5.

1 PLANEACIÓN DE LA AUDITORIA

• Investigación Preliminar:

− Determinación de los Recursos de Cómputo de la Organización

• Evaluar Seguridades Existentes:

− Definir los objetivos de Auditoria − Aplicar cuestionarios de control −

Elaborar informe de acciones de emergencia

• Diseñar Pruebas de Auditoria

• Ejecutar Pruebas de Auditoria

• Analizar efecto de las Debilidades de Seguridad:

− Determinar el impacto de las debilidades − Determinar la probabilidad

de ocurrencia de las amenazas − Estimar perdidas y gastos por
interrupción de actividades

• Determinar y Evaluar medidas de seguridad adicionales • Elaborar

Informe Final de la Auditoria

Guía para hacer una auditoría informática en tu

empresa
Los sistemas informáticos forman parte del capital necesario para que una empresa pueda
generar beneficios. De ahí que sea tan importante mantenerlos en el mejor estado. No es tan
sencillo como esperar a que suceda un problema informático para llamar al experto. Los
problemas de seguridad suceden siempre sin previo aviso. Y una mala red informática y
una conexión a Internet lenta lastra el trabajo y la productividad día tras día.

Por tanto, no son cosas que deban dejarse al azar, ni al criterio personal de cada empleado,
que probablemente no siempre tenga unos altos conocimientos en mantenimiento de
sistemas. Se hace inevitable tener una perspectiva global de los equipos informáticos de la
empresa. Empecemos por elaborar una guía para hacer una auditoría informática en la
empresa.

Guía para realizar una auditoría informática paso a paso

En un post anterior te explicamos ya cuáles son las razones para hacer una auditoría
informática en la empresa. Puedes leerlo aquí antes de continuar.
  ¿Para qué sirve hacer una auditoría informática en la empresa?

Si ya tienes claro por qué es importante encargar una auditoría informática en la empresa, te
invito a que sigas leyendo algunos pasos que se deben dar en este sentido.

1. Análisis

No todas las empresas tienen los mismos objetivos cuando encargan una auditoría
informática. Quizás, su red informática es perfecta y sus equipos físicamente no les
producen el menor problema. Pero sí tienen problemas en cuanto a la seguridad
informática de los equipos. Por tanto, el primer paso en una auditoría será determinar los
objetivos que se tienen y, en segundo lugar, hacer un inventario de todos los aspectos
concernientes a los sistemas y usos informáticos en la empresa, con lo que será inevitable
una estrecha colaboración entre gerente, empleados y técnicos informáticos.

2. Planificación

Cuando tenemos claros los objetivos de la auditoría informática y tenemos un inventario de

los componentes informáticos que hay, así como los usos más habituales dentro de la
empresa, planificamos nuestra auditoría a través de herramientas de análisis. Cómo
vamos a evaluar cada uno de los puntos que hemos analizado y de acuerdo con qué
criterios. Por ejemplo, puede que el empresario quiera saber si sus equipos informáticos son
los más idóneos para ofrecer un servicio efectivo en producción de vídeos. El resultado de
la auditoría puede ser, por ejemplo, que para cumplir sus objetivos el material del que
dispone no es lo suficiente efectivo.

3. Determinación de riesgos e incidencias.

El mantenimiento preventivo y predictivo es clave en toda auditoría informática. No se

trata sólo de analizar ahora cuántas incidencias o problemas se están produciendo en este
momento, sino los posibles riesgos que existen de que se produzca un problema en el
futuro. Las empresas deben prever estos problemas mediante unas prácticas de
mantenimiento efectivas, sobre todo en cuanto a seguridad informática.

4. Ejecución

Por último, se tomarán medidas ejecutivas para resolver los problemas que ya están
produciendo y prevenir los riesgos que se podrían producir. A partir de ahí, lo normal es
elaborar un presupuesto con los puntos que habría que corregir para que se cumplan los
objetivos de la empresa, ya sea mejorar la seguridad informática porque han tenido
problemas de ataques informáticos, o adecuar sus sistemas a un determinado objetivo de
productividad.

¿Te gustaría poner fin a los problemas informáticos endémicos de tu negocio? ¿Estás ya
pensando en hacer una auditoría informática en tu empresa? Habla con nuestros técnicos en
mantenimiento informático y solicita nuestro asesoramiento y servicios profesionales.
 PLANEACIÓN DE LA AUDITORÍA EN INFORMÁTICA

Para hacer una adecuada planeación de la auditoría en informática, hay que seguir una serie
de pasos previos que permitirán dimensionar el tamaño y características de área dentro del
organismo a auditar, sus sistemas, organización y equipo.

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que

hacerla desde el punto de vista de los dos objetivos:

 Evaluación de los sistemas y procedimientos.


 Evaluación de los equipos de cómputo.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general
sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer
una investigación preliminar y algunas entrevistas previas, con base en esto planear el
programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos
auxiliares a solicitar o formular durante el desarrollo de la misma.

INVESTIGACIÓN PRELIMINAR

Se deberá observar el estado general del área, su situación dentro de la organización, si

existe la información solicitada, si es o no necesaria y la fecha de su última actualización.

Se debe hacer la investigación preliminar solicitando y revisando la información de cada

una de las áreas basándose en los siguientes puntos:

ADMINISTRACIÓN

Se recopila la información para obtener una visión general del departamento por medio de
observaciones, entrevistas preliminares y solicitud de documentos para poder definir el
objetivo y alcances del departamento.

RECURSOS MATERIALES Y TECNICOS

Solicitar documentos sobre los equipos, número de ellos, localización y características.

 Estudios de viabilidad.
 Número de equipos, localización y las características (de los equipos instalados y
por instalar y programados)
 Fechas de instalación de los equipos y planes de instalación.
 Contratos vigentes de compra, renta y servicio de mantenimiento.
 Contratos de seguros.
 Convenios que se tienen con otras instalaciones.
 Configuración de los equipos y capacidades actuales y máximas.
 Planes de expansión.
 Ubicación general de los equipos.
  Políticas de operación.
 Políticas de uso de los equipos.

SISTEMAS
Descripción general de los sistemas instalados y de los que estén por instalarse que
contengan volúmenes de información.

 Manual de formas.
 Manual de procedimientos de los sistemas.
 Descripción genérica.
 Diagramas de entrada, archivos, salida.
 Salidas.
 Fecha de instalación de los sistemas.
 Proyecto de instalación de nuevos sistemas.

En el momento de hacer la planeación de la auditoría o bien su realización, debemos

evaluar que pueden presentarse las siguientes situaciones.

Se solicita la información y se ve que:

 No tiene y se necesita.
 No se tiene y no se necesita.

Se tiene la información pero:

 No se usa.
 Es incompleta.
 No está actualizada.
 No es la adecuada.
 Se usa, está actualizada, es la adecuada y está completa.

En el caso de No se tiene y no se necesita, se debe evaluar la causa por la que no es

necesaria. En el caso de No se tiene pero es necesaria, se debe recomendar que se elabore
de acuerdo con las necesidades y con el uso que se le va a dar. En el caso de que se tenga la
información pero no se utilice, se debe analizar por que no se usa. En caso de que se tenga
la información, se debe analizar si se usa, si está actualizada, si es la adecuada y si está
completa.

El éxito del análisis crítico depende de las consideraciones siguientes:

 Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la

información sin fundamento)
 Investigar las causas, no los efectos.
 Atender razones, no excusas.
 No confiar en la memoria, preguntar constantemente.
 Criticar objetivamente y a fondo todos los informes y los datos recabados.
Etapas de una Auditoria de Sistemas
Planeamiento

El trabajo fundamental en esta etapa es el definir la estrategia que se debe seguir en la

Auditoría a acometer.

Lo anterior conlleva planear los temas que se deben ejecutar, de manera que aseguren la
realización de una Auditoría de alta calidad y que se logre con la economía, eficiencia,
eficacia y prontitud debidas.

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la

información obtenida y conocimientos adquiridos sobre la entidad en la etapa de
exploración, el jefe de grupo procede a planear las tareas a desarrollar y comprobaciones
necesarias para alcanzar los objetivos de la Auditoría.

Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y
reevaluar la necesidad de personal de acuerdo con los elementos de que dispone.

Después de que se ha determinado el tiempo a emplear en la ejecución de cada

comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría,
el que se debe recoger en un documento que contenga como mínimo:

 Definición de los temas y las tareas a ejecutar.

 Nombre del o los especialistas que intervendrán en cada una de ellas.
 Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración
hasta la conclusión del trabajo.

Igualmente se confecciona el plan de trabajo individual de cada especialista, considerando

como mínimo:

 Nombre del especialista.

 Definición de los temas y cada una de las tareas a ejecutar.
 Fecha de inicio y terminación de cada tarea.

Cualquier ampliación del término previsto debe estar autorizada por el supervisor u otro
nivel superior; dejando constancia en el expediente de Auditoría.

Según criterio del jefe de grupo, tanto el plan general de la Auditoría, como el individual de
cada especialista, pueden incluirse en un solo documento en atención al número de tareas a
ejecutar, cantidad de especialistas subordinados, etc.
Supervisión

Una supervisión y un control adecuados de la Auditoría son necesarios en todos los casos y
en todas las etapas del trabajo, desde la exploración hasta la emisión del informe y su
análisis con los factores de la entidad auditada.

Una supervisión adecuada debe asegurar que:

Todos los miembros del grupo de Auditoría han comprendido, de forma clara y
satisfactoria, el plan de Auditoría, y que no tienen impedimentos personales que limiten su
participación en el trabajo.

Se sigue el plan de Auditoría elaborado al efecto y se aplican los procedimientos previstos,

considerando las modificaciones autorizadas.

Los papeles de trabajo contengan evidencias que sustenten correctamente los señalamientos
en el informe final.

En el informe final de la Auditoría se expongan las conclusiones, detalles y

recomendaciones que se consideren pertinentes de acuerdo con los resultados de las
revisiones efectuadas.

La supervisión tiene normalmente dos niveles de ejecución: el que corresponde al que se

realiza sistemáticamente por el jefe de grupo y el que acomete el funcionario del Ministerio
designado como supervisor

Ejecución

El propósito fundamental de esta etapa es recopilar las pruebas que sustenten las opiniones
del auditor en cuanto al trabajo realizado, es la fase, por decir de alguna manera, del trabajo
de campo, esta depende grandemente del grado de profundidad con que se hayan realizado
las dos etapas anteriores, en esta se elaboran los Papeles de Trabajo y las hojas de nota,
instrumentos que respaldan excepcionalmente la opinión del auditor actuante.

Informe

En esta etapa el Auditor se dedica a formalizar en un documento los resultados a los cuales
llegaron los auditores en la Auditoría ejecutada y demás verificaciones vinculadas con el
trabajo realizado.

La elaboración del informe final de Auditoría es una de las fases más importante y
compleja de la Auditoría, por lo que requiere de extremo cuidado en su confección.

El informe de Auditoría debe tener un formato uniforme y estar dividido por secciones para
facilitar al lector una rápida ubicación del contenido de cada una de ellas.
El informe de Auditoría debe cumplir con los principios siguientes:

 Que se emita por el jefe de grupo de los auditores actuantes.

 Por escrito.
 Oportuno.
 Que sea completo, exacto, objetivo y convincente, así como claro, conciso y fácil de
entender.
 Que todo lo que se consigna esté reflejado en los papeles de trabajo y que responden a
hallazgos relevantes con evidencias suficientes y competentes.
 Que refleje una actitud independiente.
 Que muestre la calificación según la evaluación de los resultados de la Auditoría.
 Distribución rápida y adecuada.

Seguimiento

En esta etapa se siguen, como dice la palabra, los resultados de una Auditoría,
generalmente una Auditoria evaluada de Deficiente o mal, así que pasado un tiempo
aproximado de seis meses o un año se vuelve a realizar otra Auditoría de tipo recurrente
para comprobar el verdadero cumplimiento de las deficiencias detectadas en la Auditoria.

Para terminar dejo un pequeño archivo que contiene un ejemplo de auditoria.