AUDITORÍA INFORMÁTICA

 AUDITORIA INFORMATICA

Def: es un examen crítico que se realiza con el fin de evaluar la EFICACIA y EFICIENCIA de una sección, un organismo, una entidad, etc. 


AUDITORÍA


Def: Es la comprobación científica y sistemática de 

  • los Libros de Cuenta y 

  • otros Registros Financieros y Legales 

de un individuo, firma o corporación, 


Objetivo

  • Determinar la exactitud o integridad de la contabilidad, 

  • Mostrar la verdadera situación financiera y las operaciones 

  • Certificar los estados de rendimiento.


NECESIDAD DE AUDITORÍA


  • Los centros de proceso de datos son objetivos para el espionaje, delincuencia y terrorismo.

  • Los resultados producidos por los Sistemas de Información pueden ser erróneos.

  • Los sistemas informáticos mal diseñados pueden provocar problemas en una empresa.

  • Mala coordinación y organización

  • Mala imagen e insatisfacción de los usuarios

  • Debilidades económico/ financiero

  • Inseguridad


Es la revisión y evaluación:

  • los controles, 

  • sistemas, 

  • procedimientos de informática y de

  • los equipos de cómputo, su utilización, eficiencia y seguridad, 


a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para UNA ADECUADA TOMA DE DECISIONES.


El examen de la auditoría informática abarca una serie de:

  • controles, 

  • verificaciones,

  •  juicios, etc 


Para concluir en un conjunto de recomendaciones y un Plan de Acción


La información de la empresa se ha convertido en un Activo Real de la misma, donde se realizan Inversiones informáticas que deben ser auditadas.


Cuando se producen cambios estructurales y se reorganiza de alguna forma su función se encuentra en este campo.


Los Sistemas Informáticos han de protegerse de modo global y particular a ello se debe la existencia de la Auditoría de Seguridad Informática en general, o a la auditoría de Seguridad de alguna de sus áreas, como pudieran ser Desarrollo o Técnica de Sistemas.


CARACTERÍSTICAS DEL AUDITOR


El auditor debe conocer:

  • Como se traza la Política Informática en una entidad

  • Los Principios Económicos de la actividad informática

  • Las Formas de Organización del trabajo informático

  • Los Métodos de Programación

  • Los principios y técnicas del Análisis y Diseño de sistemas

  • Los principios de organización de Estructuras de Datos

  • La Metodología usada y la documentación a emplear

  • Los Principios Básicos de la Construcción y Funcionamiento de las Computadoras y otros equipos que se utilizan en la actividad informática

  • Los SO que soportan las aplicaciones que se deben auditar

  • Los LP en que están escritos los sistemas que se deben auditar

  • Las técnicas de Dirección

  • Los principios y Métodos de la Toma de Decisiones

  • Los métodos de Planificación y Control de la Actividad informática

  • Los métodos y técnicas de Protección del Software y Datos

  • Los principios y técnicas de Control de la Calidad del Software

  • Las herramientas y técnicas de la Auditoría Informática


METODOLOGÍAS Y FASES


FASE 1: TOMA DE CONTACTO

Esta etapa tendrá sentido si el auditor es externo a la organización. Le permite al auditor adquirir el suficiente grado de conocimiento del servicio donde se ubicará para realizar su examen.


FASE 2: PLANIFICACIÓN DE LA OPERATORIA DE LA AUDITORÍA

Comenta y expone si hubo problemas en la fase anterior y se definen los resultados esperados en la operación.


FASE 3: DESARROLLO DE LA AUDITORÍA

  • Se realizarán entrevistas previstas en la fase de planificación

  • Se completan los cuestionarios que conlleva el auditor

  • Se observarán las situaciones deficientes, para lo que se puede lograr simular situaciones límites.

  • Se observarán los procedimientos, tanto en los informáticos como en los usuarios.

  • Se ejecutarán todas las previsiones efectuadas en la fase anterior con el objeto de luego diagnosticar sobre la situación encontrada


FASE 4: DIAGNÓSTICO

Cuando se efectuaron todas las revisiones, el auditor debe reunirse sin intervención de la organización que recibe la auditoría, para poder interpretar todos los datos obtenidos y ser capaces de concluir con un DIAGNÓSTICO DE SITUACIÓN REAL encontrada.


Como resultado de esta etapa deben quedar claramente definidos:

  • los puntos débiles y los fuertes, 

  • los riesgos eventuales, 

  • y en una primera instancia, unos posibles tipos de solución o mejora


FASE 5: PRESENTACIÓN DE CONCLUSIONES

Se presentan las conclusiones ante los responsables comprometidos. Las mismas se discuten con las personas afectadas por lo que han de ir lo suficientemente argumentadas, probadas y documentadas.


FASE 6: FORMULACIÓN DEL PLAN DE MEJORAS

Aquí es cuando los auditores han de demostrar su experiencia en situaciones anteriores exitosas y ser capaces de adjuntar, junto con el informe de auditoría, y el plan de mejoras que permitirá solventar las deficiencias encontradas

  • El plan de mejoras abarca todas las recomendaciones que vengan a intentar solucionar las deficiencias detectadas en la realización de la auditoría. Para ello se tendrán en cuenta los recursos disponibles. El informe tendrá las deficiencias encontradas sobre auditoría funcional, gestión de RRHH , seguridad física, costos, etc.


CLASIFICACIÓN DE AUDITORIA


Interna

Externa

Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada


Es realizada por personas ajenas a la empresa auditada y es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.



TIPOS DE AUDITORIA 


AUDITORÍA DE SEGURIDAD INFORMÁTICA

La seguridad en la informática abarca los conceptos de Seguridad Fisica y Logica


  1. La SEGURIDAD FÍSICA se refiere a la protección del Hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan. Contempla situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.


  1. La SEGURIDAD LÓGICA se refiere a la seguridad de uso del software, a la protección de los datos, procesos y programas, así como la del ordenado y autorizado acceso de los usuarios a la información.


Con el incremento de agresiones hacia  instalaciones informáticas, se han ido originando acciones para mejorar la Seguridad Informática a nivel físico. Los accesos y conexiones indebidas a través de las Redes de Comunicaciones, han acelerado el desarrollo de productos de Seguridad Lógica y la utilización de sofisticados medios criptográficos.


Se pueden efectuar 

  • Auditorías de la Seguridad Global de una Instalación Informática en General 

  • Auditorías de la Seguridad Específica de un área informática determinada.

 

El sistema integral de seguridad debe comprender: 

  • Definición de una Política de Seguridad

  • Organización y división de responsabilidades

  • Seguridad física y contra catástrofes

  • Prácticas de seguridad del personal

  • Elementos técnicos y procedimientos

  • Sistemas de seguridad

  • Aplicación de los sistemas de seguridad, incluyendo datos y archivos

  • El papel de los auditores, tanto internos como externos

  • Planeación de programas de desastre y su prueba


AUDITORIA DE SISTEMAS

Es la revisión sistemática organizada de los sistemas en funcionamiento. No se limita al procesamiento electrónico de datos de un sistema sino que abarca el ENTORNO TOTAL. Se verifican las propiedades de vigencia, concordancia, permanencia y eficiencia del sistema.


La Auditoría debe asegurar lo siguiente:

  • Las existencia de pistas de auditoría

  • La existencia de controles adecuados con respecto a la entrada de datos y al mantenimiento de la integridad

  • El manejo adecuado e excepciones y de los rechazos originados por los controles de entrada de datos

  • El aseguramiento de la adecuada interconexión entre los diversos sistemas


Las Áreas son:

  1. Revisión de controles generales: Se refieren a los que afectan a la estructura de la organización, a las políticas y procedimientos y al ambiente de control de los SI

  2. Revisión de las operaciones de Procesamiento de Información Las operaciones el centro de procesamiento de información y las del entorno informático

  3. Revisión de Seguridad: Abarca la revisión de la calidad del acceso lógico, del físico y de los controles del ambiente informático

  4. Revisión del software del sistema operacional: Revisión de políticas de desarrollo, la adquisición y mantenimiento del software de so.

  5. Metodología para el desarrollo de sistemas

  6. Revisión de controles en los software de Aplicación: Revisión y evaluación de las fortalezas y debilidades de los puntos de control y procedimientos de control.

  7. Plan de contingencia: Consiste en verificar la existencia y aplicación de políticas y procedimientos para recuperar la información y continuidad de operaciones en caso de presentación de desastres.

  8. Planificación: Se debe conocer el perfil de los objetivos que se consiguen con dicha auditoría y los objetivos de control

  9. Etc.



AUDITORIA DE CONSTRUCCIÓN DE SISTEMAS:

Se revisa la adecuación de la informática a las necesidades de la empresa.


AUDITORIA DE COMUNICACIONES Y REDES

Se audita el sistema de comunicaciones y de redes.


INFORME DE AUDITORÍA


  1. Introducción: objetivos, área, periodo que cubrió la revisión y el alcance de los procedimientos utilizados.

  2. Descripción de hallazgos y formulación de recomendaciones: Se incluirán las fuentes de evidencia.

  3. Expresión de la opinión del auditor sobre la situación encontrada: se refiere a la adecuación de los controles y grado de cumplimiento de los mismos. La opinión del auditor debe quedar respaldada a través de las evidencias.

  4. Anexos: Se puede mencionar información muy detallada o muy técnica.


Este informe está dirigido a la gerencia probablemente.


Uno de los alcances de las carreras es poder hacer, la diferencia que tiene con el peritaje es que tenes que estar inscripto.

Comentarios

Publicar un comentario

Entradas populares de este blog

  Estos cinco grupos de procesos comprenden el ciclo de vida de la GESTION DE PROYECTOS    y son universales para todos los proyectos. Las fases específicas dentro de un proyecto, sin embargo, son únicas para cada proyecto y representan el ciclo de vida del proyecto. •  Iniciación –  se identifica el objetivo del proyecto, necesidad o problema. El director del proyecto es asignado al proyecto y se crea la carta del proyecto. •  Planificación –  el director del proyecto y el equipo del proyecto trabajan en conjunto para planificar todos los pasos necesarios para llegar a una conclusión exitosa del proyecto. Los procesos de planificación de proyectos son de naturaleza iterativa y se espera que la planificación suceda con frecuencia durante todo el proyecto. •  Ejecución –  una vez que se ha creado el plan del proyecto, el equipo busca ejecutar el plan de proyecto para crear los entregables. El proyecto puede pasar por la fase de planificación s...
Read more »