1 / 39

Unidad III Auditoría de la función informática

Unidad III Auditoría de la función informática. Objetivo. El alumno establecerá los procedimientos de una auditoría en informática para contribuir a la optimización de los recursos informáticos. Resultado de aprendizaje. Entregará un documento con base en un caso de estudio que incluya: 

dalton-nielsen
Download Presentation

Unidad III Auditoría de la función informática

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Unidad IIIAuditoría de la función informática

  2. Objetivo • El alumno establecerá los procedimientos de una auditoría en informática para contribuir a la optimización de los recursos informáticos.

  3. Resultado de aprendizaje Entregará un documento con base en un caso de estudio que incluya:  • Planeación de la Auditoría Informática • Instrumentos • Resultados de Auditoría. planeación resultados herramientas

  4. Auditoría Informática • la auditoria informática es un examen que se realiza a los sistemas de información, con el fin, de evaluar la eficacia y eficiencia de los mismos.

  5. Objetivos de la A.I. • El control total de todo lo relacionado con la informática empresarial. • El estudio de la eficiencia de los Sistemas Informáticos. • La verificación del cumplimiento de los parámetros que se establecieron. • La revisión de la eficaz gestión de los recursos informáticos.

  6. Auditor Informático • El Auditor informático debe velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información.

  7. Alcance de la auditoría informática • El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se completa con los objetivos de ésta.

  8. Alcance de la auditoría informática • El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuáles materias fronterizas han sido omitidos.

  9. Importancia de la Auditoría Informática • Entre los puntos clave que reflejan la importancia de la auditoría informática, destacamos los siguientes: • La alta sistematización de las organizaciones • Nuevas tecnologías • Automatización de los controles • Integración de la información • Importancia de la información para la toma de decisiones

  10. ETAPAS DEL PROCESO DE AUDITORIA INFORMATICA

  11. Una adecuada planificación de una auditoria (Identificación de objetivos, recursos, diseño de procedimientos de auditoria, ejecución, pre informe e informe) incluye el diseño de un optimo programa de auditoria.

  12. Programa de auditoria • Este es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoria planificados y las evidencias que satisfacerán dichos objetivos.

  13. Programa de auditoria • Constituye entonces, una guía del auditor para documentar los pasos de acción y para señalar la ubicación del material de evidencia o papeles de trabajo.

  14. Un proceso de auditoria típico incluye:

  15. 1. Antecedentes generales • Identificación de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolverá la auditoria. • Organización: Estructura organizativa del • Departamento de Informática a auditar • –Entorno de Operación: Entorno de trabajo • –Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada • •Bases de Datos • •Ficheros

  16. 2. Objetivo general de la auditoria • Los principales objetivos que constituyen a la auditoría Informática son: • El control de la función informática, • El análisis de la eficacia del Sistema Informático, • La verificación de la implantación de la Normativa, • Y la revisión de la gestión de los recursos informáticos.

  17. 3. Objetivos específicos de la auditoria El auditor debe comprender con exactitud los deseos y pretensiones del cliente. Algunos ejemplos de objetivos específicos son los siguientes: • Contrastar algún informe interno con el que resulte del externo. • Evaluación del funcionamiento de áreas informáticas en un determinado departamento. • Aumentos de seguridad y fiabilidad. • Aumento de calidad. • Disminución de costos o plazos

  18. 4. Alcance de la auditoria • Identifica el entorno específico o unidades de la organización que se han de incluir en la revisión; o aplicaciones o módulos a auditar en un sistema computacional, referido a un periodo de tiempo determinado y lo que se excluye de la auditoria.

  19. 5. Identificación de recursos • Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

  20. Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

  21. Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos. b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

  22. Recursos Humanos • La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable.

  23. Recursos Humanos • Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

  24. 6. Metodología En la actualidad existen tres tipos de metodologías de auditoría informática: • R.O.A. (RISK ORIENTED APPROACH), diseñadapor Arthur Andersen. • CHECKLIST o cuestionarios. • AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).

  25. Metodología R.O.A. (RISK ORIENTED APPROACH),. • Enfoque Orientado a RIESGO • Esta evaluación de riesgos se desarrolla sobre determinadas áreas de aplicación y bajo técnicas de cuestionarios adaptados a cada entorno especifico; deberá tenerse en cuenta que determinados controles se repetirían en diversas áreas de riesgo.

  26. Fases de la evaluación Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. Riesgos en la eficacia del servicio informático Entenderemos como eficacia del servicio la realización de los trabajos encomendados. Así pues, los riesgos en la eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. Riesgo en la eficiencia del servicio informático Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio. Riesgos económicos directos En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberían producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados a la información mecanizada mediante técnicas informáticas o de otro tipos. Riesgos de la seguridad física Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física.

  27. METODOLOGIA CHECKLIST • El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluación consiste en identificar la existencia de unos controles establecidos.

  28. METODOLOGIA CHECKLIST • Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.

  29. METODOLOGIA CHECKLIST En nuestro caso particular se ha dividido la lista de control en los siguientes apartados: Conocimiento del sistema: • Inventario • Software • Planes de contingencia • Seguridad

  30. METODOLOGIA CHECKLIST

  31. METODOLOGIA CHECKLIST

  32. METODOLOGIA CHECKLIST

  33. Técnicas de auditoria • Las técnicas de auditoría se refieren a los métodos usados por el auditor para recolectar evidencia. • Los ejemplos incluyen, entre otras, la revisión de la documentación, entrevistas, cuestionarios, análisis de datos y la observación física.

  34. 7. Procedimientos de auditoria • Los procedimientos de auditoría son el conjunto de técnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el área objeto del examen; para recopilar la evidencia de auditoría; para respaldar una observación o hallazgo; para confirmar o discutir un hallazgo, observación o recomendación con la administración.

  35. 8. Pre-informe • Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste de opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

  36. 9. Informe Final

  37. Estructura del informe final: • El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. • Definición de objetivos y alcance de la auditoría. • Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

  38. Estructura del informe final • Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas. d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación.

  39. La carta de introducción poseerá los siguientes atributos: • Tendrá como máximo 4 folios. • Incluirá fecha, naturaleza, objetivos y alcance. • Cuantificará la importancia de las áreas analizadas. • Proporcionará una conclusión general, concretando las áreas de gran debilidad. • Presentará las debilidades en orden de importancia y gravedad. • En la carta de Introducción no se escribirán nunca recomendaciones.

More Related