Metodología de Auditoría Informática: Fases, Técnicas y Gestión de Recursos

1. ¿Qué es una metodología?

Es el conjunto de procedimientos racionales utilizados para alcanzar una gama de objetivos que rigen en las investigaciones.

2. ¿Qué es una metodología de trabajo de auditoría informática?

Es el marco estructurado que define los pasos y criterios técnicos para evaluar la integridad, eficiencia y seguridad de los sistemas de información.

3. ¿Cuáles son las etapas de una metodología?

• Alcance y Objetivos de la Auditoría Informática
• Estudio inicial del entorno auditable
• Determinación de los recursos necesarios para realizar la auditoría
• Elaboración del plan y de los programas de trabajo
• Actividades propiamente dichas de la auditoría
• Confección y redacción del Informe Final

4. ¿Para qué sirve definir los alcances y objetivos en una auditoría?

El alcance de la auditoría expresa los límites de la misma y debe comprender los objetivos, así como los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas.

5. ¿Por qué es más costosa una auditoría general que una específica?

Debido a la amplitud del alcance, la profundidad del examen y la cantidad de recursos humanos y técnicos requeridos para cubrir la totalidad de los sistemas frente a un área puntual.

6. ¿En qué consiste la etapa del estudio inicial?

Consiste en examinar las funciones y actividades generales de la informática.

7. ¿Qué elementos deben ser analizados en la etapa «Estudio Inicial» de una auditoría?

1. Organigrama.
2. Departamentos.
3. Relaciones jerárquicas y funcionales entre órganos de la organización.
4. Flujos de información.
5. Número de puestos de trabajo.
6. Número de personas por puesto de trabajo.

8. ¿En qué consiste la etapa Entorno Operacional?

Consiste en que el equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

9. ¿En qué consiste la etapa Determinación de recursos de la auditoría informática?

Una vez realizado el estudio, se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

10. ¿Qué tipo de recursos insume una auditoría informática?

• Recursos humanos.
• Recursos materiales.

11. ¿En qué consiste la etapa Elaboración del Plan y de los programas de trabajo?

Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. Decidido este, se procede a la programación del mismo.

12. ¿En qué consiste la etapa Actividades?

Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.

13. ¿Cuáles son las principales técnicas de trabajo?

• Análisis de la información recabada del auditado.
• Análisis de la información propia.
• Cruzamiento de las informaciones anteriores.
• Entrevistas.
• Simulación.
• Muestreos.

14. ¿De qué herramientas se dispone para realizar una auditoría?

Cuestionarios, entrevistas y checklists.

15. ¿Qué objetivo tiene la etapa «Informe Final» de una auditoría?

Comunicar los hallazgos, conclusiones y recomendaciones derivadas del proceso de auditoría a la dirección.

16. ¿Qué objetivo tiene la etapa «Carta de presentación del Informe Final»?

Formalizar la entrega de los resultados y establecer el contexto de las conclusiones presentadas.

17. ¿Qué significa la sigla CRMR?

CRMR son las siglas de Computer Resource Management Review; su traducción más adecuada es: Evaluación de la gestión de recursos informáticos.

18. Objetivo de CRMR

Tiene como objetivo fundamental evaluar el grado de bondad o ineficiencia de los procedimientos y métodos de gestión que se observan en un Centro de Proceso de Datos.

19. Alcances de CRMR

• Reducido: El resultado consiste en señalar las áreas de actuación con potencialidad inmediata de obtención de beneficios.
• Medio: Establece conclusiones y recomendaciones, tal y como se hace en la auditoría informática ordinaria.
• Amplio: Incluye planes de acción, aportando técnicas de implementación de las recomendaciones, a la par que desarrolla las conclusiones.

20. Límites de CRMR

Se centra en la gestión y eficiencia operativa, dejando de lado aspectos técnicos profundos o de seguridad física que no afecten directamente a la gestión de recursos.

21. ¿En qué casos es aconsejable aplicar CRMR?

Es aplicable más a deficiencias organizativas y gerenciales que a problemas de tipo técnico, pero no cubre cualquier área de un Centro de Procesos de Datos.

22. ¿En qué áreas de sistemas se aplica?

• Se detecta una mala respuesta a las peticiones y necesidades de los usuarios.
• Los resultados del Centro de Procesos de Datos no están a disposición de los usuarios en el momento oportuno.
• Se genera con alguna frecuencia información errónea por fallos de datos o proceso.
• Existen sobrecargas frecuentes de capacidad de proceso.
• Existen costes excesivos de proceso en el Centro de Proceso de Datos.

23. ¿Qué datos son necesarios para realizar un CRMR?

1. El trabajo de campo del CRMR ha de realizarse completamente integrado en la estructura del Centro de Proceso de Datos del cliente, y con los recursos de este.
2. Se deberá cumplir un detallado programa de trabajo por tareas.
3. El auditor-consultor recabará determinada información necesaria del cliente.