Plan de Auditoria de Sistemas

Una planificación adecuada es el primer paso necesario para realizar una auditoría de sistema eficaz. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

Partiendo de los objetivos y alcance previstos para la Auditoría y considerando toda la información obtenida y conocimientos adquiridos sobre la entidad en la etapa de exploración, el jefe de grupo procede a planear las tareas a desarrollar y las comprobaciones necesarias para alcanzar los objetivos de la Auditoría.

Igualmente, debe determinar la importancia relativa de los temas que se van a auditar y reevaluar la necesidad de personal de acuerdo con los elementos de que dispone.

Después de que se ha determinado el tiempo a emplear en la ejecución de cada comprobación o verificación, se procede a elaborar el plan global o general de la Auditoría, el que se debe recoger en un documento que contenga como mínimo:

• Definición de los temas y las tareas a ejecutar.

• Nombre del o los especialistas que intervendrán en cada una de ellas.

• Fecha prevista de inicio y terminación de cada tarea. Se considera desde la exploración hasta la conclusión del trabajo.

Programa de Auditoria de Sistemas

El programa de auditoría es una guía para documentar los diversos pasos de auditoría y para señalar la ubicación del material de evidencia. El programa debe incluir también los objetivos de auditoría para cada área y deberá ser lo suficientemente detallado para que sirva de instrucciones al equipo de trabajo que participe en la auditoría.
En la preparación del programa de auditoría, el auditor puede considerar oportuno confiar en determinados controles internos en el momento de determinar la naturaleza, fecha de realización y amplitud de los procedimientos de auditoría además deberá considerar también el momento de realizar los procedimientos, la coordinación de cualquier ayuda que se espera de la entidad, la disponibilidad de personal, y la participación de otros expertos.

Adjunto ejemplo desarrollado de un Plrograma de auditoría.

Metologìa

Es el método de trabajo de un autidor al pasar por varias etapas para entregar su informe final.

Existen algunas metodologías de Auditorías de Sistemas y todas depende de lo que se pretenda revisar o analizar, pero como un estándar se analiza las cuatro fases básicas de un proceso de revisión:
• Estudio preliminar
• Revisión y evaluación de controles y seguridades
• Examen detallado de áreas criticas
• Comunicación de resultados

Tipos de Metodologías
• Cobit
• Itil
• ISO 27001
• ISO 9001

Anexo ejemplo de un tipo Metodología ISO 27001.

Objetivos y Alcance

Objetivo de Auditoría:

Es donde se indica el propósito del trabajo de la auditoría a realizar.

Alcance de Auditoría:

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática.