Auditoria

AUDITORIA

Introduccion

Concepto de Auditar, es controlar una determinada acción. Control: es una actividad o acción o un grupo de actividades o acciones realizadas por uno o varios elementos (personas o máquinas), con el fin de prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento del sistema, o a cualquiera de sus partes.

Auditoría: es el examen de la información por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intención de establecer su suficiencia y adecuación e informar de los resultados del examen con objeto de mejorar su utilidad.

La Auditoría informática comprende: la revisión, análisis y evaluación independiente y objetiva por parte de personas independientes y técnicamente competentes de: un entorno informático de una entidad, abarcando todas o algunas de sus áreas como:

• equipos

• sistemas operativos y paquetes

• aplicaciones y el proceso de su desarrollo

• organización y funciones -las comunicaciones

• la propia gestión de los recursos informáticos.

Las políticas, estándares y procedimientos en vigor de la entidad, su idoneidad, así como el cumplimiento de: dichas políticas, estándares y procedimientos:

• los objetivos fijados

• los planes

• los presupuestos

• los controles y las normas legales aplicables.

Conclusión: Como consecuencia de la revisión y examen ha de emitirse un informe escrito que resuma la situación desde un punto de vista independiente y objetivo, y en su caso dicho informe ha de incluir señalamiento de deficiencias e indicación de mejoras.

Para realizar las actividades de Auditoría informática existen: Métodos, Técnicas y Herramientas.

TIPOS DE AUDITORÍA EN CUANTO OBJETIVOS

• Interna

• Externa

Tipos de auditoría informática

• Evaluación del sistema de control interno por parte de la auditoría interna o evaluación de la auditoría interna por parte de la auditoría externa.

• Auditoría de cumplimiento de políticas, estándares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos interempresas

• Auditoría de seguridad (física y/o lógica)

• Auditoría operativa, que para algunos es lo mismo que auditoría de gestión.

Relación entre Auditoria interna y externa

Ambas auditorías son compatibles y recomendables. Su cometido es complementario nunca excluyente.

La auditoría externa debe ser el seguimiento de la auditoría interna.

Los auditores externos pueden apoyarse en las internas, siempre y cuando esto no suponga una pérdida de la objetividad y de la independencia en:

• sus informes

• sus indicaciones

Los auditores externos pueden aporta a los internos nuevas técnicas y métodos.

La auditoría interna puede crearse muchas veces por recomendación de la externa.

El auditor informático: Cualidades y requisitos que debe poseer

• Formación (buen profesional, conocimientos completos)

• Experiencia

• Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)

• Objetividad (actitud imparcial - no dejarse influenciar)

• Madurez

• Integridad (rectitud intachable, honestidad)

• Capacidad de análisis y síntesis

• Responsabilidad Interés

• Perfil específico según:

• nivel del puesto

• entorno de trabajo

• áreas a auditar

• Puesta al día de los conocimientos.

FUENTES:

Es necesario requerir la documentación sobre todo lo que se ha auditar, se incluye todo aquello que tenga que ver con:

• el hardware

• el software

• las instalaciones

• procedimientos, etc.

REVISION DEL HARDWARE

• Listar todo el hardware

• Especificar su utilización

• Hacer estadísticas de uso y personas

• Sistemas claves

• Mapa de conexiones

• Prioridades

• Modificaciones (cada equipo debe tener una bitácora de su vida)

• Probar el hardware: pruebas en paralelo y benchmarks.

• Comprobar su vida real, etc.

REVISIÓN DEL SOFTWARE:

• Solicitar los planos del software

• Solicitar programas operativos

• Solicitar programas de aplicación

• Solicitar bases de datos

• Hacer las pruebas del S.O con expertos, y con los operadores (observar las reacciones)

• Revisión de la vida útil del software

• Responsables del proyecto

• Diseñadores

• Probadores

• Fundamentos de aplicación

• Analizar su uso.

AUDITORÍA INFORMÁTICA

En la actualidad el costo de los equipos de cómputo ha disminuido considerablemente, mientras que sus capacidades y posibilidades de utilización han aumentado en forma inversa a la reducción de sus costos. Aunque los costos unitarios han disminuido (el de una computadora personal, "microcomputadora"), los costos totales de la computación (de equipos, sistemas, paquetes, recursos humanos, consumibles, etc. ) se han incrementado considerablemente. Ello se debe a que, si bien la relación precio / memoria es menor, el tamaño de la memoria de los equipos y sus capacidades son mucho mayores, con procesadores y dispositivos que permiten acceso de más datos en mucho menos tiempo y que procesan la información en forma más rápida (memorias RAM y ROM, discos fijos, etc. ). Esto hace que, aunque se han reducido los costos, al aumentar sus capacidades y facilidades se ha incrementado el costo total, lo que ha tenido como consecuencia que los costos totales del uso no hayan disminuido en todos los casos. Las nuevas herramientas con que se cuenta (Internet, Extranet, comunicación, bases de datos, multimedia, etc. ) hacen que también se pueda tener acceso a mayor información, aunque el costo total de los sistemas, así como la confiabilidad y seguridad con que se debe trabajar, sean muy altos.

En algunas ocasiones ha disminuido el costo de las aplicaciones, pero se tiene poca productividad en relación con la información y uso que se da a éstas. También se tiene poco control sobre la utilización de los equipos, existe un deficiente sistema de seguridad tanto física

...