jueves, 29 de septiembre de 2011

Auditoria Informatica Parte 1

Los principales objetivos que constituyen a la auditoría Informática son el:
  • Control de la función informática
  • El análisis de la eficiencia de los Sistemas Informáticos que comforma,
  • La verificación del cumplimiento de la Normativa general de la empresa en este ámbito 
  • La revisión de la eficaz gestión de los recursos materiales y humanos informáticos
Síntomas de Necesidad de una Auditoría Informática:
  • Síntomas de descoordinacion y desorganización
  • Síntomas de mala imagen e insatisfacción de los usuarios
  • Síntomas de debilidades económico-financiero
  • Síntomas de Inseguridad: Evaluación de nivel de riesgos
Tipos y clases de Auditoria Informatica:
  • Explotacion
  • Desarrollo
  • Sistemas
  • Comunicaciones
  • Seguridad

Normas.

Las normas de auditoría son los requisitos mínimos de calidad relativos a la personalidad del auditor, al trabajo que desempeña ya la información que rinde como resultado de este trabajo.
Las normas de auditoría se clasifican en:
  1. Normas personales.
  2. Normas de ejecución del trabajo.
  3. Normas de información.

Normas personales
Son cualidades que el auditor debe tener para ejercer sin dolo una auditoría, basados en un sus conocimientos profesionales así como en un entrenamiento técnico, que le permita ser imparcial a la hora de dar sus sugerencias.
Normas de ejecución del trabajo
Son la planificación de los métodos y procedimientos, tanto como papeles de trabajo a aplicar dentro de la auditoría.
Normas de información
Son el resultado que el auditor debe entregar a los interesados para que se den cuenta de su trabajo, también es conocido como informe o dictamen.
 Herramientas y Técnicas para la Auditoría Informática:

Se define a las técnicas de auditoría como “los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones, su empleo se basa en su criterio o juicio, según las circunstancias”.


Al aplicar su conocimiento y experiencia el auditor, podrá conocer los datos de la empresa u organización a ser auditada, que pudieran nesecitar una mayor atención.

Las técnicas procedimientos están estrechamente relacionados, si las técnicas no son elegidas adecuadamente, la auditoría no alcanzará las normas aceptadas de ejecución, por lo cual las técnicas así como los procedimientos de auditoría tienen una gran importancia para el auditor.

Las técnicas se clasifican generalmente con base en la acción que se va a efectuar, estas acciones pueden ser oculares, verbales, por escrito, por revisión del contenido de documentos y por examen físico.

Siguiendo esta clasificación las técnicas de auditoría se agrupan específicamente de la siguiente manera:
  1. Estudio General
  2. Análisis
  3. Inspección
  4. Confirmación
  5. Investigación
  6. Declaración
  7. Certificación
  8. Observación
  9. Cálculo

  • Cuestionarios: Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
  • Entrevistas:El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:
    1. Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.
    2. Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.
    3. Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
  • Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:
  1. Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
    Ejemplo de Checklist de rango:
    Se supone que se está realizando una auditoría sobre la seguridad física de una instalación y, dentro de ella, se analiza el control de los accesos de personas y cosas al Centro de Cálculo. Podrían formularse las preguntas que figuran a continuación, en donde las respuestas tiene los siguientes significados:
    1 : Muy deficiente.
    2 : Deficiente.
    3 : Mejorable.
    4 : Aceptable.
    5 : Correcto.
  3. Es la constituida por preguntas con respuesta única y excluyente: Si o No. Aritmeticamente, equivalen a 1(uno) o 0(cero), respectivamente.
    Ejemplo de Checklist Binaria:
    Se supone que se está realizando una Revisión de los métodos de pruebas de programas en el ámbito de Desarrollo de Proyectos.
  5. Las Checklists de rango son adecuadas si el equipo auditor no es muy grande y mantiene criterios uniformes y equivalentes en las valoraciones. Permiten una mayor precisión en la evaluación que en la checklist binaria. Sin embargo, la bondad del método depende excesivamente de la formación y competencia del equipo auditor.
  • Trazas y/o Huellas:Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.
    Muy especialmente, estas "Trazas" se utilizan para comprobar la ejecución de las validaciones de datos previstas. Las mencionadas trazas no deben modificar en absoluto el Sistema. Si la herramienta auditora produce incrementos apreciables de carga, se convendrá de antemano las fechas y horas más adecuadas para su empleo.
  • Software de Interrogacion En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Procedimientos.

Al conjunto de técnicas de investigación aplicables a un grupo de hechos o circunstancias que nos sirven para fundamentar la opinión del auditor dentro de una auditoría, se les dan el nombre de procedimientos de auditoría en informática.

La combinación de dos o más procedimientos, derivan en programas de auditoría, y al conjunto de programas de auditoría se le denomina plan de auditoría, el cual servirá al auditor para llevar una estrategia y organización de la propia auditoría.

El auditor no puede obtener el conocimiento que necesita para sustentar su opinión en una sola prueba, es necesario examinar los hechos, mediante varias técnicas de aplicación simultánea.
En General los procedimientos de auditoría permiten:
  • Obtener conocimientos del control interno.
  • Analizar loas características del control interno.
  • Verificar los resultados de control interno.
  • Fundamentar conclusiones de la auditoría.
Sistemas de Informacion.

Como antecedente a las sistemas de Información veremos que el proceso de desarrollo de los mismos conlleva una serie de delicadas actividades, tales como:
  1. Planificación o concepción
  2. Análisis
  3. Diseño
  4. Construcción
  5. Pruebas
  6. Implementación
  7. Operación y Mantenimiento
Planificación o Concepción de un Sistema de Información; en esta etapa, un equipo interdisiplinario (gestores, administradores, tecnicos y usuarios) analiza, desde una perspectiva colaborativa de negocio, el proyecto del SI. Se analizan tambien los RIESGOS de CONSTRUIR (desarrollar, comprar o externalizar) o NO CONSTRUIR, y se evalua la factibilidad en base a los recursos de la Organización.

Evaluacion Estrategica considera un analisis FODA (fortalezas, oportunidades, debilidades y amenzas) para el proyecto en particular, junto con la determinacion del IMPACTO y los eventuales beneficios en relacion al valor agregado y a los costos (de desarrollo y de operacion) del proyecto.

El impacto refiere a la influencia en cambios e innovaciones en la organización (satisfacción del usuario y el efecto en la productividad de los empleados) esto es el VOI -Valor sobre la Inversión-



Fortalezas = Aumentar
Oportunidades = Aprovechar
Debilidades = Disminuir
Amenazas = Neutralizar

Costos Tipicos de un SI
  • Hardware
  • Licencias de Software
  • Analisis, diseño y Construcción
  • Instalación y puesta en marcha
  • Medio Ambiente
  • Operación
  • Mantenimiento
  • Seguridad
  • Capacitación
Beneficios Tipicos:
  • Precision de la Información (de procesos, de clientes, proveedores, mercado, etc)
  • Calidad de la Información
  • Usabilidad de la Información (facilidad de acceso, amnipulación y aprendizaje)
  • Flexibilidad y adaptabilidad del sistema y sus procesos
  • Satisfacción del usuario
  • Funcionalidad
  • Confiabilidad
  • Volumen utilización y relevancia (mas informacion que puede ser utilizada de forma focalizada)
  • Productividad
  • Rentabilidad
  • Seguridad
  • Rapidez y oportunidad
La auditoria informatica juega un papel de suma imprtancia para que la organizacion pueda determinar un analisis FODA, que le permita evaluar el impacto que el uso de las TICS tienen sobre su entorno, otorgandole ventajas competitivas en el Mercado en base al aumento de los Beneficios que le otorgan sus SI.
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)