Etapas proceso de autora de sistemas

FASE ACTIVIDADES
Conocimiento 1. -Identificar el origen de la auditoria.
del sistema o2. -Realizar visitas para conocer procesos, activos informticos, procesos y
rea auditada organizacin del rea auditada.
3. -Determinar las vulnerabilidades, y amenazas informticas a que est
expuesta la organizacin.
4. -Determinar el objetivo de la auditora de acuerdo a las vulnerabilidades, y
amenazas informticas encontradas.
Planeacin 1. -Elaborar el plan de auditora

de la 2. -Seleccionar los estndares a utilizar de acuerdo al objetivo (CobIT,

Auditoria de MAGERIT, ISO/IEC 27001, ISO/IEC 27002, otro)

3. -De acuerdo al estndar elegido, seleccionar los tems que sern
Sistemas evaluados que estn en relacin directa con el objetivo y alcances
definidos en el plan.
4. -Seleccionar el equipo de trabajo y asignar tareas especficas
5. -Determinar las actividades que se llevarn a cabo y los tiempos en que
sern llevadas a cabo en cada tem evaluado. (Programa de auditora)
6. -Disear instrumentos para recoleccin de informacin (formatos de
entrevistas, formatos de listas de chequeo, formatos de cuestionarios)
7. -Disear el plan de pruebas (formato pruebas)

Ejecucin de1. -Aplicar los instrumentos de recoleccin de informacin diseados

la Auditoria 2. -Ejecutar las pruebas del plan de pruebas

de Sistemas 3. -Levantar la informacin de activos informticos de la organizacin

auditada
4. -Determinar las vulnerabilidades y amenazas informticas aplicando una
metodologa (MAGERIT)
5. -Realizar la valoracin de las amenazas y vulnerabilidades encontradas y
probadas
6. -Realizar el proceso de evaluacin de riesgos
7. -Determinar el tratamiento de los riesgos

Resultados 1. -Determinar las soluciones para los hallazgos encontrados (controles)

de la 2. -Elaborar el Dictamen para cada uno de los procesos evaluados.

Auditoria de 3. -Elaborar el informe final de auditora para su presentacin y sustentacin

4. -Integrar y organizar los papeles de trabajo de la auditoria
Sistemas 5. -Disear las polticas y procedimientos integrando los controles definidos

EL MTODO A USAR EN LA AUDITORIA

Como ya se dijo la Auditora es la bsqueda de la verdad, por lo tanto, el mtodo que debe utilizar para
realizar su examen es sin duda el mtodo cientfico. El enfoque cientfico es un mtodo sistemtico de
anlisis que ayuda a la interpretacin y sntesis de aspectos que necesitan ser investigados. Tanto la
investigacin como el anlisis abarcan un examen escudriador de la lgica involucrada, las necesidades y
justificacin de la actividad que se investiga.

La evaluacin cientfica involucra un proceso de medicin y comprobacin de los principios y prcticas

reconocidas y en las cuales se busca si es o no el mejor plan, poltica, sistema o procedimiento. Obtenida
la informacin necesaria, se evaluar, a efecto de hacer las sugerencias necesarias a la direccin.

La auditora utiliza el mtodo deductivo- inductivo, pues realiza el examen y evaluacin de los hechos
empresariales objetos de estudio partiendo de un conocimiento general de los mismos, para luego
dividirlos en unidades menores que permitan una mejor aproximacin a la realidad que los origin para
luego mediante un proceso de sntesis emitir una opinin profesional. Todo este proceso requiere de que
el auditor utilice una serie de pasos realizados en forma sistemtica, ordenada y lgica que permita luego
realizar una crtica objetiva del hecho o rea examinada.
 1.3.1 MTODO DEDUCTIVO

El mtodo deductivo consiste en derivar aspectos particulares de lo general, leyes axiomas, teoras,
normas etc. en otras palabras es ir de lo universal a lo especfico o particular.

Para aplicar el mtodo deductivo a la auditora se necesita:

q
Formulacin de objetivos generales o especficos del examen a realizar
Una declaracin de las normas de auditoria generalmente aceptadas y principios de
contabilidad de general aceptacin.
Un conjunto de procedimientos para guiar el proceso del examen
Aplicacin de normas generales a situaciones especficas
Formulacin de un juicio sobre el sistema examinado tomado en conjunto

1.4.2 MTODO INDUCTIVO

El mtodo inductivo al contrario del deductivo se parte de fenmenos particulares con incidencia tal que
constituyen un axioma, ley, norma, teora, es decir parte de lo particular y va hacia lo universal.
Desde el punto de vista de la auditora, se descompone el sistema a estudiar en las mnimas unidades de
estudio, efectundose el examen de estas partes mnimas (particulares) para luego mediante un proceso
de sntesis se recompone el todo descompuesto y se emite una opinin sobre el sistema tomado en
conjunto.

Estos dos mtodos se combinan en forma armnica no excluyente. De esta manera, en forma
esquemtica se pueden plantear as las fases generales a seguir en una auditora:

Conocimiento general de la organizacin

Establecimiento de los objetivos generales del examen
Evaluacin del Control Interno
Determinacin de las reas sujetas a examen
Conocimiento especfico de cada rea a examinar
Determinacin de los objetivos especficos del examen de cada rea
Determinacin de los procedimientos de auditora
Elaboracin de papeles de trabajo
Obtencin y anlisis de evidencias
Informe de auditora y recomendaciones

Evaluacin de riesgos
La Ingeniera de Software comprende un conjunto de etapas ordenadas con el propsito de obtener
un producto de software de calidad, si la nueva interfase no se probo y est alterando los saldos de
las cuentas de los clientes, debemos verificar si la anterior interfase aun nos arroja los saldos
correctos o de lo contrario se tendr que cotejar con los estados de cuenta. Este paso es muy
importante porque nos indica los errores que tenemos que evitar.
Clasificacin de la auditoria
Esta auditoria es de Sistemas de Informacin
El software ser apto para correr en distintas plataformas de hardware y software de base,
configurando una aplicacin Intranet y una solucin para Internet,
Declaracin de alcance
Tener acceso a bases de datos relacionados: podrn ser locales o remotas, para lograr obtener los
saldos adecuados de las cuentas.
Declaracin de objetivos
Escalabilidad: soportar aumento en la carga sin necesidad de modificar el cdigo,
Ofrecer seguridad: No todos los usuarios podrn acceder a la misma funcionalidad y todos ellos
debern ser autenticos.
Hacer las suficientes pruebas hasta lograr elpleno funcionamiento de la interfase y hacer el ajuste de
los saldos.

Declaracin del programa de trabajo

Probar e instalar distintos tipos de interfaz de usuario: en general sern del tipo web, pero algunas
podrn ser stand alone en un entorno de ventanas (por ejemplo: carga de datos en forma masiva).

Preparacin del reporte

El reporte tendr que cumplir con todos los requisitos mencionados en sesiones anteriores y sobre
todo hacer mencin del error encontrado y las posibles soluciones ya que es muy urgente darle
mantenimiento a la interfase, seguir haciendo pruebas hasta lograr su adecuado funcionamiento.

FUNCIONES GENERALES.
Para ordenar e imprimir cohesin a su labor, el equipo cuenta con un una serie de funciones
tendientes a estudiar, analizar y diagnosticar la estructura y funcionamiento general de una
organizacin.
Las funciones tipo del equipo auditor son:

Estudiar la normatividad, misin, objetivos, polticas, estrategias, planes y programas de trabajo.

Desarrollar el programa de trabajo de una auditoria.
Definir los objetivos, alcance y metodologa para instrumentar una auditoria.
Captar la informacin necesaria para evaluar la funcionalidad y efectividad de los procesos,
funciones y sistemas utilizados.
Recabar y revisar estadsticas sobre volmenes y cargas de trabajo.
Diagnosticar sobre los mtodos de operacin y los sistemas de informacin.
Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.
Respetar las normas de actuacin dictadas por los grupos de filiacin, corporativos, sectoriales e
instancias normativas y, en su caso, globalizadoras.
Proponer los sistemas administrativos y/o las modificaciones que permitan elevar la efectividad de la
organizacin
Analizar la estructura y funcionamiento de la organizacin en todos sus mbitos y niveles
Revisar el flujo de datos y formas.
Considerar las variables ambientales y econmicas que inciden en el funcionamiento de la
organizacin.
Analizar la distribucin del espacio y el empleo de equipos de oficina. Evaluar los registros contables
e informacin financiera.
Mantener el nivel de actuacin a travs de una interaccin y revisin continua de avances.
Proponer los elementos de tecnologa de punta requeridos para impulsar el cambio organizacional.
Disear y preparar los reportes de avance e informes de una auditoria.
Ejemplo de un enfoque de evaluacin de riesgo

En un ejemplo de un mtodo de evaluacin de riesgos de control deberemos considerar los

siguientes aspectos:

Definir el universo de aplicaciones, bases de datos y tecnologa de soporte que utilizan los
controles de aplicacin,

Definir los factores de riesgo asociados con cada aplicacin. Por ejemplo:

Es control clave?
El diseo es efectivo?
Es un software pre configurado o bien desarrollo propio?
La aplicacin soporta ms de un proceso crtica?
Cul es la frecuencia de los cambios de la aplicacin?
Cul es la complejidad de los cambios?
Cul es el impacto financiero?
Cul es la efectividad de los ITGC?

Todos estos elementos ponderados terminarn dando para cada aplicacin un total que
determinar el ranking del nivel de riesgo para cada aplicacin, considerando tanto factores
cuantitivos como cualitativos, como por ejemplo:

-Controles con Bajo, medio o alto impacto

-Por ejemplo 1= Control fuerte a 5= inadecuado control

Una vez rankeada todas las aplicaciones, y evaluado los resultados, debemos generar un plan
de accin basado en la evaluacin de riesgos enunciada anteriormente, que tienda a mitigar
los riesgos asociados con las aplicaciones que tuvieron un mayor score en el ranking.

heuristica a la capacidad de un sistema para realizar de forma inmediata innovaciones

positivas para sus fines. La capacidad heuristica es un rasgo caracteristico de los humanos,
desde cuyo punto de vista puede describirse como el arte y la ciencia del descubrimiento y de
la invencin o de resolver problemas mediante la creatividad y el pensamiento lateral o
pensamiento divergente.