Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
e Informática
¿QUÉ ES LA AUDITORÍA
INFORMÁTICA?
Edición :
Dirección, Redacción y Talleres: Av. General Garzón N° 658
Jesús María
Orden :
PRESENTACIÓN
Introducción 7
Auditoría 10
Auditoría Interna y Auditoría Externa 11
Alcance de la Auditoría Informática 13
Tipos y Clases de Auditoría 16
¿Cuáles son los objetivos principales? 17
Auditoría Informática de Explotación 20
Auditoría Informática de Desarrollo de Proyectos 23
Auditoría Informática de Sistemas 25
Auditoría Informática de Comunicaciones y Redes 30
Auditoría de Seguridad Informática 30
Técnicas y Herramientas usadas por la Auditoría
Informática 33
Metodología de Trabajo 39
Determinación de Alcances y Objetivos 39
Análisis de Ambiente a Auditar y del entorno Auditable 40
Determinación de Recursos de la Auditoría Informática 42
Elaboración y Planteamiento del plan de trabajo
y de los Programas 43
Actividades a realiza en la Auditoría 44
Elaboración del Informe Final 45
Elaboración de la Carta de Introducción
Correspondiente al Informe Final 48
Conclusiones 49
¿Qué es la Auditoría Informática?
INTRODUCCION:
El objetivo principal de la
Auditoría Informática es llegar
a tener un control en la
actividad informática, también
se rige de la normatividad que
rige los parámetros
establecidos por la empresa y
su cumplimiento, el análisis de
la eficiencia de los sistemas
informáticos, supervisión de la
gestión de los recursos
humanos informáticos y materiales. Los sistemas de
información son recursos de vital importancia para las
empresas de hoy, es entonces que el auditor tiene la
responsabilidad de hacer que el uso de los recursos de la
empresa se lleven en buena forma y correctamente. Cabe
destacar que una Auditoría bien realizada es la que toma en
cuenta a todas las instituciones de forma igual e importante,
debido a que un ministerio, una universidad o una entidad
pública deben ser consideradas de la misma manera
tomándolas en su más amplio sentido. Y es que en todas estas
entidades la informática es importante pues la utilizan para
realizar la gestión de negocios en forma óptima con la
finalidad de obtener los beneficios económicos y de costes
deseados.
AUDITORIA
Se puede dar que una institución que cuente con una oficina de
auditoría interna solicite los servicios de una auditoría externa,
debido a razones que pueden ser:
Es así que una auditoría parcial esta conformada por estos tres
tipos de actividades auditoras. De otra forma cuando se lleva a
cabo una auditoría informática en un área de desarrollo de
Proyectos Informáticos es por que existen ineficiencias,
debilidades de organización, de inversiones, de seguridad, o
alguna mezcla de ellas.
♦ Debilidades Económico-Financieras:
- Elevación de costos de forma repentina y
desmesurada.
- Cuando se da la necesidad de justificar las
inversiones informáticas.
- Cuando se dan otras prioridades en el aspecto
presupuestario.
- Costos y plazos de nuevos proyectos.
Planes de Contingencia:
Por lo general las empresas deben aplicar una política de
Backups, lo la cual puedan resguardar la información en forma
diaria, estos backups deberán ser en forma doble asegurándose
que uno de ellos se encuentre dentro de la empresa y otro fuera
de ella. Estos backups pueden estar guardados el tiempo que la
empresa lo determine, de acuerdo a la periodicidad con la que
van renovando sus backups.
En la Explotación
Explotación Informática
Informática se producen los
resultados informáticos de
1.
Planificación todo tipo, es así que arroja
resultados como: listados
impresos, ficheros
2. 3.Soporte soportados magnéticamente
Producción Técnico para otros informáticos,
ordenes automatizadas para
lanzar o modificar procesos
industriales, etc. Esta es vista como la fabrica un centro de
producción que tiene características particulares, las cuales la
hacen diferente a las reales. La materia prima es importante,
los datos serán transformados en la información requerida esta
información pasará por un control de integridad y calidad
previamente. El proceso informático es la vía para esta
transformación el cual es gobernado por programas. Al final
los resultados se someten a controles de calidad, para asegurar
que la salida al mercado del producto final se haga en óptimas
condiciones.
La técnica de Sistemas
tiene varias facetas de
las cuales ésta rama de
la auditoría esta
ocupándose y
analizando. Con el
avance de la
tecnología en cuanto a
las
telecomunicaciones se
ha dado origen a que
se den auditorías de las comunicaciones, redes y líneas de
instalaciones informáticas sean auditadas individualmente, así
sean parte del entorno general de sistemas.
Software Básico:
Los software básicos son
productos que muchas veces han
sido adquiridos posteriormente a
la adquisición de los equipos de
cómputo, y siendo así, el auditor
debe tener pleno conocimiento
de la facturación de estos
productos. Debido a intereses
económicos y a razón de que la
computadora pueda funcionar sin
el producto adquirido
posteriormente por el cliente. Después debe comprobarse que
el software desarrollado por el propio personal de la empresa
no cree conflicto con el Sistema. En el aspecto económico, si
se presentara el caso de encontrar alternativas que signifiquen
una mejora en términos de costes y esfuerzo, deberá ser
tomado en cuenta.
Software de Teleproceso (Tiempo Real):
Por la función específica que cumple e importancia el
Software Básico no es incluido. Pero las consideraciones antes
establecidas son válidas para éste también.
El Tunning:
La conducta de los sub-sistemas es evaluada por un conjunto
de técnicas de observación y de medida, así también el
Sistema es evaluado en todo su conjunto. El tunning debe ser
diferenciado de otros controles que el personal de sistemas
realiza normalmente.
A consecuencia de los
tunnings que se han realizado,
el personal de sistemas hará
una acción de optimización
permanente. Las acciones de
optimización estarán
monitoreadas por el auditor
quien se encargará de
comprobar que estas son
efectivas y que no perjudicarán el sistema manteniéndolo
operativo juntamente con el plan critico de producción diaria.
La optimización viene a ser nada más que la mejora en el
rendimiento del software, ya que estos a veces se ponen muy
lentos por toda la información manejan y a medida que se van
cargando más, se van volviendo más lentos. Y esto se logra
con un análisis de la performance de la aplicación.
Investigación y Desarrollo
Las empresas de hoy necesitan de informáticas desarrolladas,
y saben que su propio personal desarrolla aplicaciones y
ganancias que, pensadas inicialmente para su utilización
interna, pueden ser susceptibles de otras empresas, creando
una competencia a las compañías del ramo. La auditoría
informática debe tener cuidado que la Investigación y el
Desarrollo no sea una actividad que estorbe a otras actividades
internas de la empresa.
Impacto Amenaza
Error Incendio Sabotaje ….. 1: No probable
Destrucción ----- 1 1 2: Probable
De Hardware 3: Certeza
Borrado de 3 1 1 4: Despreciable
Información
Cuestionarios
La información recopilada es muy
importante, y esto se consigue con el
levantamiento de información y
documentación de todo tipo. Los
resultados que arroje una auditoría se
ven reflejados en los informes finales
que estos emitan y su capacidad para el
análisis de situaciones de debilidades o
de fortalezas que se dan en los diversos
ambientes. El denominado trabajo de
campo consiste en que el auditor busca
por medio de cuestionarios recabar
información necesaria para ser
disernida y emitir finalmente un juicio global objetivo, los que
deben ser sustentados por hechos demostrables, a quienes se
les llama evidencias.
Entrevistas:
Existen tres formas para que el auditor logre relacionarse con
el personal auditado.
Las trazas son muy útiles, pero aún así debe repetirse lo que ha
sido dicho de la Auditoría Informática de Sistemas, que el
auditor utiliza la información proporcionada por el sistema.
Software de Interrogación
Los paquetes de auditoría son
elementos que el auditor a utilizado
hasta hace pocos años, estos son
paquetes de software, los cuales son
capaces de generar programas para
aquellos auditores que no carecen de
cualidades, desde una visión
informática. Luego de un tiempo estos
productos se desarrollaron, logrando
realizar muestreos estadísticos, los que
permitieron realizar proyecciones de acuerdo a consecuencias
e hipótesis de situaciones reales de una instalación.
METODOLOGÍA DE TRABAJO
El Auditor Informático utiliza un método de trabajo el cual se
divide en fases o etapas:
Organización:
Conocer a las personas responsables, quien es el que ordena,
quien diseña y quien ejecuta es importante para el auditor y
todo su equipo. Deben tomarse en cuenta los siguiente puntos:
- Organigrama.
- Departamentos.
- Relaciones de jerarquía y funcionales entre
organismos y la organización.
- Flujos de Información.
- Cantidad de Personal por puesto de trabajo.
- Número de puestos de trabajo
Ambiente de trabajo
Es de suma importancia que el equipo auditor conozca el
ambiente sobre el cual va a trabajar y en el que se va a
desenvolver.
DETERMINACION DE RECURSOS DE LA
AUDITORÍA INFORMÁTICA
Una vez concluido el estudio inicial se procede a determinar la
cantidad de recursos humanos y materiales que se utilizarán
durante el desarrollo de la auditoría.
Recursos materiales:
Los recursos materiales son proporcionados por el cliente
mayormente. El sistema auditado será evaluado por las
herramientas de software propias del equipo, por este motivo
habrá una coordinación entre el equipo auditor y el cliente.
Estos recursos pueden ser de dos tipos:
Recursos de software:
Los mismos que pueden estar comprendidos de programas
que son herramientas de auditoría, estos tienen gran
potencia y flexibilidad.
Luego están los monitores: son usados de acuerdo al
desarrollo obtenido por la técnica del auditado, la calidad
y la cantidad de los datos.
Recursos de hardware:
Estos recursos serán proporcionados por el cliente. Las
computadoras del auditado serán evaluadas de forma
obligatoria por el auditor. Para que esto se lleve a cabo, se
deberá coordinar con el cliente para evitar cualquier
contratiempo. Se evaluará tiempo de máquina, espacio en
disco, impresoras ocupadas, etc.
Recursos Humanos
La materia Auditable será quien determine
la cantidad de recursos, y también el
personal que será asignado para su
desarrollo considerando el perfil personal
y profesional de cada uno. Una auditoría
general se ejerce generalmente por
profesionales universitarios, los cuales han
Herramientas a utilizar
- Cuestionario inicial general.
- Simuladores (Generadores de Datos).
- Cuestionario Checklist.
- Matrices de riesgo.
- Estándares.
- Paquetes de auditoría (Generadores de Programas).
- Simuladores (Generadores de Datos).
- Monitores.
CONCLUSIONES