Unidad III Auditora de la funcin informtica

Objetivo
El alumno establecer los procedimientos de una auditora en informtica para contribuir a la optimizacin de los recursos informticos.

Resultado de aprendizaje
Entregar un documento con base en un caso de estudio que incluya:
Planeacin de la Auditora Informtica Instrumentos Resultados de Auditora.
planeacin herramientas resultados

Auditora Informtica
la auditoria informtica es un examen que se realiza a los sistemas de informacin, con el fin, de evaluar la eficacia y eficiencia de los mismos.

Objetivos de la A.I.
El control total de todo lo relacionado con la informtica empresarial. El estudio de la eficiencia de los Sistemas Informticos. La verificacin del cumplimiento de los parmetros que se establecieron. La revisin de la eficaz gestin de los recursos informticos.

Auditor Informtico
El Auditor informtico debe velar por la correcta utilizacin de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de informacin.

Alcance de la auditora informtica

El alcance ha de definir con precisin el entorno y los lmites en que va a desarrollarse la auditora informtica, se completa con los objetivos de sta.

Alcance de la auditora informtica

El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta qu puntos se ha llegado, sino cules materias fronterizas han sido omitidos.

Importancia de la Auditora Informtica

Entre los puntos clave que reflejan la importancia de la auditora informtica, destacamos los siguientes: La alta sistematizacin de las organizaciones Nuevas tecnologas Automatizacin de los controles Integracin de la informacin Importancia de la informacin para la toma de decisiones

ETAPAS DEL PROCESO DE AUDITORIA INFORMATICA

 Una adecuada planificacin de una auditoria (Identificacin de objetivos, recursos, diseo de procedimientos de auditoria, ejecucin, pre informe e informe) incluye el diseo de un optimo programa de auditoria.

Programa de auditoria
Este es un conjunto documentado de procedimientos diseados para alcanzar los objetivos de auditoria planificados y las evidencias que satisfacern dichos objetivos.

Programa de auditoria
Constituye entonces, una gua del auditor para documentar los pasos de accin y para sealar la ubicacin del material de evidencia o papeles de trabajo.

Un proceso de auditoria tpico incluye:

Antecedentes generales Objetivo general de la auditoria.

Objetivos especficos de auditoria.

Alcance de la auditoria. Identificacin de recursos. Metodologa. Procedimientos de auditoria. Pre-informe.

Informe Final.

1. Antecedentes generales
Identificacin de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolver la auditoria.
-Organizacin: Estructura organizativa del Departamento de Informtica a auditar Entorno de Operacin: Entorno de trabajo Aplicaciones Informticas: Procesos informticos realizados en la empresa auditada Bases de Datos Ficheros

2. Objetivo general de la auditoria

Los principales objetivos que constituyen a la auditora Informtica son: El control de la funcin informtica, El anlisis de la eficacia del Sistema Informtico, La verificacin de la implantacin de la Normativa, Y la revisin de la gestin de los recursos informticos.

3. Objetivos especficos de la auditoria

El auditor debe comprender con exactitud los deseos y pretensiones del cliente. Algunos ejemplos de objetivos especficos son los siguientes:

1. Contrastar algn informe interno con el que resulte del externo. 2. Evaluacin del funcionamiento de reas informticas en un determinado departamento. 3. Aumentos de seguridad y fiabilidad. 4. Aumento de calidad. 5. Disminucin de costos o plazos

4. Alcance de la auditoria
Identifica el entorno especfico o unidades de la organizacin que se han de incluir en la revisin; o aplicaciones o mdulos a auditar en un sistema computacional, referido a un periodo de tiempo determinado y lo que se excluye de la auditoria.

5. Identificacin de recursos
Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditora.

Recursos materiales
Es muy importante su determinacin, por cuanto la mayora de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos:

a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se aaden a las ejecuciones de los procesos del cliente para verificarlos. b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cul habr de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos
La cantidad de recursos depende del volumen auditable. Las caractersticas y perfiles del personal seleccionado depende de la materia auditable.

Recursos Humanos
Es igualmente reseable que la auditora en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

6. Metodologa
En la actualidad existen tres tipos de metodologas de auditora informtica: R.O.A. (RISK ORIENTED APPROACH), diseada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestin de base de Datos DB2; paquete de seguridad RACF, etc.).

Metodologa R.O.A. (RISK ORIENTED APPROACH),.

Enfoque Orientado a RIESGO Esta evaluacin de riesgos se desarrolla sobre determinadas reas de aplicacin y bajo tcnicas de cuestionarios adaptados a cada entorno especifico; deber tenerse en cuenta que determinados controles se repetiran en diversas reas de riesgo.

Fases de la evaluacin
Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realizacin del trabajo informtico o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso tambin a paralizarla. Riesgos en la eficacia del servicio informtico Entenderemos como eficacia del servicio la realizacin de los trabajos encomendados. As pues, los riesgos en la eficacia sern aquellos que alteren dicha realizacin o que afecten a la exactitud de los resultados ofrecidos por el servicio informtico. Riesgo en la eficiencia del servicio informtico Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel econmico o tcnico, pretendiendo con el anlisis de estos riesgos mejorar la calidad de servicio. Riesgos econmicos directos En cuanto a estos riesgos se analizarn aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberan producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la seguridad lgica Todos aquellos que posibiliten accesos no autorizados a la informacin mecanizada mediante tcnicas informticas o de otro tipos. Riesgos de la seguridad fsica Comprendern todos aquellos que acten sobre el deterioro o aprobacin de elementos de informacin de una forma meramente fsica.

METODOLOGIA CHECKLIST
El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluacin consiste en identificar la existencia de unos controles establecidos.

METODOLOGIA CHECKLIST
Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una gua de referencia, para asegurar que se han revisado todos los controles.

METODOLOGIA CHECKLIST
En nuestro caso particular se ha dividido la lista de control en los siguientes apartados: Conocimiento del sistema: Inventario Software Planes de contingencia Seguridad

METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: INVENTARIO SI NO N/A

Hay un inventario en la compaa de Sistemas, Hardware y Datos? Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informtica...) externo a la empresa? Se sabe quines son los propietarios de los elementos del inventario? Se sabe quines son los usuarios de los elementos del inventario? Existe un criterio para valorar cules son los elementos crticos del inventario? Se distingue en ese criterio entre: Riesgos para el negocio, riesgos para el servicio prestado a los clientes y riesgo de parlisis de la gestin de la Compaa?

Han validado ese criterio los jefes de Gestin de la Empresa y los jefes de Informtica?
Se ha realizado, por lo tanto, un ranking de los elementos ms crticos? Se van a comenzar las pruebas y actualizaciones, por lo tanto, siguiendo el orden del ranking?

METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: SOFTWARE SI NO N/A

Ha tenido en cuenta las distintas versiones de los elementos Software? Es posible modificar y mejorar el cdigo fuente de sus programas a medida? Est disponible el cdigo fuente? Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos? Se han hecho estudios que revelan cul es la manera ms sencilla y menos costosa de cambiar y mejorar el sistema? Ha identificado qu cdigos fuente son propiedad de otras entidades? Existe un contrato de utilizacin con los propietarios? Va a exigirles a los propietarios de dichos cdigos un informe de progresos? Tiene asesoramiento legal para asegurarse de que dichos contratos son correctos y puede exigir compensaciones econmicas en caso de incumplimiento? Ha verificado en general los productos adquiridos recientemente?(contratos de utilizacin, cdigos fuente,...) Su suministrador de software sigue el negocio?

METODOLOGIA CHECKLIST
CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA SI NO N/A

El personal de la organizacin sabe que tiene soporte si ocurren problemas? Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos? En el plan se identifican todos los riesgos y sus posibles alternativas?

Tcnicas de auditoria
Las tcnicas de auditora se refieren a los mtodos usados por el auditor para recolectar evidencia. Los ejemplos incluyen, entre otras, la revisin de la documentacin, entrevistas, cuestionarios, anlisis de datos y la observacin fsica.

7. Procedimientos de auditoria
Los procedimientos de auditora son el conjunto de tcnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el rea objeto del examen; para recopilar la evidencia de auditora; para respaldar una observacin o hallazgo; para confirmar o discutir un hallazgo, observacin o recomendacin con la administracin.
Informacion del rea a auditar.

Se hara un recorrido por el area para observar su organizacion.

Recopilacin de Datos.

Se utilizar la tecnica de Checklist para obtener los datos.

Soporte de evidencias.

Se tomaran fotografias como respaldo de las evidencias encontradas.

Discusiones de hallazgos.

Mediante un documento de google los auditores comunicaran los hallazgos.

Recomendaciones .

Se emitiran recomendaciones por escrito a la Direccin

8. Pre-informe
Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste de opinin entre auditor y auditado y que pueden descubrir fallos de apreciacin en el auditor.

9. Informe Final

Estructura del informe final:

El informe comienza con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la jefatura, responsabilidad y puesto de trabajo que ostente. Definicin de objetivos y alcance de la auditora. Enumeracin de temas considerados: Antes de tratarlos con profundidad, se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.

Estructura del informe final

Para cada tema, se seguir el siguiente orden a saber: a) Situacin actual. Cuando se trate de una revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. b) Tendencias. Se tratarn de hallar parmetros que permitan establecer tendencias futuras. c) Puntos dbiles y amenazas. d) Recomendaciones y planes de accin. Constituyen junto con la exposicin de puntos dbiles, el verdadero objetivo de la auditora informtica. e) Redaccin posterior de la Carta de Introduccin o Presentacin.

La carta de introduccin poseer los siguientes atributos:

Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.