Desarrollo de la Auditoria de sistemas de informacin mediante fases.

Es una profesin que est tomando cada vez mayor auge dado que es necesario por parte de las empresas garantizar que el uso que se est haciendo de las tecnologas, no representa ningn problema, ni para ellas mismas ni para aquellos agentes que participan con ellos sean clientes, proveedores, accionistas, etc. Esto requiere de conocimiento de tcnicas, una serie de actividades, una serie de procedimientos como veremos ms adelante, que faciliten el trabajo de emitir un informe asesorando a las empresas en cmo evitar la posible existencia de problemas y de cul es el estado real que la empresa tiene en materia de tecnologas y la aplicacin en el conjunto de empresas.

RECOMENDACIN DE CMO EJERCER LA AUDITORA EN EL SENO DE UNA ORGANIZACIN Propuesta basada en 6 fases que permite garantizar una buena relacin entre el auditor o el equipo de auditoria y la organizacin de la empresa, al objeto de evitar improvisaciones y evitar una anarqua en el funcionamiento del auditor en la relacin directa con la empresa, es conveniente seguir una metodologa de trabajo y presencia en la propia organizacin que le permita alcanzar el desempeo adecuado de las funciones requeridas. FASE 1: TOMA DE CONTACTO. Es el momento en que la empresa se pone en contacto con el auditor o el equipo auditor, al objeto de que ha detectado una necesidad o una determinada problemtica que requiere su intervencin. En muchos casos el auditor es llamado por una necesidad puntual informtica (lo que debe tener siempre bien claro es que debe analizar nicamente el problema en concreto que se le detecta sino que, una empresa no es un ente en donde la informtica est auditoado del resto de la organizacin y por lo tanto va a ser necesario conocer el contexto en que la empresa se est desempeando, ya que no hay dos empresas iguales y por lo tanto no hay dos necesidades tecnolgicas iguales para organizaciones, esto significa que primero hay que conocer la organizacin global ,esto es obtener informacin desde la cantidad de empleados, qu tipo de informacin se est gestionando ah dentro , y saber en qu contexto se desenvuelven las tecnologas informticas y en segundo lugar sobre el centro de procesos de datos, qu estructura dispone, cul es la cualificacin de las personas, los recursos humanos, etc. Para el auditor informtico no es recomendable actuar como una simple visita de cortesa, sino intentar capturar los primeros datos que permitan concretar una percepcin los ms exacta posible de lo que tiene delante, obteniendo toda la documentacin que le sea capaz de obtener. Si no se dispone de alguna documentacin por escrito, se le debe solicitar un pequeo diagrama de la arquitectura tecnolgica que all se dispone al personal que labore en aquella rea.

Por ejemplo para conocer al personal, se debera tener el perfil profesional (que formacin tienen en materia informtica) as como, cules son las funciones que estn desempeando o viene desempeando las ltimas 2 semanas; este objeto nos permite tener una mayor exactitud de lo que tenemos delante y no tan slo por la observacin directa que normalmente queda pequea de la que podemos comprobar de la otra manera. Este periodo de la fase 1, normalmente puede ser de 1 o 2 das, no ms; as que se debe intentar obtener el mximo de informacin para hacer una composicin del lugar lo antes posible. Anlisis detallado: EL anlisis detallado es cuando es cuando realmente se percibe que puede haber un nivel de riesgo o algn nivel de problema o una necesidad de auditoria ya ms compleja y se tiene que hacer una propuesta de intervencin en cuyo caso se necesitar saber exactamente si se necesitar un equipo, qu equipo hace falta sub-contratar para poder incluso elaborar un presupuesto y realmente saber qu medios hay que necesitar, qu gente se necesitar, y cul va a ser aproximadamente el plan de trabajo en tiempo que esa auditora pueda requerir. FASE 2: PLANIFICACIN DE LA OPERACIN Como se va intervenir, el cliente est de acuerdo con la propuesta que se le haya formulado y a partir de ese momento se hace una planificacin. Es almamente recomendable en muchos casos que el trabajo sea firmado por contrato entre la empresa y el equipo auditor, en donde haya una parcelacin de los pagos, normalmente un 25% al inicio, un 30% a partir de la fase 4 y el 100% en la entrega del informe final. En esta fase se determinan: Los objetivos que va a desempear nuestro trabajo Las fechas mbitos de estudio y posibles problemas, hasta dnde se va a llegar y por lo tanto esto excluye lo que no se va llegar, ya que muchas veces en las relaciones que se tiene con la empresa que ha contratado el servicio se tienden a demandar novedades que no son planteadas en el presupuesto. Inventario de puntos a estudiar. Personas de la organizacin que debern colaborar y en qu momentos para evitar molestar. Documentos a reunir, etc.

Al objeto de agilizar el trabajo y preparar lo que ser la fase 3. FASE 3: DESARROLLO DE LA AUDITORIA. Es la auditoria en s, el desarrollo del trabajo, evidentemente la fase de mxima duracin y se recomienda hacer en el crculo de la propia empresa salvo casos excepcionales, por lo tanto se solicita un espacio reservado, para que el auditor pueda trabajar en cierta intimidad y con documentos sensibles, y ah el objetivo del auditor es buscar evidencias que puedan conducir a las conclusiones certeras del diagnstico.

No preveer a las personas de la auditoria para as no dar indicios de que la gente manipule los resultado con el objetivo de evitar faltas. El objetivo de esta fase es analizar el entorno puramente informtico y el grado de utilizacin y relacin que el sistema tiene con los dems departamentos de la propia organizacin. FASE 4: SISTESIS Y DIAGNOSTICO Como ya se han obtenido los evidencias y comprobaciones en la empresa, se pasa a hacer una sntesis y un diagnstico de todo lo obtenido, al objeto de obtener lo que en el mundo de la gestin lo llaman el FODA, mostrndole a la empresa los posibles problemas que puedan surgir, as como las posibles oportunidades que no estn aprovechando y debilidades o problemas que ya estn teniendo, etc. Evidencias: Puntos dbiles del sistema Puntos fuertes Riesgos eventuales Posibles oportunidades Posibles soluciones y mejoras.

Fase 5: PRESENTACION DE CONCLUSIONES: Es una presentacin de conclusiones previas antes del informe final, al objeto de que aquellas pequeas incidencias que pudieran ser subsanadas y que no desea la empresa que aparesca en el informe final y que puedan ser corregidas en un tiempo razonable, el auditor los presentar al equipo que la empresa considere oportuno, por supuesto que quien ha contratado al auditor debe estar presente. Todas las pruebas, hechos y datos que aqu se presenten deben ser constatados por el auditor dado que pueden haber personas implicadas y tienen que ser por lo tanto demostrables ya que aquello que no pueda ser comprobado, demostrado, constatado, no debera aparecer en este informe aunque se tenga una intuicin de que estos hechos se puedan acontecer. Todo debe basarse en propuestas realistas y constructivas como un posible plan de mejoras que facilite a la organizacin mejorar su posicin respecto al momento en que el auditor entra en la organizacin. Pasado un periodo en donde la empresa haya podido subsanar algunas de las carencias que se han encontrado a lo largo de le evolucin, se pasar a la fase 6. FASE 6: REDACCIN DEL INFORME Y FORMACION DEL PLAN DE MEJORA. Esta es la redaccin del informe final y es el momento en que se procediria incluso a cobrar la parte final del contrato que se haba aprobado en la fase 1. Hay muchos modelos de informe, basndonos en el modelo de H. Iturmendi que lo propuso en 1994 y es bastante aceptado en la comunidad de la auditoria y que recomienda:

a. Carta de presentacin del informe: Uno o dos pginas, se muestra si el informe es favorable o no lo es. A modo de resumen/ conclusin del trabajo de auditoria efectuado y dirigido a la persona que contrat la auditoria. b. Introduccin al informe: Exposicin detallada del conjunto de objetivos de la auditoria, condiciones de desarrollo y un resumen de observaciones y recomendaciones (sin entrar en tanto detalle cosas que s se pondrn en las principales observaciones) c. Las principales observaciones: Observaciones y deficiencias constatadas: Descripcin exacta, convincente y no repetitiva (con repercusiones y recomendaciones) sobre: Auditoria funcional: procedimientos, seguridad, coste Auditoria operativa: calidad, plazos, relaciones, controles d. Recomendaciones y plan de accin a mejoras: Se recomienda las actuaciones que deberan realizar para subsanar aquellas carencias que aparecen en el informe. Plan de mejoras realista, a: Corto plazo: pequeas inversiones en tiempo y dinero. Medio plazo: mayor inversin en tiempo y dinero (12-18 meses) Largo plazo: polticas y reorganizaciones estructurales con mayor necesidad de esfuerzo y planificacin.

Hay que tener en cuenta algunas recomendaciones: Evitar situaciones preventivas de los usuarios frente al auditor: no se trata de que la empresa sepa lo que el auditor va a hacer y pueda adulterar los resultados. Entrevistas iniciales son muy importantes porque gozan de la espontaneidad ya que en la segundo ya se conocen. Siempre cuidar la veracidad de las cosas que cuentan, comprobar que lo que ha dicho el entrevistado es realmente cierto. Los usuarios deben contribuir a comprobar la ausencia de errores. Comprobar la colaboracin del resto de departamentos con el de informtica. Todo con una adecuada gestin de controles que pudieran garantizar que cualquier riesgo que se pudiese presentar en el futuro las alarmas saltar y nos evitaramos problemas futuro