Sei sulla pagina 1di 5

D I S E Ñ O

M E T O D O L Ó G I C O

D E

L A

A U D I T O R Í A

I N F O R M Á T I C A

ESTRUCTURA METODOLÓGICA DE LA AUDITORÍA INFORMÁTICA

La estructura, que a continuación se presenta, tiene como primera etapa al Análisis Preliminar, seguida de la Planificación, la siguiente etapa presenta objetos auditables, donde se agrupa a las auditorías siguiendo criterios relacionados con aspectos de gestión y planificaciones generales, desarrollo de software, hardware y finalmente seguridad global; representado de la siguiente manera:

F

Análisis Preliminar.

F

Planificación.

F

Objetos auditables:

ÿ Gestión y Planificaciones:

- Auditoría de la Dirección.

- Auditoría de Técnicas de Sistemas.

- Auditoría de la Calidad.

- Auditoría OutSourcing.

ÿ Desarrollo de Software:

- Auditoría Ofimática.

- Auditoría de Desarrollo.

- Auditoría de Mantenimiento.

- Auditoría de Explotación.

- Auditoría de la Aplicación.

- Auditoría de Base de Datos.

ÿ Hardware:

- Auditoría Física.

- Auditoría de Redes.

ÿ Seguridad Global:

- Auditoría de la seguridad.

El siguiente gráfico nos muestra la estructura general de la metodología.

ANALISIS PRELIMINAR PLANIFICACIÓN DE LA AUDITORÍA INFORMÁTICA OBJETOS INFORMÁTICOS AUDITABLES GESTIÓN Y
ANALISIS
PRELIMINAR
PLANIFICACIÓN DE LA
AUDITORÍA
INFORMÁTICA
OBJETOS INFORMÁTICOS
AUDITABLES
GESTIÓN Y
DESARROLLO DEL
PLANIFICACIONES
SOFTWARE
HARDWARE
SEGURIDAD
GLOBAL
Auditoría de la
Dirección
Auditoría
Auditoría Física
Ofimática
Auditoría de la
Seguridad
Auditoría
Auditoría de
Auditoría de
Técnicas de
Desarrollo
Redes
Sistemas
Auditoría de
Mantenimiento
Auditoría de la
Calidad
Auditoría de
Explotación
Auditoría
OutSourcing
Auditoría de la
Aplicación
Auditoría de Base
Datos
INFORME FINAL

Gráfico Nº 08: Estructura Metodológica de la Auditoría Informática

Fuente: Elaboración Propia

DESARROLLO DE LA METODOLOGÍA

ANÁLISIS PRELIMINAR

Esta etapa tiene como propósito realizar un sondeo general a la Institución, con la finalidad de observar y contar con una visión global a cerca de los posibles problemas que aquejan al Centro de Información; por ello es conveniente e imprescindible

realizar una visita preliminar, con el fin de tener un contacto inicial con el personal de la institución, además de observar las instalaciones, distribución de los sistemas, los equipos, etc. En este análisis preliminar contemplaremos los siguientes aspectos:

- Distribución de los sistemas en el centro de información.

- Cuántos, cuáles, cómo y de que tipo son los equipos que se encuentran instalados.

- Cuáles son, a simple vista las principales conexiones físicas de los sistemas.

- Qué tipo de instalaciones y conexiones físicas hay en el centro de información de sistemas y como están distribuidas.

- Cómo reacciona tanto el personal como los usuarios antela visita.

- Medidas de seguridad visibles.

- Qué limitaciones se observan para la realización de la auditoría.

OBJETOS INFORMÁTICOS AUDITABLES

Son todas las auditorías que serán realizadas durante el desarrollo de la metodología, se encuentran agrupadas siguiendo criterios relacionados con aspectos de gestión y planificaciones, software, hardware y seguridad global.

PLANIFICACIÓN DE LA AUDITORÍA INFORMÁTICA

Para hacer una adecuada planeación de la auditoria en informática, hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y característica del centro de información dentro de la institución a auditar, sus sistemas, organización y equipo; con ello podremos determinar el número y características del personal de auditoría, el tiempo y costo.

La planeación se realiza en tres aspectos:

a) Programación de actividades.

b) Asignación de recursos y,

c) Elaboración de cronograma.

Programación de actividades:

A.1.

Establecer los objetivos de la Auditoria

P.1. Establecer el objetivo General de la (s) auditoría.

P.2. Establecer los objetivos específicos de la (s) auditoría.

A.2. Desarrollar el proceso de evaluación de los objetos auditables

P.1. Evaluación de la información, documentación y registros de los sistemas.

T.1. Evaluación de la información que se manejan en: base de datos,

sistemas de almacenamiento y archivo de datos.

T.2. Evaluar la protección y custodia del activo más valioso (información),

captura – procesamiento – emisión de resultados.

P.2. Evaluación de las centro de información y unidades administrativas del

centro de información.

T.1. Evaluar las funciones de las áreas y unidades administrativas (Manual

de organización y funciones).

P.3. Evaluación de las funciones y actividades del personal del centro de información.

T.1.Verificar el cumplimiento de las funciones y actividades establecidas

para cada uno de los puestos (Reglamento de organización y

funciones).

T.2. Comprobar las obligaciones de las funciones, usuarios o personal del

centro de información.

T.3. Evaluar el aprovechamiento de sistemas y de sus recursos por medio

del cumplimiento de estas funciones y actividades.

P.4. Elegir los tipos de auditoria que serán utilizadas.

Recursos

R.1. Conformación del Equipo de auditoria y recursos necesarios.

P.1 Designar el número y miembros del equipo de auditoria.

T.1. Determinar las características del personal de la auditoria por cada

una de las funciones a cumplir.

T.2. Comprobar que por parte de la dirección se hayan determinado los

usuarios y participantes de la alta dirección.

T.3. Determinar quien a quienes serán responsables de dirigir el equipo de

auditoria y establecer responsabilidades.

P.2. Determinar los recursos de carácter informático, material y económico

que serán utilizados en la auditoría.

T.3. Determinar los recursos económicos necesarios.

T.1. Definir de los equipos técnicos e informáticos.

T.2. Definir el apoyo material y administrativo.

R.2. Elaborar el Plan de Trabajo y presupuesto para realizar la auditoria.

P.1. Elaborar el documento formal de los planes de trabajo para la auditoria.

T.1. Definición de objetivos.

T.2. Determinación de estrategias para el desarrollo de la auditoria.

T.3. Definición de normas, políticas y lineamientos para el desarrollo de la

auditoría.

P.2. Elaborar el documento formal de los programas de la auditoría.

T.2. Definición de las etapas y eventos que deben llevarse a cabo.

T.1. Gráfica del programa de actividades.

T.4. Definir los responsables de cada una de las etapas, actividades y

tareas planeadas por la auditoría, asignando los recursos.

P.3. Elaborar el presupuesto para la auditoria.

T.1. Asignación de los costos de los recursos.

Elaboración de cronograma

El cronograma, es la representación gráfica, en el que se muestran las actividades que

integran la auditoría, el periodo de tiempo necesario para realizar cada una de ellas y

sus responsabilidades. Uno de los puntos que no debe perderse de vista es la

estimación del tiempo; para la realización de estimación de tiempo es necesario tener en

cuenta tres criterios importantes ya que dependen del objeto que será auditado:

Complejidad de las actividades (CA).

Nivel de experiencia del auditor (NEA).

Tiempo de holgura (TH)% (esta asignación dependerá del criterio del auditor).

(Mayor detalle ver Anexo Nº05).

Representación gráfica del cronograma de Auditoría

CRONOGRAMA DE AUDITORÍA INFORMÁTICA

 

ACTIVIDAD

 

SEMANAS

 

Nombre

Responsable

1

2

3

4

5

6

7

8

1

Realiz ar investigación preliminar

Resp. Auditor

               

2

Definir objeto auditar

Resp. Auditor

               

3

Elaboración del plan de auditoría

J.Dpto.Asignado

               

4

Asignación de los recursos necesarios

Resp.Auditor

               

5

Iniciar auditoría

Aud.Asignados

               

6

Auditar gestión informática

Aud. Sr. 1

               

7

Auditar desarrollo de sistemas

Aud. Sr. 2

               

8

Auditar calidad

Aud. Sr. 3

               

9

Auditar la seguridad

Aud. Sr. 4

               

10

Revisión y opinión del informe de auditoía

Resp.Auditor

               

11

Elaboración del informe final

Resp.Auditor

               

Gráfico Nº 09: Cronograma de Auditoría Informática Fuente: Elaboración propia