Auditoria

AUDITORIA

Introduccion

Concepto de Auditar, es controlar una determinada acción. Control: es una actividad o acción o un grupo de actividades o acciones realizadas por uno o varios elementos (personas o máquinas), con el fin de prevenir, detectar o corregir errores o irregularidades que afecten al funcionamiento del sistema, o a cualquiera de sus partes.

Auditoría: es el examen de la información por terceras partes, distintas de quienes la generan y quienes la utilizan, con la intención de establecer su suficiencia y adecuación e informar de los resultados del examen con objeto de mejorar su utilidad.

La Auditoría informática comprende: la revisión, análisis y evaluación independiente y objetiva por parte de personas independientes y técnicamente competentes de: un entorno informático de una entidad, abarcando todas o algunas de sus áreas como:

• equipos

• sistemas operativos y paquetes

• aplicaciones y el proceso de su desarrollo

• organización y funciones -las comunicaciones

• la propia gestión de los recursos informáticos.

Las políticas, estándares y procedimientos en vigor de la entidad, su idoneidad, así como el cumplimiento de: dichas políticas, estándares y procedimientos:

• los objetivos fijados

• los planes

• los presupuestos

• los controles y las normas legales aplicables.

Conclusión: Como consecuencia de la revisión y examen ha de emitirse un informe escrito que resuma la situación desde un punto de vista independiente y objetivo, y en su caso dicho informe ha de incluir señalamiento de deficiencias e indicación de mejoras.

Para realizar las actividades de Auditoría informática existen: Métodos, Técnicas y Herramientas.

TIPOS DE AUDITORÍA EN CUANTO OBJETIVOS

• Interna

• Externa

Tipos de auditoría informática

• Evaluación del sistema de control interno por parte de la auditoría interna o evaluación de la auditoría interna por parte de la auditoría externa.

• Auditoría de cumplimiento de políticas, estándares y procedimientos de la propia entidad, de normas legales aplicables, de acuerdos interempresas

• Auditoría de seguridad (física y/o lógica)

• Auditoría operativa, que para algunos es lo mismo que auditoría de gestión.

Relación entre Auditoria interna y externa

Ambas auditorías son compatibles y recomendables. Su cometido es complementario nunca excluyente.

La auditoría externa debe ser el seguimiento de la auditoría interna.

Los auditores externos pueden apoyarse en las internas, siempre y cuando esto no suponga una pérdida de la objetividad y de la independencia en:

• sus informes

• sus indicaciones

Los auditores externos pueden aporta a los internos nuevas técnicas y métodos.

La auditoría interna puede crearse muchas veces por recomendación de la externa.

El auditor informático: Cualidades y requisitos que debe poseer

• Formación (buen profesional, conocimientos completos)

• Experiencia

• Independencia (actitud mental - actuar libremente con respecto a su juicio profesional)

• Objetividad (actitud imparcial - no dejarse influenciar)

• Madurez

• Integridad (rectitud intachable, honestidad)

• Capacidad de análisis y síntesis

• Responsabilidad Interés

• Perfil específico según:

• nivel del puesto

• entorno de trabajo

• áreas a auditar

• Puesta al día de los conocimientos.

FUENTES:

Es necesario requerir la documentación sobre todo lo que se ha auditar, se incluye todo aquello que tenga que ver con:

• el hardware

• el software

• las instalaciones

• procedimientos, etc.

REVISION DEL HARDWARE

• Listar todo el hardware

• Especificar su utilización

• Hacer estadísticas de uso y personas

• Sistemas claves

• Mapa de conexiones

• Prioridades

• Modificaciones (cada equipo debe tener una bitácora de su vida)

• Probar el hardware: pruebas en paralelo y benchmarks.

• Comprobar su vida real, etc.

REVISIÓN DEL SOFTWARE:

• Solicitar los planos del software

• Solicitar programas operativos

• Solicitar programas de aplicación

• Solicitar bases de datos

• Hacer las pruebas del S.O con expertos, y con los operadores (observar las reacciones)

• Revisión de la vida útil del software

• Responsables

...