La metodología de la Auditoría de los SI En general, la auditoría hoy en día es un proceso metódico y como tal tiene un esquema de progreso común a todos los proyectos. Este esquema se resume en las siguientes cinco fases: • Toma de contacto • Planificación • Desarrollo de la auditoría • Diagnóstico • Conclusiones Este esquema es lo suficientemente general como para que pueda ser adoptado por cualquier empresa de servicios de auditoría que trabaje bajo la filosofía del proyecto. Además, tiene la ventaja de que permite al cliente un seguimiento sencillo de la actividad auditora. Por ello, la especificación de una secuencia de fases de este tipo puede ser considerada como un elemento a tener en cuenta a la hora de la redacción del pliego de prescripciones técnicas.

La metodología de la Auditoría de los SI Toma de contacto En esta etapa se recaba toda la información referente a la organización a auditar. La información es de todo tipo, pero se deberá hacer hincapié en las áreas relacionadas con los SI. La siguiente lista orienta acerca de las áreas que deben tocarse en esta recopilación de información: Objetivos estratégicos de la organización y plan de SI. Los SI deberán colaborar para cumplir los objetivos estratégicos. Estos objetivos deberían estar contenidos dentro del Plan de Sistemas de Información, en caso de que exista. Restricciones legales, sociales, de entorno en las que debe funcionar la "organización".

La metodología de la Auditoría de los SI Organigrama de la organización. Estructura organizativa y responsabilidades de cada uno de los elementos de la jerarquía, sobre todo para conocer las relaciones más importantes que tiene el área informática con los otros departamentos. Volumen de la organización. Presupuesto anual, distribución geográfica de instalaciones, número de empleados, etc. Resultados de otras auditorías. Con esta información se podrá juzgar la evolución de la organización, y dónde se encuentran los puntos críticos. Area informática. Se encarga de todo lo relacionado con los sistemas informáticos y con la aplicación de las directrices del Plan de Sistemas de Información. Modelo general. Equipo físico existente. Esta información permite un posicionamiento inicial sobre el área informática.

La metodología de la Auditoría de los SI Organigrama del área informática. Se necesita un conocimiento profundo del organigrama informático, de las relaciones entre los distintos departamentos y de los caminos de información internos. Volumen del área informática. Número de empleados, producción de líneas de código y módulos, distribución de personal por áreas de producción, mantenimiento, desarrollo e investigación, etc. Aplicaciones en proceso de desarrollo. Permiten evaluar el esfuerzo actual de la sección de desarrollo de aplicaciones. Aplicaciones en proceso en producción. Permiten evaluar los recursos consumidos por las aplicaciones informáticas que actualmente se están utilizando en la organización.

La metodología de la Auditoría de los SI Recursos Humanos: En esta área se analizan la capacitación, desempeño y niveles de cumplimiento del personal. Además se analiza el equilibrio en las cargas de trabajo entre los empleados de una sección y entre las secciones que componen el departamento de informática de la organización. Supervisión: En este punto es importante saber cómo se lleva a cabo la supervisión de personal, cómo se evalúa el desempeño del los integrantes del departamento de informática y cómo se controlan los tiempos que se fijan a cada una de las fases del desarrollo de aplicaciones, las actividades de mantenimiento y calidad de software. Condiciones de trabajo: Aquí se trata de determinar cual es el reglamento que se debe cumplir en el interior del departamento de informática. Además se pueden analizar factores como la remuneración de los empleados con respecto al resto del mercado informático y como este aspecto puede incidir en el desempeño del personal de departamento de informática.

La metodología de la Auditoría de los SI Ambiente de trabajo: se detecta si cada sección y el departamento de informática como un todo esta integrado como grupo de trabajo y cuál es el grado de convivencia del personal. Se pueden evaluar aspectos como iluminación, espacio de trabajo, ventilación, niveles de ruido, limpieza y aseo del área de trabajo, instalaciones sanitarias. Mobiliario y equipo: Se evalúa si el departamento de informática cuanta con el equipo y mobiliario adecuado y en cantidad suficiente para desarrollar el trabajo. Se puede determinar si se esta dejando de realizar una actividad por falta de material o equipos. Además se puede determinar si se presta mantenimiento a los equipos que se usan actualmente. Con que frecuencia se renuevan los equipos de computación y que se hace con el equipo en desuso.

La metodología de la Auditoría de los SI Planificación La fase de planificación comienza por una evaluación de los problemas y/o resistencias que se hayan podido encontrar en la toma de contacto. Es importante esta reflexión para identificar aquellas áreas problemáticas a las que probablemente haya que dedicar más tiempo y recursos. El primer resultado de esta fase es la enunciación de los objetivos y alcance de la auditoría, que será recogido en un documento formal denominado Plan de Auditoría. Se puede limitar el alcance del proceso auditor por razones tales como indisponibilidad de recursos, cercanía a otros procesos auditores o imposibilidad de perturbar en un momento crítico una determinada área. En cualquier caso, una vez definido el alcance, se debe proceder a la planificación de recursos, entendida como la especificación de tiempo, plazos, recursos humanos, recursos materiales y coste del proceso de auditoria de sistemas. En este momento se pueden priorizar las áreas a auditar.

La metodología de la Auditoría de los SI Los conceptos a tener en cuenta para hacer la planificación son: Alcance de los objetivos Priorización de áreas a auditar Resultados parciales a considerar Plazos Equipo Humano Presupuesto

La metodología de la Auditoría de los SI Desarrollo de la auditoría Esta es la fase de acopio de información. Para evitar en lo posible que la información se vea empañada por las opiniones personales del auditor, éste posee una serie de herramientas para sistematizar el proceso de observación. Algunas de estas herramientas son: Cuestionarios. Modelos de entrevistas. Técnicas psicológicas de grupos. Modelos matemáticos, ej: CPE (Computer Performance Evaluation). Simulaciones del comportamiento de sistemas a construir. Programas de registro de actividad de dispositivos y redes de comunicaciones. Modelos de comportamiento y de análisis organizacional.

La metodología de la Auditoría de los SI Durante toda esta fase se establece un estrecho contacto con el personal de la organización. Es pues importante mantener una correcta disposición de escucha activa y respeto por las opiniones de las personas que deben utilizar los sistemas. El auditor debe detectar situaciones de poca transferencia de información por parte de los usuarios, que implique la existencia de poco contacto entre los usuarios y el personal de los SI. El trabajo de desarrollo será recogido en un documento formal denominado Informe de Auditoría. Fase de Diagnóstico Cuando se ha terminado la recopilación de datos se procede al análisis de los mismos, con el fin de efectuar la identificación de los puntos débiles y los fuertes. El diagnóstico debe basarse en datos objetivos, presentados en forma de cifras, medidas estadísticas, casos extraídos tal cual de la vida de la organización, sucesos concretos, etc. No deben permitirse los juicios de valor que puedan derivarse de los gustos u opiniones personales del auditor. Sobre esta base cuantitativa se elabora un modelo de la desviación de la situación encontrada respecto de la que podría considerarse óptima.

La metodología de la Auditoría de los SI Presentación de conclusiones La presentación de conclusiones es un proceso a realizar en pasos sucesivos, de menor a mayor alcance. Primeramente, se efectuarán rondas por áreas, informando de las conclusiones provisionales a las personas afectadas, de forma que puedan dar su opinión y que ésta se vea reflejada en la conclusión final. Esto es, si el equipo auditor opina que la causa de una deficiencia está localizada en un punto específico y las personas responsables del área no son de la misma opinión, las dos visiones del problema deben presentarse en la conclusión final, si bien debidamente diferenciadas. Esto da al informe de auditoría una objetividad mucho mayor, sin comprometer para nada su independencia, dado que antes o después habrá que recabar la segunda opinión. Por tanto, se debe exigir a los auditores el contraste de sus conclusiones en el momento de la presentación final. El responsable del Área auditada deberá preparar un Plan de Acciones Correctoras que presentará al auditor en un plazo no superior a 15 días tras la presentación del informe. Este Plan será la base para la definición y puesta en marcha de Acciones Correctoras.

La metodología de la Auditoría de los SI En función del plazo de resolución de las desviaciones, se fijará una fecha para verificar la implantación de las acciones emprendidas. El auditor realizará el seguimiento de las acciones correctoras abiertas hasta su resolución final con el objeto de verificar que se han tomado las medidas oportunas para corregir las desviaciones detectadas. El Plan de Acciones Correctoras[2] será el procedimiento que deberá alcanzar los siguientes objetivos: establecer y mantener los cauces necesarios para la introducción de acciones que influyan en los procesos de trabajo habituales de la Administración, en los SI o en el sistema de aseguramiento de la calidad, y eliminar las causas que producen las no-conformidades o deficiencias detectadas en la explotación del SI. Y será definido a partir de las fuentes de información de que dispone el sistema: auditorías, registros de calidad, informes de servicios posventa y de reclamaciones de clientes y/o registros de no-conformidades.