GUIA DE AUDITORIA DE SISTEMAS
Enviado por MYGLE • 12 de Junio de 2012 • 4.351 Palabras (18 Páginas) • 771 Visitas
GUIA DE AUDITORIA DE SISTEMAS - 1.0
19/10/2009 Docente: (Msc)-Ing. Luis A. Mojica N,
1.1 Definir Auditoria de Sistemas
“La auditoria informática es el proceso de recoger y agrupar y evaluar evidencias para determinar si, un sistema informatizado salvaguarda los activos.”
La auditoria en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participa en el procedimiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones.
La auditoria en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información.
La auditoria en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).
Papel Del Auditor Informático.
Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel del auditor debe de estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Además el auditor Informático debe estar capacitado en los siguientes aspectos:
Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos, (Ejemplo. Por que está mal el reporte realizado por el auditor).
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.
El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesarias onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.
El auditor al igual que otros profesionales, pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos de constatar entre el auditor y los auditados.
El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos de precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse a realizarla, hasta que se garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.
Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar un informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y vialidad global de la auditoria.
El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [ decir que ya sabemos esto…].
El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, actuar conforme a las normas implícitas o explicitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad).
El auditor deberá facilitar e incrementar la confianza del auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico-técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.
La función de la Auditoria en la Organización.
Concepto de Auditar.
Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y generales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, etc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos).
Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para la persona, puesto que las máquinas obedecen las ordenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no puede depender de un SOFTWARE o un HARDWARE mal diseñado.
...