ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Metodología Para Auditoria Informática

dajonebet25 de Febrero de 2014

6.589 Palabras (27 Páginas)281 Visitas

Página 1 de 27

Metodología para realizar auditorías informáticas

1. Planificación de la auditoria informática

Planeamiento.

 Entendimiento general de la entidad.

Consiste en identificar las relaciones entre un Departamento y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área que están expuestos a riesgos.

 Análisis de riesgos.

El objetivo de esta fase es desarrollar un análisis de riesgos que permita identificar que plataforma de tecnología y sistemas de información, son los más críticos para la operación de la entidad, con el objeto de desarrollar el plan de trabajo, enfocado en dichos sistemas y plataformas.

 Plan inicial.

En función de los resultados del análisis de riesgos realizado y la normativa de control de tecnología aplicable a la entidad, elaboraremos un plan inicial de auditoría, describiendo el enfoque de evaluación para los controles generales del computador y ciclos de negocio (controles automáticos).

Como todo proyecto implantado dentro de una organización, el proyecto de Auditoria Informática debe iniciar con una fase de planeación en la cual participen todas las áreas de la organización para identificar los recursos necesarios que permitirán llevar a cabo un proyecto, como son, objetivos que se pretenden alcanzar con el proyecto, análisis costo/beneficio, personal humano que intervendrá en el proyecto, Marco de referencia de Auditoria informática que se va a utilizar.

Lo cual se resume en obtener un conocimiento inicial de la organización a evaluar, con especial énfasis en sus procesos informáticos basados en evaluaciones administrativas realizadas a los procesos electrónicos, sistemas y procedimientos, equipos de cómputo, seguridad y confidencialidad de la información, y aspectos legales de los sistemas y la información. Una vez que se ha obtenido un conocimiento inicial de la organización se procede a establecer metas, Programas de trabajo de auditoría, personal que intervendrá en el proyecto, presupuesto financiero, y las fechas y la manera como se presentarán los informes de las actividades de cumplimiento del proyecto, basados en la realidad de la organización evaluada.

Para hacer una planeación eficaz, lo primero que se requiere es obtener información general sobre la organización y sobre la función de informática a evaluar. Para ello es preciso hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, Personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software). Por lo tanto se debe organizar como se llevara a cabo una auditoría en informática la cual requiere una planeación que inherentemente tiene una serie de pasos previos, los cuales permiten identificar el conjunto de planes relacionados con la función de procesamiento de datos. Cada plan debe estar orientado a objetivos y estrategias específicas de acuerdo al tipo de organización.

Dentro de la auditoría en general, la planeación es uno de los pasos más importantes, ya que una inadecuada planeación provocará una serie de problemas que pueden impedir que se cumpla con la auditoría o bien hacer que no se efectúe con el profesionalismo que debe tener cualquier auditor. Por tal motivo las organizaciones de la actualidad deben contar con una planeación adecuada para que el resultado de la auditoria ejecutada sea más eficaz y por ende obtener mejores beneficios.

Planeación es la selección y relación de hechos, así como la formulación y uso de suposiciones respecto al futuro en la visualización y formulación de las actividades propuestas que se cree sean necesarias para alcanzar los resultados esperados. Consiste en definir un conjunto de proyectos de evaluación y verificación de políticas, controles y procedimientos Plan de propios de las áreas administrativas, auditoria financieras, operativas, etc., del negocio con objeto de asegurar el buen manejo y administración de los recursos de la organización”. (Delgado Xiomar 1998).

Una planeación adecuada es el primer paso necesario para realizar auditorías de sistemas eficaces. El auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. También se deben considerar las necesidades o prioridades que tenga la alta dirección de auditar o evaluar un área específica de informática. Este proceso de planeación depende en gran medida del diagnóstico previo que lleve a cabo el auditor en informática sobre la situación que prevalece en cada una de las áreas o servicios de la función de informática.

Objetivos de la planeación de la auditoria Informática:

 Evaluación administrativa del área de procesos electrónicos.

 Evaluación de los sistemas y procedimientos.

 Evaluación de los equipos de cómputo.

 Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo.

 Seguridad y confidencialidad de la información.

 Aspectos legales de los sistemas y de la información.

Estos objetivos son los que garantizan una buena auditoria informática, es necesario utilizarlos de guía para determinar lo que ocurre en lo relacionado al procesamiento de datos y así el auditor pueda desempeñar su trabajo con la calidad y la efectividad esperada. Un entorno informático bien controlado puede ser ineficiente si no es consistente con los objetivos de la organización por lo tanto la planeación debe ser documentada e incluir:

 El establecimiento de objetivos y alcance del trabajo.

 La obtención de información de apoyo sobre las actividades que se auditarán.

 La determinación de los recursos necesarios.

 El establecimiento de comunicación necesaria con todos los que estarán involucrados en la auditoría.

 La realización en la forma más apropiada, de una inspección física para familiarizarse con las actividades y controles a auditar.

 La preparación por escrito del programa de auditoría.

 La determinación de cómo, cuándo y a quién se le comunicarán los resultados de la auditoría.

 La obtención de la aprobación del plan de trabajo de la auditoría

Proceso General de la Auditoria Informática:

 Identificar el origen de la auditoria

 Realizar una visita preliminar al área que será evaluada

 Establecer los objetivos de la auditoria

 Determinar los puntos que serán evaluados en la auditoria

 Elaborar planes, programas y presupuestos para realizar la auditoria.

 Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos necesarios para realizar la auditoria

 Asignar los recursos y sistemas computacionales para la auditoria.

La función de planeación en auditoria informática en una empresa debe generar, como todas las áreas del negocio, un plan de proyectos que justifique el trabajo durante cierto periodo, con el fin de que esta función se evalúe según su desempeño, con parámetros tangibles y mesurables que favorezcan el bienestar de las organizaciones. En la actualidad las empresas sólidas que poseen un sistema de información adecuado y confiable son las que más requieren realizar auditorías informáticas producto de las situaciones económicas, sociales y políticas de los países y deben tomar en cuenta las características para efectuar una buena planeación que es la base para obtener resultados satisfactorios.

La planeación en auditorias informáticas, luego de realizar sus pasos fundamentales (planeamiento y evaluación de la estructura actual) finaliza con la entrega de resultados donde se presenta un resumen de todo el proceso evaluado, para obtener respuestas que satisfagan las necesidades de la organización, debido a que la planeación se encarga de arrojar resultados objetivos y específicos de la misma.

Investigación Preliminar:

Se deberá observar el estado general del área, su situación dentro de la organización, si existe la información solicitada, si es o no necesaria y la fecha de su última actualización. Se debe hacer la investigación preliminar solicitando y revisando la información de cada una de las áreas basándose en los siguientes puntos:

o Administración.

Se recopila la información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento. Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del área de informática:

• Objetivos a corto y largo plazo.

• Recursos materiales y técnicos.

• Solicitar documentos sobre los equipos, número de ellos, localización y características.

• Estudios de viabilidad.

• Número de equipos, localización y las características

...

Descargar como (para miembros actualizados) txt (45 Kb)
Leer 26 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com