Auditoria De La Funcion De Informatica

 Evaluar si la persona encargada del mantenimiento y programación del sistema informatico de la empresa cumple con el perfil del puesto.

 Identificar las áreas críticas, con respecto a la seguridad del equipo del área de informática.

 Diseñar los procedimientos a efectuar en el desarrollo de la auditoría del área de informática.

 Establecer el alcance en cuanto a los procedimientos, de tal manera que conduzcan a la formulacion del informe de la auditoria de sistemas.

ESTUDIO Y EVALUACIÓN DEL CONTROL INTERNO

Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; sus resultados son los que generan la verdadera orientación de las subsiguientes fases del proceso, sin ser excluyentes, se deben considerar los siguientes aspectos:

GESTION ADMINISTRATIVA:

1- Conocer y analizar las operaciones a las cuales se dedica el negocio y la forma en que está estructurado tanto desde del punto de vista organizacional y administrativo, así como el organigrama, número y distribución de empleados, sistema interno de autorizaciones, firmas, formularios utilizados, secuencia de operaciones y otros aspectos similares que se realizan con la utilización del sistema informático.

2- Verificar si se ha diseñado un manual de organización y funciones a ser aplicado a los y por los usuarios del área de informática.

3- Verificar si las contrataciones del personal del área de informática se han realizado con base a los criterios establecidos en el manual de funciones y cumplen el perfil del puesto.

4- Verificar si la administración provee oportunamente los recursos necesarios para la adquisición del software actualizado para la protección de los sistemas informáticos.

5- Verificar si la administración promueve la capacitación y adiestramiento constante del personal del área de informática.

6- Verificar si la administración ha establecido políticas claras con respecto a la adjudicación de claves de acceso a las bases de datos.

7- Verificar que las instalaciones donde labora el personal del área de informática estén adecuadas a las necesidades y no representen peligro para los empleados.

GESTION INFORMATICA:

1) Examinar la información preliminar correspondiente al área de informática, la cual puede ser:

a) Interna: conocer los procesos que se realizan dentro de la empresa para los cuales es utilizado el equipo informático.

Se verificará si se lleva un control de las operaciones realizadas y si queda un registro de los usuarios del área de informática y los horarios en los cuales, han utilizado el equipo del centro. También se solicitará información correspondiente a si se ha realizado en otras ocasiones auditorías al sistema informático.

b) Externa: Conocimiento e identificación de los usuarios del área de informática, así como de los proveedores de materiales y accesorios y otros clientes.

2) Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles, equipos, inventarios y otros que tienen relación al área de informática y la ubicación de sucursales, en caso de que también utilicen dicho sistema.

3) Verificar si los programas utilizados dentro de la entidad han sido diseñados específicamente para la empresa y hasta que punto estos programas son operativos y satisfacen las necesidades de la entidad.

4) Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas informáticos.

5) Cualquier otro punto de conocimiento general, que contribuya a orientar adecuadamente la auditoria de sistemas informáticos.

6) Verificar si todo el equipo o hardware se encuentra debidamente inventariado y se ha elaborado la respectiva tarjeta de depreciación del mismo, a fin de que en el momento en que se vuelvan obsoletos se puedan dar de baja.

7) Verificar por medio de pruebas si los sistemas funcionan correctamente, para ello será necesario contratar a un perito programador, para que efectue las pruebas correspondientes.

8) Verificar si el software tiene las licencias correspondientes.

9) Verificar quienes están autorizados para realizar modificaciones a los sistemas informáticos y quien autoriza cada una de estas modificaciones.

10) En el caso de que haya alguien de nivel superior que autorice los cambios y modificaciones a los sistemas informáticos, verificar si existe algún documento escrito por medio del cual se autoricen dichas modificaciones o si las ordenes se efectuan solamente de manera verbal.

11) En el caso de que exista el registo de las solicitudes de cambios mencionados en el punto anterior, realizar pruebas en el sistema para verificar que se hayan realizado correctamente y que respondan a la solicitud de la gerencia o de quien lo haya autorizado.

12) Verificar quien es el responsable de autorizar los niveles de jerarquía y niveles de acceso a utilizar dentro del sistema y si existe algún registro escrito por medio del cual se hayan emitido dichas autorizaciones.

13) Verificar si en la entidad se han establecido políticas con respecto a la creación de respaldos de la información más importante, cuyo daño pudiera afectar el funcionamiento general de la entidad en el caso de darse situaciones anómalas dentro del sistema informático.

14) Verificar si existen procedimientos y políticas en cuanto a la seguridad y protección del personal que trabaja como usuario de los sistemas informáticos de la entidad.

15) Verificar si las claves no permiten el acceso de los usuarios a niveles superiores, a los cuales no deberían acceder.

METODOS APLICABLES PARA SU DOCUMENTACION:

A) DESCRIPTIVO

La documentación utilizada durante la auditoría, será en primer lugar de tipo descriptiva o sea basada en la narración verbal de los procedimientos, la cuales son conocidas como cédulas narrativas.

B) CUESTIONARIO

En segundo lugar, los procedimientos se documentarán a través de la preelaboración de preguntas, contestadas personalmente por los líderes de la empresa o por el personal encargado de los sistemas informáticos y por algunos usuarios dentro de la empresa que tenga relación con el mismo..

PLANEACION DETALLADA

Cuyo lema se basa en la individualización técnica de los procedimientos a ejecutar así como las consideraciones y los objetivos a corto plazo que se espera producir en cada uno; comprende los siguientes apartados:

1) Objetivos: Al obtener una clara comprensión del negocio, se fijan las metas tanto a corto plazo como la general que se espera alcanzar al ejecutar la auditoría; se establece el eje sobre el cual deben girar todos los procedimientos y fases de que consta para llevarse a cabo de forma eficaz y efectiva.

2) Rubros a Examinar: Consiste en descomponer las partes integrantes del Sistema Informático, en secciones manejables, facilitando con ello el análisis integral y exhaustivo, con el propósito de obtener resultados correctos y claros en cada uno de sus niveles operativos del sistema informático.

a. Primera descomposición: Hardware, software, personal, instalaciones eléctricas, seguridad.

b. Segunda descomposición o detalle: Computadores, periféricos, software de uso general, software de uso específico, personal del área de informática, usuarios del sistema informático, red eléctrica, seguridad física de los sitemas informáticos, seguridad lógica del sistema, seguridad del personal, seguridad de la información y las bases de datos, seguridad en el acceso y uso del software, seguridad en la operación del harware, seguridad en las telecomunicaciones.

c. Tercera descomposición: Las áreas de mayor riesgo, son descompuestas en sus subdivisiones más significativas, por lo cual se debe validar el funcionamiento de ellos mediante un examen operativo y el respectivo cumplimiento de las políticas institucionales en cuanto a su uso y aplicación.

d. Cuarta descomposición: Esta última se refiere al examen propio de cada una de las áreas específicas, con el fin de asegurar el buen funcionamiento de cada uno de los componentes del sistema informático, estos casos requerirán su validación.

3) Comparaciones: Se establecerán comparaciones sobre el actual funcionamiento de los sistemas informáticos y las especificaciones de sobre como deberían funcionar, para establecer si se les está dando el uso adecuado y si se está obteniendo los máximos resultados de la aplicación de dichos sistemas.

4) Generación de detalles periódicos: Algunas áreas serán analizadas por períodos, con el fin de verificar su desarrollo a través del tiempo, en cambio, habrá otros que por su naturaleza, se pueden analizar en un momento fijo y que pueden generalizarse a diversos períodos, para ello, en el caso de que se encuentre situaciones en las cuales sea necesaria la actuación inmediata, se generarán reportes intermedios hacia la gerencia, con el fin de que sean buscados los correctivos

...