Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

Controles de Auditoría Básicos Los controles se presentan agrupados siguiendo criterios relacionados con: Economía, eficacia y eficiencia Seguridad y Condiciones legales Estos controles son lo suficientemente generales para servir de base en la elaboración del guión de trabajo de la labor del equipo auditor

Economía, eficacia y eficiencia Determinar si el inventario ofimático refleja con exactitud los equipos y aplicaciones existentes en la organización 1. El equipo auditor comprobará que se han definido mecanismos para garantizar que todos los equipos adquiridos en la organización son debidamente inventariados. 2. Comprará la última auditoría financiera del inventario oficial y las adquisiciones efectuadas 3. Revisará todas las dependencias, almacenes y archivos, elaborará una relación exhaustiva de los equipos informáticos y de las aplicaciones y archivos que residen en los mismos. 4. Identificará las diferencias reales entre la relación elaborada por el equipo auditor y el inventario oficial para proceder a la subsanación de los errores detectados

Economía, eficacia y eficiencia Determinar y evaluar el procedimiento de adquisiciones de equipos y aplicaciones Partiendo del inventario debidamente actualizado el auditor: Analizará los procedimientos para adquisición de los productos seguidos en los diversos departamentos de la organización Determinará la existencia de equipos y aplicaciones similares Si los diversos departamentos de la compañia realizan pedidos de manera independiente, el auditor estudiará si se está desaprovechando la posibilidad de descuentos si se aplicara una política centralizada de compras

Economía, eficacia y eficiencia Determinar y evaluar la política de matenimiento definida en la organización Examinará la utilización de las garantías de los productos adquiridos, comprobando que no ser realizan pagos innecesarios sobre equipos y aplicaciones que se encuentran en garantía. Determinará cuales productos disponen de contratos de mantenimiento vigentes con empresas externas (Verificará tiempo máximo de respuesta, recambios y mano de obra, mantenimiento preventivo, etc) y cuales recaen sobre la propia organización. Comprobará la existencia de un registro de incidencias producides, los procedimientos establecidos para asignar recursos para solucionearlas, los guiones preparados para solventar las incidencias más frecuentes y el seguimiento de las mismas hasta su solución y el tiempo empleado en atender las solicitudes y resolver las incidencias.

Economía, eficacia y eficiencia Evaluar la calidad de las aplicaciones del entorno desarrolladas por personal de la propia organización Determinará la existencia de un departamento responsible de controlar el desarrollo de aplicaciones de toda la organización. Determinará que se han definido procedimientos generales de petición, autorización, asignación de prioridades, programación y entrega de aplicaciones. Comprobará que las aplicaciones desarrolladas (propias o externas) internamente puedan configurarse para obtener las suficientes pistas de auditoria que permitan efectuar un seguimiento Examinará reclamos manifestados por clientes y usuarios para detectar que aplicaciones podrían estar funcionando de un modo anómalo.

Economía, eficacia y eficiencia Evaluar la corrección del procedimiento existente para la realización de los cambios de versiones y aplicaciones Determinará la existencia de procedimientos formalmente establecidos para la autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones. Determinará: si se analizan los problemas de integración y las incompatibilidades de los nuevos productos previamente a su implantación; si se ha establecido algún plan de formación de los usuarios finales que vayan a utilizar estos nuevos produectos; si los encargados de mantenimiento han adquirido los conocimientos suficientes para que los cambios que van a prodicirse no impacten negativamente el funcionamiento de la organización

Economía, eficacia y eficiencia Determinar si los usuarios cuentan con suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente Determinará la existencia de un plan de formación del personal en los productos que tiene que utilizar Comprobará que el personal aplica algún mecanismo adquirido en el plan de formación y el fácil acceso a la documentación básica operativa del producto

Economía, eficacia y eficiencia Determinar si el sistema existente se ajusta a las necesidades reales de la organización El equipo auditor valorará el uso de los equipos existentes, revisará las actividades que se ejecutan en cada equipo, para determinar la necesidad de actualizar los equipos o por el contrario esten sobredimensionados Elaborará una relación de los equipos que no se encuentran operativos Finalmente, elaborará una relación con recomendaciones sobre descatalogación de productos obsoletos, redistribuciones y adquisición de nuevos equipos y aplicaciones. Economía, eficacia y eficiencia

Seguridad Determinar si existen garantias suficientes para proteger los accesos no autorizados a la información reservada de la empresa y la integridad de la misma El equipo auditor examinará la documentación existente en materia de seguridad en la organización y comprobará que han sido definidos procedimientos de: clasificación de la información, control de acceso identificación y autentificación gestión de soportes gestión de incidencias controles de auditoria Luego pasará a comprobar si las medidas de seguridad definidas se encuentran realmente opertativas

Seguridad Determinar si el procedimiento de generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidad El equipo auditor examinará el procedimiento de copias de seguridad seguido en la organización verificando: La suficiencia de la periodicidad La correcta asignación de responsabilidades El adecuado almacenamiento de los soportes La correcta recuperación de la infomación respaldada

Seguridad Determinar si esta garantizado el funcionamiento ininterrumpido de aquellas aplicaciones cuya caída podría suponer pérdidas de integridad de la información y aplicaciones El equipo auditor determinará la existencia de sistemas de alimentación ininterrumpida, y si éstos cubren el funcionamiento de aquellos equipos en los que se ejecutan procesos cuya interrupción podría ocacionar graves repercusiones

Seguridad Determinar el grado de exposición ante la posibilidad de intrusión de virus El equipo auditor analizará la protección establecida en cada uno de los puntos del sistema vulnerables: puertos usb, módem, acceso a redes, lectora de CDs o DVDs, … Revisará la normativa para la instalación y actualización periodica de software antivirus, asi como, la configuración de los equipos para la detección de virus y eliminación de los mismos En caso de detectar algún virus debe informar al responsible autorizado

Normativa vigente Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones de Protección de datos de carcter personal Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones sobre la propiedad intelectual