auditoria informÁtica monterrubio bastida alfredo Álvarez del castillo espinosa fernando rentería...
Post on 02-Feb-2016
241 Views
Preview:
TRANSCRIPT
AUDITORIA INFORMÁTICA
Monterrubio Bastida AlfredoÁlvarez del Castillo Espinosa FernandoRentería Lara Jonathan DavidValeriano Romero Rubén
AUDITORIAS EN UNA UNIDAD INFORMÁTICA• Que es
• Quien la aplica
• Quien la solicita
• Como se solicita
• Quien puede auditar
• Perfiles de un auditor interno/externo
• Duración
• Tipos de auditoria
• Documentación
• Funciones de un auditor
• Proceso general de un auditoria
• Metodologías aplicadas a la auditoria
AUDITORIA EN UNA UNIDAD INFORMÁTICA
¿Qué es ?
Las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. debido a su importancia en el funcionamiento de una empresa, existe la Auditoria Informática. La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír
Es un examen que se realiza con carácter objetivo, crítico, sistemático y selectivo con el fin de evaluar la eficacia y eficiencia del uso adecuado de los recursos informáticos, de la gestión informática y si estas han brindado el soporte adecuado a los objetivos y metas del negocio.
OBJETIVOS DE LA AUDITORIA INFORMÁTICALa Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
Características de la Auditoría Informática• La información de la empresa y para la empresa, siempre importante, se ha convertido en un Activo Real de la misma, como sus Stocks o materias primas si las hay. Por ende, han de realizarse inversiones informáticas, materia de la que se ocupa la Auditoria de Inversión Informática.• Del mismo modo, los Sistemas Informáticos han de protegerse de modo global y particular: a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.• Cuando se producen cambios estructurales en laInformática, se reorganiza de alguna forma su función: se está en el campo de la Auditoría de Organización Informática.• Estos tres tipos de auditorías engloban a las actividades auditoras que se realizan en una auditoría parcial. De otra manera: cuando se realiza una auditoria del área de Desarrollo de Proyectos de la Informática de una empresa, es porque en ese Desarrollo existen, además de ineficiencias, debilidades de organización, o de inversiones, o de seguridad, o alguna mezcla de ellas.
AUDITORIA EN UNA UNIDAD INFORMÁTICA
¿Quién la aplica ?
Un auditor interno o externo con el perfil adecuado
AUDITORIA EN UNA UNIDAD INFORMÁTICA
¿Quién la solicita ?
Una auditoria informática la puede solicitar principalmente el jefe de un área o departamento al observar que algo no va bien o que no se están cumpliendo los objetivos del departamento y por ende de la empresa, sin embargo un empleado o subordinado y por supuesto un directivo lo puede hacer también. En el caso de que un empleado solicite una auditoria se evaluara de forma más estricta las razones.
AUDITORIA EN UNA UNIDAD INFORMÁTICA
¿Cómo se solicita ?
Cada empresa tiene su propio procedimiento para solicitar una auditoria, sin embargo se requiere de un formato que entre otros campos los más importantes son:1. Quien la solicita2. A qué área se solicita3. Razones 4. En qué fecha se desea la auditoria (este dato no siempre se respeta, ya
que una auditoria funciona mejor sin previo aviso, de acuerdo a la experiencia de las empresas)
5. Procesos críticos a evaluar del área
AUDITORIA EN UNA UNIDAD INFORMÁTICA¿Quién puede auditar?
AUDITORÍA INTERNANo puede tomar parte en funciones de tipo operativo
Control de los controles– Evaluar la adecuación, grado de efectividad y eficiencia del
sistema de control interno de una empresa
Ayudar a la Dirección en el cumplimiento de sus responsabilidades y contribuir a que se logren en cada área resultados óptimos– Prestar un servicio de asistencia y de crítica constructiva
Funciones principales con respecto al control interno– Determinar si los Controles Internos proporcionan la protección
necesaria, así como la máxima eficacia operativa– Comprobar si los procedimientos operativos y métodos se
utilizan tal y como está establecido en las normas de la empresa
AUDITORÍA INTERNA NO ES:
Sitio de “retiro” para directivo en desgracia u obsoletos
Centro de inquisidores (auditoría policíaca)
Agrupación de “delatores”
Proveedor de “mano de obra”, para solucionar situaciones de emergencia de otros departamentos
Departamento de filtraciones, obtenidas a través de la actividad auditora
Auxiliar de la auditoría externa o un enemigo permanente de ésta
Un “apaga fuegos” para toda situación de emergencia
Un lugar de resentidos y descontentos, que se creen los más capacitados y todo lo enjuician negativamente
Un departamento sin categoría ni prestigio en la empresa
AUDITORÍA EXTERNARealizada por alguien ajeno a la entidad auditada
Se centran en las deficiencias de los controles internos
Diferencias con la auditoría interna:– Sujeto
• Profesional independiente / Empleado de la empresa
– Objeto• Opinión independiente / Control y sugerencias de mejora
– Informe• Dictamen / Sólo recomendaciones internas
– Responsabilidad• Civil e incluso penal / Laboral
– Continuidad• Periódica / Continua
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Perfiles de un auditor interno/externo
Responsabilidades– Auditar aplicaciones financieras y seguridad física– Ofrecer soporte con limitaciones a los auditores financieros y externos
Persona con alto grado de calificación técnica y al mismo tiempo estar integrados en las corrientes organizativas empresariales
Perfil– Formación básica con una mezcla de conocimientos de auditoría financiera y
de informática en general (p.e. Desarrollo de aplicaciones, C.V., gestión de proyectos, BD, S.O., redes, etc.)
– Especialización en función del entorno empresarial– Gestión del Cambio– Calidad Total, que hará que su trabajo sea reconocido como un elemento
valioso dentro de la empresa y que los resultados sean aceptados en su totalidad
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Duración
La duración dependerá del tamaño de la empresa y del departamento o área de la unidad informática que se desea auditar. De acuerdo a casos de diversas empresas el promedio máximo de una auditoria es de 2 semanas.(Dato de ENOVA)
AUDITORIA EN UNA UNIDAD INFORMÁTICAFunciones de un auditor
• Diseñar, establecer (si no existe) y verificar que se lleve a
cabo métodos de respaldo y control que garanticen la
continuidad de los servicios a los usuarios.
• Elaborar (si no existe) y verificar que sea adecuado el plan de
contingencia de todo el procesamiento electrónico de datos.• Establecer los controles adecuados que garanticen la
completa protección de todos los recursos de cómputo.
Funciones generales
•Investigar , estudiar y proponer la adquisición y utilización de nuevos equipos de cómputo.
•Mantener y actualizar la configuración de los equipos electrónicos y redes de comunicación para satisfacer las necesidades de crecimiento, implantación de nuevas aplicaciones y niveles de servicio ofrecidos a los usuarios.
Funciones generales
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Herramientas para una auditoria
CuestionariosConjunto de preguntas a las que el sujeto puede responder oralmente o por escrito, cuyo fin es poner en evidencia determinados aspectos.
Características:Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
EntrevistasLa entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios.El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente
ChecklistEl auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada.Muy por el contrario, el auditor conversará y hará preguntas “normales”, que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Tipos de auditoria
• Explotación : La Explotación Informática se ocupa de producir resultados informáticos de todo tipo: listados impresos, ficheros soportados magnéticamente para otros informáticos, ordenes automatizadas para lanzar o modificar procesos industriales, etc.
• Desarrollo: Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada
• Sistemas : Se ocupa de analizar la actividad que se conoce como Técnica de Sistemas en todas sus facetas.
• Comunicaciones: Revisión de la topología de Red y determinación de posibles mejoras, análisis de caudales y grados de utilización
• Seguridad: es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Proceso general de una auditoria
METODOLOGÍA GENERAL PARA LA AUDITORIA EN INFORMÁTICA.1.- IntroducciónMetodología es una secuencia de pasos lógica y ordenada de procederpara llegar a un resultado. Generalmente existen diversas formas deobtener un resultado determinado, y de esto se deriva la existencia devarias metodologías para llevar a cabo una auditoria informática.
Planeación. Esta consiste en la elaboración de los programas de trabajo que se llevaran a cabo durante la revisión a la entidad auditada.
Trabajos preliminares.- Consisten básicamente, de una serie de entrevistas con nuestro cliente, las cuales tienen como objetivo dejar en claro las características básicas del trabajo que se va a realizar, que es lo que quiere el cliente y que hará, en términos generales, el auditor.
Diagnóstico Administrativo - El Diagnóstico Administrativo tiene por objetivo, proporcionarnos una panorámica de cómo la empresa percibe y practica la Administración.
Investigación Previa.- Aquí conoceremos la empresa y de ser posible validaremos la problemática que nos fue expuesta por el cliente. Después de esta fase se estará en posibilidades de hacer una mejor estimación del tiempo y de los honorarios, si es que no lo pudo hacer en la primera fase.
Elaboración del programa de la AI.- Todo buen administrador debe planear sus actividades y el auditor no debe ser la excepción, el programa señala las actividades que han de realizarse, fechas de inicio y término, así como los tiempos. Obtención de la Información:o En esta fase se obtendrá toda la información pertinente sobre el caso estudiado, pudiendo recurrir a herramientas como: entrevistas, encuestas, observación, etc., dependiendo el tipo de información que necesite.Análisis, clasificación y evaluación de la información:o El análisis y clasificación de la información podrá realizarse por métodos estadísticoso Evaluación es aquí en donde se pone a prueba el talento del auditor, porque para entender e interpretar la información y continuar con el siguiente paso.
Informe, elaboración y presentación del informe final.o En él se informará de manera clara y concisa, sobre los resultados de la AI. No debemos olvidar que a los ojos de nuestro cliente él paga por recibir un informe, y en él debe encontrar valiosas recomendaciones que habrán de mejorar su administración., el informe aunque es escrito, debe presentarse apoyado en una exposición verbal.o Implementación y seguimiento: Algunos autores consideran esta fase como opcional, que no corresponde al auditor realizarla, sino a la empresa, yo considero que el auditor debe participar, para que se interpreten correctamente sus recomendaciones y no haya lugar a desvíos en las mismas.
AUDITORIA EN UNA UNIDAD INFORMÁTICA
Documentación
En el argot de auditoria se conoce como papeles de trabajo la "totalidad de los documentos preparados o recibidos por el auditor, de manera que, en conjunto, constituyen un compendio de la información utilizada y de las pruebas efectuadas en la ejecución de su trabajo, junto con las decisiones que ha debido tomar para llegar a formarse su opinión". El informe de auditoría, si se precisa que sea profesional, tiene que estar basado en la documentación o papeles de trabajo, como utilidad inmediata, previa supervisión. La documentación, además de fuente de Know how del auditor informático para trabajos posteriores así como para poder realizar su gestión interna de calidad, es fuente en algunos casos en los que la corporación profesional puede realizar un control de calidad, o hacerlo algún organismo oficial.. Los trabajos utilizados, en el curso de una labor, de otros auditores externos y/o expertos independientes, así como de los auditores internos, se reseñen o no en el Informe de Auditoría Informática, formarán parte de la documentación.Además se incluirán:• El contrato cliente/auditor informático y/o la carta propuesta del auditor informático• Las declaraciones de la Dirección• Los contratos, o equivalentes, que afecten al sistema de información , así como el informe de la asesoría
jurídica del cliente sobre sus asuntos actuales y previsibles.• El informe sobre terceros vinculados• Conocimiento de la actividad del cliente
top related