Académique Documents
Professionnel Documents
Culture Documents
Auditoria informtica
HEYDI VIRGINIA DIAZ LADRON DE GUEVARA
Introduccin
El contenido de este documento tratara en forma general las mismas, as como de manera
particular CRMR (Computer Resource Management Review)
El objetivo del trabajo prctico se divide en dos partes. En primer lugar, describir las metodologas
de auditora informtica en forma general. En segundo lugar profundizar sobre una metodologa
en particular, CRMR.
En la primera parte se darn a conocer los puntos o fases que toda auditora debe tener en
cuenta. En la segunda parte se har un estudio de la metodologa elegida para corroborar las
conclusiones obtenidas en la primera parte de la investigacin.
El trabajo constar con el anlisis detallado de tan solo una metodologa, la misma debe ser
usada extensamente y estar disponible para su estudio.
ETAPAS DE LA METODOLOGA
El alcance de la auditora expresa los lmites de la misma. Debe existir un acuerdo muy preciso
entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar.
A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las
excepciones de alcance de la auditora, es decir cuales materias, funciones u organizaciones no van
a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe
Final.
Las personas que realizan la auditora han de conocer con la mayor exactitud posible los objetivos
a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma
que las metas fijadas puedan ser cumplidas.
Una vez definidos los objetivos (objetivos especficos), stos se aadirn a los objetivos generales
y comunes de a toda auditora Informtica: La operatividad de los Sistemas y los Controles Generales
de Gestin Informtica.
Organizacin:
Para el equipo auditor, el conocimiento de quin ordena, quin disea y quin ejecuta es
fundamental. Para realizar esto en auditor deber fijarse en:
Organigrama:
El organigrama expresa la estructura oficial de la organizacin a auditar.
Si se descubriera que existe un organigrama fctico diferente al oficial, se pondr de manifiesto tal
circunstancia.
Departamentos:
Se entiende como departamento a los rganos que siguen inmediatamente a la Direccin. El
equipo auditor describir brevemente las funciones de cada uno de ellos.
Flujos de Informacin:
Adems de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera
que sea, produce corrientes de informacin horizontales y oblicuas extra departamentales.
Los flujos de informacin entre los grupos de una organizacin son necesarios para su eficiente
gestin, siempre y cuando tales corrientes no distorsionen el propio organigrama.
Esta situacin pone de manifiesto deficiencias estructurales; los auditores darn a conocer tal
circunstancia y expresarn el nmero de puestos de trabajo verdaderamente diferentes.
Cuando existen varios equipos, es fundamental la configuracin elegida para cada uno de ellos,
ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuracin de los
sistemas esta muy ligada a las polticas de seguridad lgica de las compaas.
Los auditores, en su estudio inicial, deben tener en su poder la distribucin e interconexin de los
equipos.
Inventario de Hardware y Software:
El auditor recabar informacin escrita, en donde figuren todos los elementos fsicos y lgicos de
la instalacin. En cuanto a Hardware figurarn las CPUs, unidades de control local y remoto,
perifricos de todo tipo, etc.
El inventario de software debe contener todos los productos lgicos del Sistema, desde el software
bsico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual
clasificarlos en facturables y no facturables.
En el estudio inicial los auditores dispondrn del nmero, situacin y caractersticas principales de
las lneas, as como de los accesos a la red pblica de comunicaciones.
El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los
procesos informticos realizados en la empresa auditada. Para ello debern conocer lo siguiente:
a. Volumen, antigedad y complejidad de las Aplicaciones
b. Metodologa del Diseo
c. Documentacin
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos
y materiales que han de emplearse en la auditora.
- Recursos humanos
- Recursos materiales
Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el
cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema
auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y
cliente.
A. Si la Revisin debe realizarse por reas generales o reas especficas. En el primer caso,
la elaboracin es ms compleja y costosa.
La auditora Informtica general se realiza por reas generales o por reas especficas. Si se
examina por grandes temas, resulta evidente la mayor calidad y el empleo de ms tiempo total y
mayores recursos.
Cuando la auditora se realiza por reas especficas, se abarcan de una vez todas las
peculiaridades que afectan a la misma, de forma que el resultado se obtiene ms rpidamente y con
menor calidad.
Tcnicas de Trabajo:
o Anlisis de la informacin recabada del auditado
o Anlisis de la informacin propia
o Cruzamiento de las informaciones anteriores
o Entrevistas
o Simulacin
o Muestreos
Herramientas:
o Cuestionario general inicial
o Cuestionario Checklist
o Estndares
o Monitores
o Simuladores (Generadores de datos)
o Paquetes de auditora (Generadores de Programas)
o Matrices de riesgo
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final,
los que son elementos de contraste entre opinin entre auditor y auditado y que pueden descubrir
fallos de apreciacin en el auditor.
El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo.
Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con
indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente.
o Definicin de objetivos y alcance de la auditora.
o Enumeracin de temas considerados:
o
Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los
temas objeto de la auditora.
o Cuerpo expositivo:
Hecho encontrado
o Ha de ser relevante para el auditor y pera el cliente
o Ha de ser exacto, y adems convincente.
o No deben existir hechos repetidos.
o
Consecuencias del hecho
o Las consecuencias deben redactarse de modo que sean directamente deducibles del
hecho.
Repercusin del hecho
o Se redactar las influencias directas que el hecho pueda tener sobre otros aspectos
informticos u otros mbitos de la empresa.
Conclusin del hecho
o No deben redactarse conclusiones ms que en los casos en que la exposicin haya sido
muy extensa o compleja.
Recomendacin del auditor informtico
o Deber entenderse por s sola, por simple lectura.
o Deber estar suficientemente soportada en el propio texto.
o Deber ser concreta y exacta en el tiempo, para que pueda ser verificada su
implementacin.
o La recomendacin se redactar de forma que vaya dirigida expresamente a la persona o
personas que puedan implementarla.
As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har
copias de la citada carta de Introduccin.