Auditorias

Auditoría en informática

 Es una función que ha sido desarrollada para asegurar la salvaguarda de los activos de los sistemas de computadoras, mantener la integridad de los datos y lograr los objetivos de la organización en forma eficaz y eficiente.

 Auditoría en informática es la verificación de los controles en las siguientes tres áreas de la organización(informática):

Aplicaciones (programas de producción)

Desarrollo de sistemas

Instalación del centro de proceso

Por tanto podemos decir que auditoría en informática es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente, confiable y segura de la información que servirá para una adecuada toma de decisiones.

La auditoría en informática y su entorno

Dado que la auditoría en informática es un proceso básico de evaluación y control en el uso de los recursos tecnológicos para el logro de las estrategias, debe contemplar el entendimiento del entorno del negocio como parte de sus actividades primarias.

En ocasiones, la función de auditoría en informática se relaciona de modo directo o indirecto con las acciones definidas por la alta dirección, ya sea porque será la responsable de llevarlas a cabo o porque dará seguimiento formal a su cumplimiento.

Entorno (Factores externos)

Factor externo Acciones de la empresa Responsabilidad del auditor en informática Comentarios

Auge en el uso de la tecnología de comunicaciones vía satélite Se define como estratégico que exista una red satelital entre empresas y entidades de la organización por este medio. Constatar o recomendar que exista un proyecto de análisis costo/beneficio para la adquisición de los permisos de gobierno, así como la tecnología que se requiera para la implantación de dicha estrategia Con esta acción se obtiene una ventaja competitiva. Permite una integración más eficiente entre las entidades del negocio.

Factor externo Acciones de la empresa Responsabilidad del auditor en informática Comentarios

Comercio electrónico Se crean políticas de control de flujo y uso de la información Recomendar políticas y procedimientos de control de acceso a datos y transacciones en línea. Es un proyecto estratégico en muchas compañías y será un estandar en el mediano plazo

Procedimiento para realizar una auditoria

• Alcance y Objetivos de la Auditoría Informática

• Estudio inicial del entorno auditable

• Determinación de los recursos necesarios para realizar la auditoría

• Elaboración del plan y de los Programas de Trabajo

• Actividades propiamente dichas de la auditoría

• Redacción del Informe Final

Alcance y Objetivos de la auditoria informática

El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.

A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas.

Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final.

Estudio inicial del entorno auditable

Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática.

Para su realización se debe conocer lo siguiente:

Organización:

El conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en:

1) Organigrama:

El organigrama expresa la estructura oficial de la organización a auditar.

2) Departamentos:

Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección.

3) Relaciones Jerárquicas y funcionales entre órganos de la Organización:

El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes.

4) Flujos de Información:

Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama.

5) Número de Puestos de trabajo

El equipo auditor comprobará que los nombres de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.

6) Número de personas por Puesto de Trabajo

La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.

Determinación de los recursos necesarios para realizar la auditoria

El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse.

a. Situación geográfica de los Sistemas:

Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa.

b. Arquitectura y configuración de Hardware y Software:

La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías.

c. Inventario de Hardware y Software:

El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc.

d. Cantidad y complejidad de Bases de Datos y Ficheros.

El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días.

Elaboración del plan y de los Programas de Trabajo

Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Recursos

...