países, tiene una gran limitación que siempre dará lugar alas suspicacias: dudar de un verdadero anonimato, aun suponiendo que se realicepor técnicos de fuera de la empresa, ya que siempre podrá considerarse quesiendo esta la que cubre su importe, esta en posibilidades de conocer lasopciones expresadas por un trabajador y puede tomar represarías.

El sistema de encuesta por cuestionario:

Independientmetede las normas dadas, cabe hacer nota que dicho cuestionario puede hacerse entres

formasdistintas:

¨Por preguntas cerradas −que exigen una respuesta de si o no

3

¨Porpreguntas abiertas −que permiten una explicación mas amplia, o al menos, dejanespacio para adicciones y explicaciones de la respuesta

 

¨Respuesta de selección múltiple: la que obliga a escoger entre variasrespuestas.

Procedimientode la encuesta:

Antetodo debe determinarse si es oportuna; su periodicidad −suele hacerse cada año;la época mas conveniente para realizarla es: cuando no es cercana a ladiscusión de contrato colectivo de trabajo; hacia los fines de año, oprincipios del siguiente −la forma de realizarla, su costo, se va a hacer llevadapor el método de cuestionario.

Opinanmuchos autores que es muy conveniente para poder valorar las respuestas, que eltrabajador señale elementos tales como su sexo, su antigüedad, su salario, etc.Al menos colocando este ultimo por rangos.

 

Respuestadel cuestionario:

Elprimer problema que se plantea, es el de determinar si debe llenarse elcuestionario en tiempo de trabajo −o sea, pagado por la empresa− o, por elcontrario, debe dejarse a los trabajadores que los lleven a su casa y locontesten en tiempo fuera del trabajo. Lo primero nos da la rapidez el 100% de respuesta,pero al mismo tiempo limita la capacidad de responder con calma lo que ha decontestarse, y puede dar lugar a ciertas suspicacias sobre la identificación dequien contesta, pensando que a través

demarcas u observaciones pueden ser reconocidas si contestación, se recomiendaque se elija entre los trabajadores un trabajador para repartir las encuestas,para evitar sospechas de que los van, también que se recomiende que lacontestación se haga con letra de imprenta, tanto para sugerir la mayordificultad de identificación, como para evitar que algún tipo de letrasresulten ilegibles. También por el nivel cultural del personal y el costo, serecomienda, que sea hecha por un bufete, técnico o institución fuera de laempresa, que se realice bajo un sistema de cuestionario, Que se permita altrabajador llenar el cuestionario en su casa, y depositarlo en un buzónespecia, pues de esa manera se puede estar seguro de no ser identificad.

Tabulacióne interpretación de resultados:

Sinnecesidad de ninguna complicación estadística, es deseable, sin embargo, que latabulación de los

resultadospueda ser realizada del mejor modo posible.

Elresultado debe contener los siguientes aspectos:

¨Los resultados deben ser francamente expuestos aunque sean en contra de laempresa.

¨La interpretación de los mismos.

Elanuncio de las medidas que la empresa ha decidido tomar, para responder a las

inquietitudesreveladas en la encuesta.

¨

Laexplicación, lo mas objetiva que sea posible, en los que la empresa a su juiciopiensan que están mal.

¨

Lapromoción de juntas, mesas redondas y entrevistas, para discutir y tratar dellegar a un

acuerdoen todos aquellos aspectos en que la empresa no coincide con los puntos devista de la mayoría de su personal, o bien cuando existen criterios centradosen este. 

 

Saberes del auditor Herramientas y Técnicas parala Auditoría Informática:

Cuestionarios:

Las auditorías informáticas se materializanrecabando información y documentación de todo tipo. Los informes finales de losauditores dependen de sus capacidades para analizar las situaciones dedebilidad o fortaleza de los diferentes entornos. El trabajo de campo delauditor consiste en lograr toda la información necesaria para la emisión de unjuicio global objetivo, siempre amparado en hechos demostrables, llamadostambién evidencias.

Para esto, suele ser lo habitual comenzarsolicitando la cumplimentación de cuestionarios preimpresos que se envían a laspersonas concretas que el auditor cree adecuadas, sin que sea obligatorio quedichas personas sean las responsables oficiales de las diversas áreas aauditar.

Estos cuestionarios no pueden ni deben serrepetidos para instalaciones distintas, sino diferentes y muy específicos paracada situación, y muy cuidados en su fondo y su forma.

Sobre esta base, se estudia y analiza ladocumentación recibida, de modo que tal análisis determine a su vez lainformación que deberá elaborar el propio auditor. El cruzamiento de ambostipos de información es una de las bases fundamentales de la auditoría.

Cabe aclarar, que esta primera fase puedeomitirse cuando los auditores hayan adquirido por otro medios la informaciónque aquellos preimpresos hubieran proporcionado.

Entrevistas:

El auditor comienza a continuación las relacionespersonales con el auditado. Lo hace de tres formas:

  1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
  2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
  3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.

La entrevista es una de las actividadespersonales más importante del auditor; en ellas, éste recoge más información, ymejor matizada, que la proporcionada por medios propios puramente técnicos opor las respuestas escritas a cuestionarios.

Aparte de algunas cuestiones menos importantes,la entrevista entre auditor y auditado se basa fundamentalmente en el conceptode interrogatorio; es lo que hace un auditor, interroga y se interroga a símismo. El auditor informático experto entrevista al auditado siguiendo uncuidadoso sistema previamente establecido, consistente en que bajo la forma deuna conversación correcta y lo menos tensa posible, el auditado contestesencillamente y con pulcritud a una serie de preguntas variadas, tambiénsencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existiruna preparación muy elaborada y sistematizada, y que es diferente para cadacaso particular.

Checklist:

El auditor profesional y experto es aquél quereelabora muchas veces sus cuestionarios en función de los escenariosauditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios sonvitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cualno quiere decir que haya de someter al auditado a unas preguntas estereotipadasque no conducen a nada. Muy por el contrario, el auditor conversará y harápreguntas "normales", que en realidad servirán para lacumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Hay opiniones que descalifican el uso de lasChecklists, ya que consideran que leerle una pila de preguntas recitadas dememoria o leídas en voz alta descalifica al auditor informático. Pero esto noes usar Checklists, es una evidente falta de profesionalismo. Elprofesionalismo pasa por un procesamiento interno de información a fin deobtener respuestas coherentes que permitan una correcta descripción de puntosdébiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadasque han de formularse flexiblemente.

El conjunto de estas preguntas recibe el nombrede Checklist. Salvo excepciones, las Checklists deben ser contestadasoralmente, ya que superan en riqueza y generalización a cualquier otra forma.

Según la claridad de las preguntas y el talantedel auditor, el auditado responderá desde posiciones muy distintas y condisposición muy variable. El auditado, habitualmente informático de profesión,percibe con cierta facilidad el perfil técnico y los conocimientos del auditor,precisamente a través de las preguntas que éste le formula. Esta percepciónconfigura el principio de autoridad y prestigio que el auditor debe poseer.

Por ello, aun siendo importante tener elaboradaslistas de preguntas muy sistematizadas, coherentes y clasificadas por materias,todavía lo es más el modo y el orden de su formulación. Las empresas externasde Auditoría Informática guardan sus Checklists, pero de poco sirven si elauditor no las utiliza adecuada y oportunamente. No debe olvidarse que lafunción auditora se ejerce sobre bases de autoridad, prestigio y ética.

El auditor deberá aplicar la Checklist de modoque el auditado responda clara y escuetamente. Se deberá interrumpir lo menosposible a éste, y solamente en los casos en que las respuestas se aparten sustancialmentede la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a queexponga con mayor amplitud un tema concreto, y en cualquier caso, se deberáevitar absolutamente la presión sobre el mismo.

Algunas de las preguntas de las Checklistsutilizadas para cada sector, deben ser repetidas. En efecto, bajo aparienciadistinta, el auditor formulará preguntas equivalentes a las mismas o adistintas personas, en las mismas fechas, o en fechas diferentes. De este modo,se podrán descubrir con mayor facilidad los puntos contradictorios; el auditordeberá analizar los matices de las respuestas y reelaborar preguntascomplementarias cuando hayan existido contradicciones, hasta conseguir lahomogeneidad. El entrevistado no debe percibir un excesivo formalismo en laspreguntas. El auditor, por su parte, tomará las notas imprescindibles enpresencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en supresencia.

Los cuestionarios o Checklists respondenfundamentalmente a dos tipos de "filosofía" de calificación oevaluación:

  1. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

Ejemplode Checklist de rango:

Sesupone que se está realizando una auditoría sobre la seguridad física de unainstalación y, dentro de ella, se analiza el control de los accesos de personasy cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran acontinuación, en donde las respuestas tiene los siguientes significados:

1: Muy deficiente.

2: Deficiente.

3: Mejorable.

4: Aceptable.

5: Correcto.

Sefiguran posibles respuestas de los auditados. Las preguntas deben sucederse sinque parezcan encorsetadas ni clasificadas previamente. Basta con que el auditorlleve un pequeño guión. La cumplimentación de la Checklist no debe realizarseen presencia del auditado.

-¿Existepersonal específico de vigilancia externa al edificio?

-No,solamente un guarda por la noche que atiende además otra instalación adyacente.

<Puntuación:1>

-Parala vigilancia interna del edificio, ¿Hay al menos un vigilante por turno en losaledaños del Centro de Cálculo?

-Si,pero sube a las otras 4 plantas cuando se le necesita.

<Puntuación:2>

-¿Haysalida de emergencia además de la habilitada para la entrada y salida demáquinas?

-Si,pero existen cajas apiladas en dicha puerta. Algunas veces las quitan.

<Puntuación:2>

-Elpersonal de Comunicaciones, ¿Puede entrar directamente en la Sala deComputadoras?

-No,solo tiene tarjeta el Jefe de Comunicaciones. No se la da a su gente mas quepor causa muy justificada, y avisando casi siempre al Jefe de Explotación.

<Puntuación:4>

Elresultado sería el promedio de las puntuaciones: (1 + 2 + 2 + 4) /4 = 2,25Deficiente.

  1. Checklist de rango
  2. Checklist Binaria

Es la constituida por preguntas con respuestaúnica y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero),respectivamente.

Ejemplo de Checklist Binaria:

Se supone que se está realizando una Revisión delos métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos.

-¿Existe Normativa de que el usuario finalcompruebe los resultados finales de los programas?

<Puntuación: 1>

-¿Conoce el personal de Desarrollo la existenciade la anterior normativa?

<Puntuación: 1>

-¿Se aplica dicha norma en todos los casos?

<Puntuación: 0>

-¿Existe una norma por la cual las pruebas han derealizarse con juegos de ensayo o copia de Bases de Datos reales?

<Puntuacion: 0>

Obsérvese como en este caso están contestadas lassiguientes preguntas:

-¿Se conoce la norma anterior?

<Puntuación: 0>

-¿Se aplica en todos los casos?

<Puntuación: 0>

Las Checklists de rango son adecuadas si elequipo auditor no es muy grande y mantiene criterios uniformes y equivalentesen las valoraciones. Permiten una mayor precisión en la evaluación que en lachecklist binaria. Sin embargo, la bondad del método depende excesivamente dela formación y competencia del equipo auditor.

Las Checklists Binarias siguen una elaboracióninicial mucho más ardua y compleja. Deben ser de gran precisión, comocorresponde a la suma precisión de la respuesta. Una vez construidas, tienen laventaja de exigir menos uniformidad del equipo auditor y el inconvenientegenérico del <si o no> frente a la mayor riqueza del intervalo.

No existen Checklists estándar para todas y cadauna de las instalaciones informáticas a auditar. Cada una de ellas poseepeculiaridades que hacen necesarios los retoques de adaptación correspondientesen las preguntas a realizar.

Trazas y/o Huellas:

Con frecuencia, el auditor informático debeverificar que los programas, tanto de los Sistemas como de usuario, realizanexactamente las funciones previstas, y no otras. Para ello se apoya enproductos Software muy potentes y modulares que, entre otras funciones,rastrean los caminos que siguen los datos a través del programa.

Muy especialmente, estas "Trazas" seutilizan para comprobar la ejecución de las validaciones de datos previstas.Las mencionadas trazas no deben modificar en absoluto el Sistema. Si laherramienta auditora produce incrementos apreciables de carga, se convendrá deantemano las fechas y horas más adecuadas para su empleo.

Por lo que se refiere al análisis del Sistema,los auditores informáticos emplean productos que comprueban los valoresasignados por Técnica de Sistemas a cada uno de los parámetros variables de lasLibrerías más importantes del mismo. Estos parámetros variables deben estardentro de un intervalo marcado por el fabricante. A modo de ejemplo, algunasinstalaciones descompensan el número de iniciadores de trabajos de determinadosentornos o toman criterios especialmente restrictivos o permisivos en laasignación de unidades de servicio para según cuales tipos carga. Estasactuaciones, en principio útiles, pueden resultar contraproducentes si setraspasan los límites.

No obstante la utilidad de las Trazas, ha derepetirse lo expuesto en la descripción de la auditoría informática deSistemas: el auditor informático emplea preferentemente la amplia informaciónque proporciona el propio Sistema: Así, los ficheros de <Accounting> o de<contabilidad>, en donde se encuentra la producción completa de aquél, ylos <Log*> de dicho Sistema, en donde se recogen las modificaciones dedatos y se pormenoriza la actividad general.

Del mismo modo, el Sistema genera automáticamenteexacta información sobre el tratamiento de errores de maquina central,periféricos, etc.

[La auditoría financiero-contable convencionalemplea trazas con mucha frecuencia. Son programas encaminados a verificar locorrecto de los cálculos de nóminas, primas, etc.].

*Log:

El log vendría a ser un historial que informa quefue cambiando y cómo fue cambiando (información). Las bases de datos, porejemplo, utilizan el log para asegurar lo que se llaman las transacciones. Lastransacciones son unidades atómicas de cambios dentro de una base de datos;toda esa serie de cambios se encuadra dentro de una transacción, y todo lo queva haciendo la Aplicación (grabar, modificar, borrar) dentro de esatransacción, queda grabado en el log. La transacción tiene un principio y unfin, cuando la transacción llega a su fin, se vuelca todo a la base de datos.Si en el medio de la transacción se cortó por x razón, lo que se hace es volverpara atrás. El log te permite analizar cronológicamente que es lo que sucediócon la información que está en el Sistema o que existe dentro de la base dedatos.

Teóricos

 

Heurísticos

 

axiológicos

 

Conceptos generales de auditoría.

· Tipos de auditorías y su relación con la

auditoría informática (fiscal, operativa,

integral, administrativa).

· Concepto de la función de auditoría

informática.

· El marco jurídico de la auditoría informática.

· Función del auditor informático.

· Perfiles profesionales de la función de auditoría

informática

· Repaso del código de Ética informática.

Auditoría Administrativa

· Metodología (Planeación, Ejecución,

Evaluación, Presentación, Conclusión).

· Elementos a evaluar (planeación, organización,

implementación, dirección y control).

· Informe final

· La propuesta

Planeación de la Auditoría

· Organización de la función de auditoría

informática

· Estudio de Metodologías

· Métodos, técnicas y herramientas para el áre

 

· Identificación bajo una visión

general de la importancia de

las distintas clases de

auditorías

· Identificación de la

importancia de la auditoria

informática

· Identificación de las

actividades primordiales del

auditor.

· Reconocimiento de los

lineamientos profesionales

· Elaboración de la parte

metodológica de la auditoría

(objetivos, planes,

instrumentos, guías, cursos)

· Investigación de la

información de la entidad a

auditar.

· Estudio de casos

· Ponderación de cada

elemento.

· Elaboración de un documento

con los resultados parciales y

globales de los elementos que

se evaluaron.

 

Discreción

Responsabilidad

Honestidad

Colaboración

Compromiso

Apertura

Respeto

Disposición al cambio

Flexibilidad

 

Perfildel auditor informático

A un auditor informático se le presupone ciertaformación informática y experiencia en el sector, independencia y objetividad,madurez, capacidad de síntesis y análisis y seguridad en sí mismo.

En España existe un vacío legal por la ausenciade normativas que defina claramente:

  • Quien puede realizar auditoría informática.
  • Como se debe realizar una auditoría informática.
  • En que casos es necesaria una auditoría informática.

Existen diversas materias que están reguladas enmateria informática:

Ninguna de éstas normas definen quien puede serauditor informático, aunque debe de disponer de conocimientos tanto en lanormativa aplicable, como en informática, como en la técnica de la auditoría,siendo por tanto aceptables equipos multidisciplinarios formados porinformáticos y licenciados en derecho especializados en el mundo de la auditoría.

Recursosy Perfiles del Auditor Informáticos

Localización ligada a la de auditoría interna,con independencia de objetivos, de planes de formación y de presupuestos

Grupo independiente del de auditoría interna, contotal accesibilidad a los sistemas informáticos

Dependencia del máximo responsable operativo dela organización

Recursos humanos mezcla equilibrada entrepersonas con formación en auditoría y organización, y personas con perfilinformático 

Personal con titulación CISA

El tamaño sólo se puede precisar en función delos objetivos de la función.

 

 

 

EL Auditor

Escrito por msucreseccion29infysis 24-01-2010 en General. Comentarios (0)

                   Papel Del Auditor Informático.-
Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Además que auditor Informático debe estar capacitado en los siguientes aspectos:

Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. (Ej. Por que está mal el reporte)
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.
El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...].
El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad)
El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

Tope




 La función de la auditoría en la organización

Concepto De Auditar
Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos).
Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseñado

PERSONAL PARTICIPANTE  EN LA AUDITORIA

Una de las partes más importantes dentro de la planeación de la auditoría en informática es el personal que deberá participar y sus características.

Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervengan esté debidamente capacitado, con alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.

Con estas bases se debe considerar las características de conocimientos, práctica profesional y capacitación que debe tener el personal que intervendrá en la auditoría. En primer lugar se debe pensar que hay personal asignado por la organización, con el suficiente nivel para poder coordinar el desarrollo de la auditoría, proporcionar toda la información que se solicite y programar las reuniones y entrevistas requeridas.

Éste es un punto muy importante ya que, de no tener el apoyo de la alta dirección, ni contar con un grupo multidisciplinario en el cual estén presentes una o varias personas del área a auditar, sería casi imposible obtener información en el momento y con las características deseadas.

También se debe contar con personas asignadas por los usuarios para que en el momento que se solicite información o bien se efectúe alguna entrevista de comprobación de hipótesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que se debe analizar no sólo el punto de vista de la dirección de informática, sino también el del usuario del sistema.

Para completar el grupo, como colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características:

·         Técnico en informática.

·          

·         Experiencia en el área de informática.

·          

·         Experiencia en operación y análisis de sistemas.

·          

·         Conocimientos de los sistemas más importantes.

En caso de sistemas complejos se deberá contar con personal con conocimientos y experiencia en áreas específicas como base de datos, redes, etc. Lo anterior no significa que una sola persona tenga los conocimientos y experiencias señaladas, pero si deben intervenir una o varias personas con las características apuntadas.

Una vez que se ha hecho la planeación, se puede utilizar el formato señalado en el anexo 1, el figura el organismo, las fases y subfases que comprenden la descripción de la actividad, el número de personas participantes, las fechas estimadas de inicio y terminación, el número de días hábiles y el número de días/hombre estimado. El control del avance de la auditoría lo podemos llevar mediante el anexo 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se está llevando a cabo de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación.

El hecho de contar con la información del avance nos permite revisar el trabajo elaborado por cualquiera de los asistentes.

 

ANEXO 1

PROGRAMA DE AUDITORIA EN SISTEMAS

INSTITUCION________________________ HOJA No.__________________ DE_____________

FECHA DE FORMULACION____________

 

FASE

DESCRIPCION

ACTIVIDAD

NUMERO DE PERSONAL

PERIODO ESTIMADO

DIAS

HAB

EST.

DIAS

HOM.

EST.

PARTICIPANTE

INICIO

TERMINO

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ANEXO 2

AVANCE DEL CUMPLIMIENTO DEL PROGRAMA

DE AUDITORIA EN SISTEMAS

INSTITUCION_______________________ NUMERO___________ HOJA No._______ DE_______

PERIODO QUE REPORTA____________________________

 

FASE

SITUACION DE LA AUDITORIA

PERIODO REAL DE LA AUDITORIA

DIAS REALES UTILIZADOS

GRADO DE AVANCE

DIAS HOM. EST.

EXPLICACION DE LAS VARIACIONES EN RELACION CON LO PROGRAMADO

NO INICIADA

EN PROCESO

TERMINADA

INICIADA

TERMINADA

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

pagina web de la Sección 29

Escrito por msucreseccion29infysis 09-11-2009 en General. Comentarios (0)

http://www.actiweb.es/msucreseccion29infysis/

 

Ademas del blog tambien estamos creando una pagina web de un servidor gratuito para usarlo tambien como medio alterntivo al blog esperamos y mejorando con la ayuda de todos los compañeros.

diapositiva en pdf

Escrito por msucreseccion29infysis 09-11-2009 en General. Comentarios (0)

Esperemos q esto  ayude a todos lo compañeros en el aprendizaje de las auditorias de sistemas hemos abierto este blogs los triunfadores:  

 

José gregorio Pérez

 

Ramón José Pérez

 

Clemente Mosquera

 

http://www.actiweb.es/msucreseccion29infysis/archivo2.pdf

 

Yiviley Perez

 

Antonio Vasquez

 

Aida Adames

documento en pdf

Escrito por msucreseccion29infysis 09-11-2009 en General. Comentarios (0)

ver informacion mas informacion en documeto pdf de auditoria y sistemas http://www.actiweb.es/msucreseccion29infysis/archivo1.pdf