METODOLOGÍAS DE LA AUDITORÍA INFORMÁTICA
Enviado por Kevin Rosado • 1 de Febrero de 2021 • Ensayo • 1.480 Palabras (6 Páginas) • 370 Visitas
[pic 1][pic 2]
UNIVERSIDAD TECNICA DE ESMERALDAS
“LUIS VARGAS TORRES”
SEDE SANTO DOMINGO
FACULTAD DE INGENIERIAS Y TECNOLOGIAS
CARRERA:
SISTEMAS INFORMATICOS 7MO
ASIGNATURA:
AUDITORIA INFORMATICA
TEMA:
ENSAYO
METODOLOGÍAS DE LA AUDITORÍA INFORMÁTICA
INTEGRANTES:
ROSADO NAVIA KEVIN
VILLALVA MENDEZ ALEXANDRA
DOCENTE:
ING. DARIO RODRIGUEZ
LA CONCORDIA
07-ENERO-2021
INTRODUCCION
“La expresión metodología hace referencia al conjunto de métodos y procedimientos racionales articulados, utilizados para alcanzar objetivos que rigen a una investigación científica, o a la implantación de proyectos”. (RAMOS, 2018, pág. 6)
Alternativamente puede definirse la metodología como el estudio o elección de una secuencia de métodos pertinentes para un determinado objetivo.
En ese sentido se puede manifestar que las metodologías de auditoría informática son el conjunto de procedimientos para llevar a cabo una auditoría, tomando en cuenta el ser de la misma evaluando procesos de TI, determinar riesgos relacionados a las tecnologías de información, detectar valores anómalos, prevenir fraudes, entre otros.
En la actualidad existen varias metodologías que permiten el desarrollo de una auditoría informática como ITIL, COSO III, COSO ERM, EBIOS, COBIT 5, ISO/IEC 27002:2013, entre otras, las cuales brindan la oportunidad de análisis de riesgos de TI.
Es importante indicar esto por que como auditores debemos recolectar toda la información general, que nos permita definir un juicio global con el objetivo siempre de tener hechos demostrables. Dando como resultado un informe claro, conciso y a la vez preciso depende del análisis y experiencia del auditor, frente a diferentes entornos a evaluar, dependiendo de las debilidades y fortalezas encontradas en dicha empresa auditada. La recolección de información, el análisis, la aplicación de diferentes normas de acuerdo al tipo de auditoria, los hallazgos encontrados y pruebas que avalen estos resultados son indispensables en la realización de una auditoria. (GSI), 2018)
Para llegar al resultado final debemos tener en cuenta que el trabajo que realizamos pasa por una serie de etapas entre la cuales tenemos.
- Alcance y objetivos de la auditoria informática.
- Estudio inicial del entorno auditable.
- Determinación de los recursos necesarios para realizar la auditoria.
- Elaboración del plan y de los programas de trabajo.
- Actividades propiamente dichas de la auditoria.
- Confección y redacción del informe final.
- Redacción de la carta de introducción o carta de presentación del informe final.
DESARROLLO
- Alcance y objetivos de la auditoria informática
En esta etapa el alcance de la auditoria expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoria. Tanto los alcances como las excepciones deben figurar al comienzo del informe final.
- Estudio inicial del entorno auditable
Esta etapa es una de las más importantes en el desarrollo de la auditoria, ya que el auditor debe conocer todos los procesos desarrollados, relacionado con el área tomada como caso de estudio. Para realizar dicho estudio dede examinarse las funciones y actividades generales de la informática.
- Determinación de los recursos necesarios para realizar la auditoria
Mediante los resultados del estudio inicial realizado se procedemos a determinar los recursos humanos y materiales que han de emplearse en la auditoria que se llevara a cabo.
- Elaboración del plan y de los programas de trabajo
Una vez asignados los recursos, el responsable de la auditoria y sus colaboradores establecen un plan de trabajo y así proceder a la programación del mismo. Una vez elaborado el plan, se procede a la programación de actividades, esta ha de ser lo suficientemente flexible para que nos permita realizar alguna modificación dentro del proyecto.
- Actividades propiamente dichas de la auditoria informática
La auditoría informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoria se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
- Confección y redacción del informe final
La función de la auditoria se materializa exclusivamente por escrito. Por ello, la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.
- Redacción de la carta de introducción o carta de presentación del informe final
La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargó o contrató la auditoria. (GSI), 2018)
Existen diversas metodologías de Auditorias Informáticas y todas dependen de lo que se pretenda analizar o lo que vayamos a auditar, las cuatro fases básicas de un proceso de revisión son las siguientes:
- Estudio preliminar: El cual incluye definir el grupo de trabajo, el programa de auditoria, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de política, reglamentos, Entrevistas con los principales funcionarios de la Organización y de la Departamento de Informática entre otras.
- Revisión y evaluación de controles y seguridades: Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas críticas, revisión de procesos históricos (backups), revisión de documentación y archivos, entre otras actividades.
- Examen detallado de áreas críticas: Con las fases anteriores el auditor descubre las áreas críticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, asi establecerá los motivos, objetivos, alcance y recursos que usará, finalmente definirá la metodología de trabajo, la duración de la auditoria, presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.
- Comunicación de resultados: Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoria. (CUN, s.f.)
El informe que entregaremos finalmente deberá incluir lo siguiente:
...