auditoria informÁtica monterrubio bastida alfredo Álvarez del castillo espinosa fernando rentería...

AUDITORIA INFORMÁTICA

Monterrubio Bastida AlfredoÁlvarez del Castillo Espinosa FernandoRentería Lara Jonathan DavidValeriano Romero Rubén

AUDITORIAS EN UNA UNIDAD INFORMÁTICA• Que es

• Quien la aplica

• Quien la solicita

• Como se solicita

• Quien puede auditar

• Perfiles de un auditor interno/externo

• Duración

• Tipos de auditoria

• Documentación

• Funciones de un auditor

• Proceso general de un auditoria

• Metodologías aplicadas a la auditoria

AUDITORIA EN UNA UNIDAD INFORMÁTICA

¿Qué es ?

Las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír

Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.

OBJETIVOS DE LA AUDITORIA INFORMÁTICALa Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.

Características de la Auditoría Informática• La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.• Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.• Cuando se producen cambios estructurales en laInformática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.• Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.


¿Quién la aplica ?

Un auditor interno o externo con el perfil adecuado


¿Quién la solicita ?

Una auditoria informática la puede solicitar principalmente el jefe de un área o departamento al observar que algo no va bien o que no se están cumpliendo los objetivos del departamento y por ende de la empresa, sin embargo un empleado o subordinado y por supuesto un directivo lo puede hacer también. En el caso de que un empleado solicite una auditoria se evaluara de forma más estricta las razones.


¿Cómo se solicita ?

Cada empresa tiene su propio procedimiento para solicitar una auditoria, sin embargo se requiere de un formato que entre otros campos los más importantes son:1. Quien la solicita2. A qué área se solicita3. Razones 4. En qué fecha se desea la auditoria (este dato no siempre se respeta, ya

que una auditoria funciona mejor sin previo aviso, de acuerdo a la experiencia de las empresas)

5. Procesos críticos a evaluar del área

AUDITORIA EN UNA UNIDAD INFORMÁTICA¿Quién puede auditar?

AUDITORÍA INTERNANo puede tomar parte en funciones de tipo operativo

Control de los controles– Evaluar la adecuación, grado de efectividad y eficiencia del

sistema de control interno de una empresa

Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos– Prestar un servicio de asistencia y de crítica constructiva

Funciones principales con respecto al control interno– Determinar si los Controles Internos proporcionan la protección

necesaria, así como la máxima eficacia operativa– Comprobar si los procedimientos operativos y métodos se

utilizan tal y como está establecido en las normas de la empresa

AUDITORÍA INTERNA NO ES:

Sitio de “retiro” para directivo en desgracia u obsoletos

Centro de inquisidores (auditoría policíaca)

Agrupación de “delatores”

Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos

Departamento de filtraciones, obtenidas a través de la actividad auditora

Auxiliar de la auditoría externa o un enemigo permanente de ésta

Un “apaga fuegos” para toda situación de emergencia

Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente

Un departamento sin categoría ni prestigio en la empresa

AUDITORÍA EXTERNARealizada por alguien ajeno a la entidad auditada

Se centran en las deficiencias de los controles internos

Diferencias con la auditoría interna:– Sujeto

• Profesional independiente / Empleado de la empresa

– Objeto• Opinión independiente / Control y sugerencias de mejora

– Informe• Dictamen / Sólo recomendaciones internas

– Responsabilidad• Civil e incluso penal / Laboral

– Continuidad• Periódica / Continua


Perfiles de un auditor interno/externo

Responsabilidades– Auditar aplicaciones financieras y seguridad física– Ofrecer soporte con limitaciones a los auditores financieros y externos

Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales

Perfil– Formación básica con una mezcla de conocimientos de auditoría financiera y

de informática en general (p.e. Desarrollo de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.)

– Especialización en función del entorno empresarial– Gestión del Cambio– Calidad Total, que hará que su trabajo sea reconocido como un elemento

valioso dentro de la empresa y que los resultados sean aceptados en su totalidad


Duración

La duración dependerá del tamaño de la empresa y del departamento o área de la unidad informática que se desea auditar. De acuerdo a casos de diversas empresas el promedio máximo de una auditoria es de 2 semanas.(Dato de ENOVA)

AUDITORIA EN UNA UNIDAD INFORMÁTICAFunciones de un auditor

• Diseñar, establecer (si no existe) y verificar que se lleve a

cabo métodos de respaldo y control que garanticen la

continuidad de los servicios a los usuarios.

• Elaborar (si no existe) y verificar que sea adecuado el plan de

contingencia de todo el procesamiento electrónico de datos.• Establecer los controles adecuados que garanticen la

completa protección de todos los recursos de cómputo.

Funciones generales

•Investigar , estudiar y proponer la adquisición y utilización de nuevos equipos de cómputo.

•Mantener y actualizar la configuración de los equipos electrónicos y redes de comunicación para satisfacer las necesidades de crecimiento, implantación de nuevas aplicaciones y niveles de servicio ofrecidos a los usuarios.

Funciones generales


Herramientas para una auditoria

CuestionariosConjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.

Características:Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

EntrevistasLa entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente

ChecklistEl auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada.Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.


Tipos de auditoria

• Explotación : La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.

• Desarrollo: Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada

• Sistemas : Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.

• Comunicaciones: Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización

• Seguridad: es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.


Proceso general de una auditoria

METODOLOGÍA GENERAL PARA LA AUDITORIA EN INFORMÁTICA.1.- IntroducciónMetodología es una secuencia de pasos lógica y ordenada de procederpara llegar a un resultado. Generalmente existen diversas formas deobtener un resultado determinado, y de esto se deriva la existencia devarias metodologías para llevar a cabo una auditoria informática.

Planeación. Esta consiste en la elaboración de los programas de trabajo que se llevaran a cabo durante la revisión a la entidad auditada.

Trabajos preliminares.- Consisten básicamente, de una serie de entrevistas con nuestro cliente, las cuales tienen como objetivo dejar en claro las características básicas del trabajo que se va a realizar, que es lo que quiere el cliente y que hará, en términos generales, el auditor.

Diagnóstico Administrativo - El Diagnóstico Administrativo tiene por objetivo, proporcionarnos una panorámica de cómo la empresa percibe y practica la Administración.

Investigación Previa.- Aquí conoceremos la empresa y de ser posible validaremos la problemática que nos fue expuesta por el cliente. Después de esta fase se estará en posibilidades de hacer una mejor estimación del tiempo y de los honorarios, si es que no lo pudo hacer en la primera fase.

Elaboración del programa de la AI.- Todo buen administrador debe planear sus actividades y el auditor no debe ser la excepción, el programa señala las actividades que han de realizarse, fechas de inicio y término, así como los tiempos. Obtención de la Información:o En esta fase se obtendrá toda la información pertinente sobre el caso estudiado, pudiendo recurrir a herramientas como: entrevistas, encuestas, observación, etc., dependiendo el tipo de información que necesite.Análisis, clasificación y evaluación de la información:o El análisis y clasificación de la información podrá realizarse por métodos estadísticoso Evaluación es aquí en donde se pone a prueba el talento del auditor, porque para entender e interpretar la información y continuar con el siguiente paso.

Informe, elaboración y presentación del informe final.o En él se informará de manera clara y concisa, sobre los resultados de la AI. No debemos olvidar que a los ojos de nuestro cliente él paga por recibir un informe, y en él debe encontrar valiosas recomendaciones que habrán de mejorar su administración., el informe aunque es escrito, debe presentarse apoyado en una exposición verbal.o Implementación y seguimiento: Algunos autores consideran esta fase como opcional, que no corresponde al auditor realizarla, sino a la empresa, yo considero que el auditor debe participar, para que se interpreten correctamente sus recomendaciones y no haya lugar a desvíos en las mismas.


Documentación

En el argot de auditoria se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión". El informe de auditoría, si se precisa que sea profesional, tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión. La documentación, además de fuente de Know how del auditor informático para trabajos posteriores así como para poder realizar su gestión interna de calidad, es fuente en algunos casos en los que la corporación profesional puede realizar un control de calidad, o hacerlo algún organismo oficial.. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, así como de los auditores internos, se reseñen o no en el Informe de Auditoría Informática, formarán parte de la documentación.Además se incluirán:• El contrato cliente/auditor informático y/o la carta propuesta del auditor informático• Las declaraciones de la Dirección• Los contratos, o equivalentes, que afecten al sistema de información , así como el informe de la asesoría

jurídica del cliente sobre sus asuntos actuales y previsibles.• El informe sobre terceros vinculados• Conocimiento de la actividad del cliente

auditoria informÁtica monterrubio bastida alfredo Álvarez del castillo espinosa fernando rentería...

Documents