Auditoria De Sistemas

Índice

1. Auditoría

2. La función de la auditoría en la organización

3. Tipos y clases de auditoría

4. Sistemas De Información

5. Tendencias que afectan a los sistemas de información

6. Base Conceptual

7. Proceso De Implementación

1. Auditoría

Papel Del Auditor Informático.-

Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.

Además que auditor Informático debe estar capacitado en los siguientes aspectos:

Deberá ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones mas idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos. (Ej. Por que está mal el reporte)

Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.

El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.

El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).

El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.

Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.

El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna tecnología de primer orden debemos tener un cierto grado de humildad, que no se salga de la realidad [decir que ya sabemos esto...].

El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad)

El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

Tope

2. La función de la auditoría en la organización

Concepto De Auditar

Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.

Al igual que los demás órganos de la empresa los sistemas informáticos están sometidos a un control. La importancia de llevar un control, se puede deducir de varios aspectos, así tenemos:

Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no solo para el espionaje no para la delincuencia y el terrorismo.

Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar resultados o información errónea (Virus, tc). (La máquina suele arrojar resultados erróneos cuando es alimentada con datos erróneos).

Un sistema informático mal diseñado puede convertirse en una herramienta peligrosa para la persona, puesto que las máquinas obedecen las órdenes recibidas y la modelización de la empresa está determinada por las computadoras que materializan los sistemas de información, por lo tanto la gestión y la organización de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal diseñado.

Auditoría Interna Y Auditoría Externa

La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada.

Auditoría Interna

Existe por expresa decisión de la empresa, es decir que también se puede optar por su disolución en cualquier momento.

Auditoría Externa

Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria interna debido Al mayor distanciamiento entre auditor y auditado.

La auditoria informática tanto interna como externa debe ser una actividad exenta de cualquier contenido o matiz político ajena a la propia estrategia y política general de la empresa.

Áreas De La Planificación De La Auditoría

Las empresas acuden a las auditorias cuando existen algunos síntomas bien perceptibles de debilidad. Estos síntomas pueden agruparse en algunas clases:

Síntomas De Descoordinación Y Desorganización

¨ ¨ No coinciden los objetivos de la informática de la compañía

¨ ¨ Los estándares de productividad se desvían sencillamente de los promedios habituales.

Síntomas De Mala Imagen O Insatisfacción De Los Usuarios

¨ ¨ No se atienden a las peticiones de cambio de los usuarios

¨ ¨ No se reparan las averías de HARDWARE ni se resuelven problemas en plazos razonables

¨ ¨ No se cumplen los plazos de entregas de resultados

Síntomas De Debilidades Económico – Financiero

¨ ¨ Incremento desmesurado de costos

¨ ¨ Necesidad de justificación de inversiones informáticas

¨ ¨ Desviaciones presupuestarias significativas

¨ ¨ Costos y plazos nuevos para proyectos

Síntomas De Inseguridad (Evaluación Del Nivel De Riesgo)

¨ ¨ Seguridad lógica

¨ ¨ Seguridad física

¨ ¨ Confidencialidad.- Los datos son de propiedad de la organización que nos genera, los datos de personal son especialmente confidenciales.

¨ ¨ Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes de configuración).

Ubicación Y Organización De La Auditoría

La ubicación de los procesos auditores dentro de un área de sistemas depende del tipo de auditoria que se desee implementar, Así tenemos que en muchas ocasiones la auditoria depende exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las necesidades de la empresa. La auditoria informática nace de los niveles medios bajos de la empresa . (A nivel de organización la ubicación es medio bajo, medios bajos son los Usuarios, con una serie de quejas obligan a hacer auditoria)

Tope

3. Tipos y clases de auditoría

Auditoria Informática De Explotación

La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, ordenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.

(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena)

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones

La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases

¨ Prerrequisitos del usuario y del entorno

¨ Análisis funcional

¨ Diseño

¨ Análisis orgánico (preprogramación y programación)

¨ Pruebas

¨ Explotación

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos

...