OBJETIVOS
GENERAL
Identificar
causas y soluciones a problemas específicos de los sistemas de información, que
pueden estar afectando a la operación y a las estrategias de la entidad.
ESPECIFICOS
a)
La audiroria en sistemas se encarga del correcto
funcionamiento y el cumplimiento de:
o
Cumplimiento de licencias de software (identificar
software pirata, control de licencias).
o
Incompatibilidad del hardware y software.
o
Errores frecuentes de la aplicación (“caída”,
resultados inexactos, lentitud).
o
Bases de Datos con problemas de integridad.
o
Bajo desempeño del hardware y software.
o
Proyectos con retrasos o que “nunca terminan”.
o
Insatisfacción de los usuarios para con los
sistemas de información.
o
Corrección frecuente a los programas de las
aplicaciones.
o
Fallas en el control de versiones.
DEFINICIÓN
La auditoría informática evalúa los
sistemas de información, para medir la conveniencia y capacidad de los recursos
tecnológicos asignados, para la
optimización de los procesos de información y toma de decisiones de los entes
públicos y la sostenibilidad de los mismos.
La
Auditoría Informática ha sido erróneamente denominada Auditoría de Sistemas,
por el hecho que vulgarmente se considera la palabra "sistemas" como
sinónimo de "computador". Pero
a lo largo de lo desarrollado hasta el momento, ha quedado claro que toda
Auditoría es de sistemas, pues su objeto son los sistemas de información.
Se
puede construir entonces el siguiente
concepto de auditoría informática:
El
proceso que consiste en el examen crítico, sistemático y detallado del sistema
de información automático de un ente,
realizado con independencia y utilizando técnicas específicas, con el propósito
de emitir un informe profesional sobre la eficacia eficiencia y economicidad en
el manejo de los recursos informáticos y los controles de seguridad de los
mismos, para la toma de decisiones que
permitan el mejoramiento de los
procesos de información automática y de
la productividad de estos..
El
examen de los objetivos de la auditoría, sus normas, procedimientos y sus
relaciones con el concepto de la existencia y evaluación, nos lleva a la
conclusión de que el papel del computador afecta significativamente las
técnicas a aplicar. Mediante una revisión adecuada del sistema de procesamiento
electrónico de datos del cliente, y el uso de formatos bien diseñados para su
captura, el auditor puede lograr un mejor conocimiento de los procedimientos
para control del cliente.
Recreando
programas de auditoría por computador, el auditor cubre una actividad más
grande de la utilidad mercantil tanto financiera como operacional; y puede
utilizar recursos para analizar y evaluar campos de problemas de evaluación en
las operaciones del cliente. Tal método
incrementa su aptitud para remitir
óptimos servicios a los mismos.
La
evaluación de un sistema informático, estriba primero en la revisión del mismo
para obtener un conocimiento de como se dice que funciona, y ponerlo a prueba
para acumular evidencias que demuestren como es el funcionamiento en la
realidad.
Al
evaluar la información automática, el auditor debe revisar varios documentos,
como diagramas de flujo y documentos de programación, para lograr un mejor
entendimiento del sistema y los controles que se diseñaron en él. En el sistema de procesamiento electrónico de
datos, el auditor probablemente, encuentre nuevos controles, algunos de ellos necesarios para la automatización del
proceso, y algunos que sustituyen aquellos
que en los métodos manuales se basaron en juicios humanos y la división
de labores. Muchos de los controles en
ambientes informáticos, pueden combinarse en los programas de computadoras con en el proceso manual.
Para
ayudar en la revisión de los sistemas de procesamiento de datos y los controles
internos, en ocasiones de suma utilidad los cuestionarios para obtener
información respecto al sistema. Una vez
obtenida la información, el auditor debe proceder a obtener evidencias de la
existencia y efectividad de los procedimientos para él.
Lineamientos
auditoria informática
1.
organización del área informática cada entidad establecerá los lineamientos que
orienten el proceso de organización del área de informática, aspecto que
implica la definición de actividades a cumplir, las funciones y
responsabilidades del personal, al igual que las interrelaciones de los
elementos comprendidos en este sector con las áreas operativas de la entidad.
Estos elementos formaran parte del manual de organización y funciones
correspondiente.
2.
plan informático, adquisición o actualización de sistemas los sistemas de
información computarizados se generan de acuerdo a los requerimientos o
necesidades establecidas en cada entidad el sector público
3.
operación y mantenimiento para los sistemas incorporados en su gestión, en cada
entidad se elaboraran procedimientos formales y detallados del funcionamiento y
operación
4.
acceso a los sistemas y modificación de la información la máxima autoridad de
cada entidad pública o por su delegación los directivos y jefes de unidades
administrativas, en coordinación con el jefe de la unidad de procesamiento
automático de datos establecerán las medidas que permitan acceder y modificar
los datos e información contenidos en los sistemas computarizados solo a
personal autorizado
5. la
máxima autoridad de cada entidad pública o por su delegación los directivos y
jefes de unidades administrativas, en coordinación con el jefe de la unidad de
procesamiento automático de datos establecerán las medidas que permitan acceder
y modificar los datos e información contenidos en los sistemas computarizados
solo a personal autorizado
Alcance de la Auditoría
Informática:
El
alcance ha de definir con precisión el entorno y los límites en que va a
desarrollarse la auditoría informática, se complementa con los objetivos de
ésta. El alcance ha de figurar expresamente en el Informe Final, de modo que
quede perfectamente determinado no solamente hasta que puntos se ha llegado,
sino cuales materias fronterizas han sido omitidas.
Características de la
Auditoría Informática:
La
información de la empresa y para la empresa, siempre importante, se ha
convertido en un Activo Real de la misma, como sus Stocks o materias primas si
las hay.
Del
mismo modo, los Sistemas Informáticos han de protegerse de modo global y
particular: a ello se debe la existencia de la Auditoría de Seguridad
Informática en general, o a la auditoría de Seguridad de alguna de sus áreas,
como pudieran ser Desarrollo o Técnica de Sistemas.
Cuando
se producen cambios estructurales en la Informática, se reorganiza de alguna
forma su función: se está en el campo de la Auditoría de Organización
Informática.
ÁREAS DE APLICACIÓN
La
función de Desarrollo es una evolución del llamado Análisis y Programación de
Sistemas y Aplicaciones. A su vez, engloba muchas áreas, tantas como sectores
informatizadles tiene la empresa. Muy concisamente, una Aplicación recorre las
siguientes fases:
ü
Requisitos del Usuario (único o plural) y del
entorno.
ü
Análisis funcional.
ü
Diseño.
ü
Análisis orgánico (Reprogramación y
Programación).
ü
Pruebas.
Todas
las Aplicaciones que se desarrollan son muy parametrizadas, es decir, que
tienen un montón de parámetros que permiten configurar cual va a ser el
comportamiento del Sistema. Una Aplicación va a usar para tal y tal cosa cierta
cantidad de espacio en el disco.
Planeación De La
Auditoría En Informática
Para
hacer una adecuada planeación de la auditoría en informática, hay que seguir
una serie de pasos previos que permitirán dimensionar el tamaño y características
de área dentro del organismo a auditar, sus sistemas, organización y equipo.
En el
caso de la auditoría en informática, la planeación es fundamental, pues habrá
que hacerla desde el punto de vista de los dos objetivos:
§
Evaluación de los sistemas y procedimientos.
§
Evaluación de los equipos de cómputo.
Para
hacer una planeación eficaz, lo primero que se requiere es obtener información
general sobre la organización y sobre la función de informática a evaluar. Para
ello es preciso hacer una investigación preliminar y algunas entrevistas
previas, con base en esto planear el programa de trabajo, el cual deberá
incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o
formular durante el desarrollo de la misma.
Investigación Preliminar
Se deberá observar el estado general del área, su situación
dentro de la organización, si existe la información solicitada, si es o no
necesaria y la fecha de su última actualización.
Se debe hacer la investigación preliminar solicitando y
revisando la información de cada una de las áreas basándose en los siguientes
puntos:
Administración
Se recopila la información para obtener una visión general
del departamento por medio de observaciones, entrevistas preliminares y
solicitud de documentos para poder definir el objetivo y alcances del
departamento.
Para analizar y dimensionar la estructura por auditar se debe solicitar
a nivel del área de informática
Objetivos a corto y largo plazo.
Recursos materiales y técnicos
Solicitar documentos sobre los equipos, número de ellos, localización y
características.
Estudios de viabilidad.
Número de equipos, localización y las características (de los equipos
instalados y por instalar y programados)
Fechas de instalación
de los equipos y planes de instalación.
Contratos vigentes de
compra, renta y servicio de mantenimiento.
Contratos de seguros.
Convenios que se
tienen con otras instalaciones.
Configuración de los
equipos y capacidades actuales y máximas.
Planes de expansión.
Ubicación general de
los equipos.
Políticas de
operación.
Políticas de uso de
los equipos.
SISTEMAS
Descripción general
de los sistemas instalados y de los que estén por instalarse que contengan
volúmenes de información.
Manual de formas.
Manual de
procedimientos de los sistemas.
Descripción genérica.
Diagramas de entrada,
archivos, salida.
Salidas.
Fecha de instalación
de los sistemas.
Proyecto de
instalación de nuevos sistemas.
En el momento de hacer la planeación de
la auditoria o bien su realización, debemos evaluar que pueden presentarse las
siguientes situaciones.
Se solicita la información y se ve que:
No tiene y se
necesita.
No se tiene y no se
necesita.
Se tiene la
información pero:
No se usa.
Es incompleta.
No esta actualizada.
No es la adecuada.
Se usa, está
actualizada, es la adecuada y está completa.
En el caso de No se tiene y no se necesita, se debe evaluar la causa por
la que no es necesaria. En el caso de No se tiene pero es necesaria, se debe
recomendar que se elabore de acuerdo con las necesidades y con el uso que se le
va a dar. En el caso de que se tenga la información pero no se utilice, se debe
analizar por que no se usa. En caso de que se tenga la información, se debe
analizar si se usa, si está actualizada, si es la adecuada y si está completa.
El éxito del análisis crítico depende
de las consideraciones siguientes:
Estudiar hechos y no
opiniones (no se toman en cuenta los rumores ni la información sin fundamento)
Investigar las
causas, no los efectos.
Atender razones, no
excusas.
No confiar en la
memoria, preguntar constantemente.
Criticar
objetivamente y a fondo todos los informes y los datos recabados.
Evaluación De Sistemas
La elaboración de sistemas debe ser evaluada con mucho
detalle, para lo cual se debe revisar si existen realmente sistemas
entrelazados como un todo o bien si existen programas aislados. Otro de los
factores a evaluar es si existe un plan estratégico para la elaboración de los
sistemas o si se están elaborados sin el adecuado señalamiento de prioridades y
de objetivos.
El plan
estratégico deberá establecer los servicios que se presentarán en un futuro
contestando preguntas como las siguientes:
¿Cuáles
servicios se implementarán?
¿Cuándo se
pondrán a disposición de los usuarios?
¿Qué
características tendrán?
¿Cuántos
recursos se requerirán?
La estrategia de
desarrollo deberá establecer las nuevas aplicaciones, recursos y la
arquitectura en que estarán fundamentados:
¿Qué
aplicaciones serán desarrolladas y cuando?
¿Qué tipo de
archivos se utilizarán y cuando?
¿Qué bases de
datos serán utilizarán y cuando?
¿Qué lenguajes
se utilizarán y en que software?
¿Qué
tecnología será utilizada y cuando se implementará?
¿Cuantos
recursos se requerirán aproximadamente?
¿Cuál es
aproximadamente el monto de la inversión en hardware y software?
En lo referente a
la consulta a los usuarios, el plan estratégico debe definir los requerimientos
de información de la dependencia.
¿Qué estudios
van a ser realizados al respecto?
¿Qué
metodología se utilizará para dichos estudios?
¿Quién
administrará y realizará dichos estudios?
En el área de
auditoría interna debe evaluarse cuál ha sido la participación del auditor y
los controles establecidos.
Por último, el
plan estratégico determina la planeación de los recursos.
¿Contempla el
plan estratégico las ventajas de la nueva tecnología?
¿Cuál es la
inversión requerida en servicios, desarrollo y consulta a los usuarios?
El proceso de planeación de sistemas deberá asegurarse de
que todos los recursos requeridos estén claramente identificados en el plan de
desarrollo de aplicaciones y datos. Estos recursos (hardware, software y
comunicaciones) deberán ser compatibles con la arquitectura y la tecnología,
conque se cuenta actualmente.
Ejecucion Auditoria
Informatica
- Definición del alcance
- Definición de los objetivos de auditoría
- Definición del programa de trabajo
Metodologia
Procedimientos
- Entendimiento del área u objeto a
auditar
- Valoración de riesgos y plan general
- Revisión preliminar del área u objeto
a auditar
- Evaluación del área u objeto a auditar
- Pruebas de cumplimiento
- Pruebas sustantivas
- Reporte (comunicación de resultados)
- Seguimiento
Fases
- El área a auditar
- El propósito de la auditoría
- Los sistemas específicos, funciones o
unidades de la organización a ser incluidas en la revisión.
- Las habilidades técnicas y recursos
necesarios
- Las fuentes de información para
pruebas
- Lista de personas a entrevistar
- Obtener políticas departamentales,
estándares y guías para revisión
- Procedimientos para revisiones de
seguimiento
- Procedimientos para evaluar/probar la
eficiencia y efectividad operacional
- Procedimientos para probar controles
Desarrollar
-
Herramientas y metodología de auditoría para probar y verificar el control.
-
Procedimientos para evaluar los resultados de las pruebas o revisiones
-
Procedimientos de comunicación con la gerencia
Evidencia
- Independencia del proveedor de la
evidencia
- Calificación de la persona que provee
la información o evidencia
- Objetividad de la evidencia
- Oportunidad de la evidencia
Es un
requerimiento que las conclusiones del auditor deben basarse en evidencia
suficiente y competente
Deriva
en...
-
Revisar las estructuras organizacionales
-
Revisar las políticas, procedimientos y estándares
-
Revisar documentación de
-
Entrevistar al personal apropiado
-
Observar el desempeño de los procesos y de los empleados
Informes
- Los informes de auditoría son el
producto final del auditor de sistemas.
- Ese es el vehículo que el auditor
utiliza para informar sus observaciones y recomendaciones a la gerencia.
- El formato exacto del informe variará
según la organización
No hay comentarios:
Publicar un comentario