Marco Normativo y Procedimientos en Auditorías de Tecnologías de Información

Documentación e Información Relevante

a. Normatividad: Los auditores, entes auditados y el proceso mismo de auditoría están sujetos a un marco normativo que debe ser considerado a lo largo de toda la auditoría.

b. Lineamientos establecidos: Estos incluyen el objetivo general, objetivos específicos, metas, acciones, número de integrantes y la planeación general de la auditoría de tecnologías de información. A partir del plan, se establece el personal responsable. Cualquier acción no contemplada en la planeación estratégica se adicionará a los procedimientos aplicables para su ejecución.

c. Archivo Permanente: Está integrado por información general como: ley orgánica o decreto de creación del ente, informes de auditorías previas y cédulas de seguimiento, nombre del titular, domicilio, colindancia, teléfono, etc., así como la normativa y documentos de gestión desarrollados por el ente auditado.

d. Información General: Comprende el conocimiento del ente a auditar, es decir, su naturaleza, actividades y operaciones, obtenido a partir del decreto de creación y la regulación normativa que le aplique.

e. Antecedentes: Incluye informes de auditorías anteriores (internas o externas), denuncias de ciudadanos por aspectos tecnológicos, requerimientos del titular de la ASE, y cualquier otra documentación relacionada con la auditoría.

f. Restricciones: Limitaciones como personal, tiempos, disponibilidad de equipos, comunicaciones y otras que puedan interferir en la realización del proceso de planificación.

Procedimientos de Auditoría

El auditor de TI responsable deberá incluir, de manera escrita o en medios magnéticos, los métodos que utilizará para el desarrollo de los trabajos, de acuerdo con el programa detallado de actividades y los alcances definidos para la auditoría.

a. Revisión del Archivo Permanente

De existir una auditoría realizada con anterioridad a la entidad o área a evaluar, se debe contar con un archivo permanente que contenga normas generales, específicas y documentos de gestión de la entidad, los cuales pueden ser revisados inicialmente como referencia.

b. Reuniones Interinstitucionales

Como parte del proceso de auditoría y para comprender la problemática a considerar en el diagnóstico inicial, los auditores realizarán reuniones (si es posible) con los funcionarios del ente auditado. Esto con el fin de conocer su forma de trabajo y establecer contacto inicial con los responsables de área, buscando así una mayor eficiencia en la revisión.

c. Sistematización y Búsqueda de Información

Comprende la revisión de información obtenida de publicaciones, estudios de investigación, Internet, sistemas de información y otras fuentes adicionales a la información obtenida del ente a auditar.

d. Análisis de Hechos

Para identificar el problema principal o área crítica objeto de la auditoría, es necesario que los auditores se basen en hechos y no se dejen guiar únicamente por el sentido común, la experiencia o la habilidad, ya que esto podría ocasionar un resultado contrario al esperado.