Son
el conjunto de documentos que contienen la información obtenida por el auditor
en su revisión, así como los resultados de los procedimientos y pruebas de
auditoría aplicados; con ellos se sustentan las observaciones, recomendaciones,
opiniones y conclusiones contenidas en el informe correspondiente.
La
documentación de auditoría es el recurso más importante para demostrar por
medio de documentos que una auditoria fue realizada de forma adecuada y
conforme a las normas de auditoría generalmente aceptadas
Documentación de la empresa
Estudio Inicial
Para
realizar dicho estudio ha de examinarse las funciones y actividades generales
de la informática. Para su realización el auditor debe conocer lo siguiente:
1. Organización:
Para
el equipo auditor, el conocimiento de quién ordena, quién diseña y quién
ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:
a. Organigrama:
El organigrama expresa la estructura oficial de la organización a auditar.
b. Departamentos:
Se entiende como departamento a los órganos que siguen inmediatamente a la
Dirección. El equipo auditor describirá brevemente las funciones de cada uno de
ellos.
c. Relaciones
Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor
verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por
el organigrama, o por el contrario detectará, por ejemplo, si algún empleado
tiene dos jefes.
2. Flujos
de Información:
El equipo auditor comprobará que los nombres de los Puesto
de los Puestos de Trabajo de la organización corresponden a las funciones
reales distintas.
3. Número
de Puestos de trabajo:
Número
de personas por Puesto de Trabajo: Es un parámetro que los auditores
informáticos deben considerar. La inadecuación del personal determina que el
número de personas que realizan las mismas funciones rara vez coincida con la
estructura oficial de la organización.
4. Entorno
Operacional:
El equipo de auditoría informática debe poseer una adecuada
referencia del entorno en el que va a desenvolverse.
Este
conocimiento previo se logra determinando, fundamentalmente, los siguientes
extremos:
Se
determinará la ubicación geográfica de los distintos Centros de Proceso de
Datos en la empresa. A continuación, se verificará la existencia de
responsables en cada uno de ellos, así como el uso de los mismos estándares de
trabajo.
Arquitectura
y configuración de Hardware y Software: Cuando existen varios equipos, es
fundamental la configuración elegida para cada uno de ellos, ya que los mismos
deben constituir un sistema compatible e intercomunicado. La configuración de
los sistemas esta muy ligada a las políticas de seguridad lógica de las
compañías.
Situación
geográfica de los Sistemas: El auditor recabará información escrita, en donde
figuren todos los elementos físicos y lógicos de la instalación. En cuanto a
Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de
todo tipo, etc.
Comunicación
y Redes de Comunicación: En el estudio inicial los auditores dispondrán del
número, situación y características principales de las líneas, así como de los
accesos a la red pública de comunicaciones.
No hay comentarios:
Publicar un comentario