Metodología para realizar auditorías de sistemas informáticos JORGE FERNANDO CRUZ PARRA

Metodología general para la auditoria en Informática  Método: Modo razonado de obrar y hablar. Manera de efectuar una operación o una secuencia de operaciones.  Metodología: Estudio de los métodos que se siguen en una investigación, un conocimiento o una interpretación.  Planeación: Es el proceso de decidir de antemano qué se hará y de qué manera. Incluye determinar las misiones globales, identificar resultados claves y fijar objetivos específicos, así como políticas de desarrollo, programas y procedimientos para alcanzarlos.  Plan: Es el curso de acción basado en el análisis de un problema, en el que hay que concretar los puntos y las partes de una situación dada, de tal suerte que sea factible ordenarlos y lograr un situación programada.

 Programa: Conjunto estructurado de diversas actividades con un cierto grado de homogeneidad respecto del producto o resultado final, al cual se le asignan recursos humanos, materiales y financieros con el fin de que produzca en un tiempo determinado bienes o servicios destinados a la satisfacción total o parcial de los objetivos señalados a una función dentro del marco de planeación.  Presupuesto: Estimación programada de forma sistemática de los ingresos y egresos de un organismo en un periodo determinado, puede considerarse como un plan de acción expresado en términos monetarios y cuyo ejercicio abarca generalmente un año de actividad. Metodología general para la auditoria en Informática

 Evento: Suceso esperado al cual se debe llegar después de una serie de actividades.  Actividad: Una o más tareas afines que forman parte de una función y que son ejecutadas por una persona o unidad administrativa.  Políticas: son esencialmente un principio o varios, relacionados entre sí, con sus consiguientes reglas de acción que condicionan y gobiernan al logro de un objetivo.  Tarea: Es la subdivisión del trabajo para concretizar una actividad.  Plan de trabajo (Gráfica de Gantt): Es la representación gráfica en la que se muestran las actividades que integran un proyecto, el periodo de tiempo necesario para realizar cada una de ellas y sus responsables, así como los de cada actividad.

Metodología de la Auditoría Serie ordenada de acciones y procedimientos específicos, los cuales deberán ser diseñados previamente de manera secuencial, cronológicas y ordenada, de acuerdo a las etapas, eventos y actividades que se requieran para su ejecución, mismos que serán establecidos conforme a las necesidades especiales de la institución.

Metodología de la Auditoría  Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría, diseñados para alcanzar los objetivos de la auditoría.  Los procedimientos se deben adaptar de acuerdo al tipo de auditoría que se va a realizar, con estricto apego a las necesidades, técnicas y métodos de evaluación del área de sistematización  La metodología de la auditoría debe ser aprobada por la gerencia de auditoría, y debe ser comunicada a todo el personal de auditoría.

Metodología: ISO 27001

METODOLOGÍA DE UNA AUDITORÍA DE SISTEMAS Existen algunas metodologías de Auditorías de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estándar analizaremos las cuatro fases básicas de un proceso de revisión: 1. Estudio preliminar 2. Revisión y evaluación de controles y seguridades 3. Examen detallado de áreas criticas 4. Comunicación de resultados

1.- Estudio preliminar Incluye definir el grupo de trabajo, el programa de auditoría, efectuar visitas a la unidad informática para conocer detalles de la misma, elaborar un cuestionario para la obtención de información para evaluar preliminarmente el control interno, solicitud de plan de actividades, Manuales de políticas, reglamentos, Entrevistas con los principales funcionarios del PAD.

2.- Revisión y evaluación de controles y seguridades Consiste de la revisión de los diagramas de flujo de procesos, realización de pruebas de cumplimiento de las seguridades, revisión de aplicaciones de las áreas criticas, Revisión de procesos históricos (backups), Revisión de documentación y archivos, entre otras actividades.

3.- Examen detallado de áreas criticas Con las fases anteriores el auditor descubre las áreas criticas y sobre ellas hace un estudio y análisis profundo en los que definirá concretamente su grupo de trabajo y la distribución de carga del mismo, establecerá los motivos, objetivos, alcance Recursos que usará, definirá la metodología de trabajo, la duración de la auditoría, Presentará el plan de trabajo y analizará detalladamente cada problema encontrado con todo lo anteriormente analizado.

4.- Comunicación de resultados Se elaborará el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentará esquemáticamente en forma de matriz, cuadros o redacción simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditoría.

Metodología general para la auditoria en Informática 1. Origen de la auditoría 2. Visita Preliminar 3. Establecer objetivos 4. Determinar los puntos que deben ser evaluados 5. Elaborar planes, presupuestos y programas 6. Seleccionar las herramientas, técnicas, métodos y procedimientos que serán utilizados en la auditoría.

Metodología general para la auditoria en Informática 7. Asignar los recursos y sistemas para la auditoría. 8. Aplicar la auditoría. 9. Identificar desviaciones y elaborar borrador de informe. 10. Presentar desviaciones a discusión 11. Elaborar borrador final de desviaciones. 12. Presentar el informe de la auditoria.

1era. etapa Planeación de la Auditoría de Sistemas Computacionales. 2da. etapa Ejecución de la Auditoría de Sistemas Computacionales. 3ra. Etapa Dictamen de la Auditoría de Sistemas Computacionales. Metodología general para la auditoria en Informática

1er etapa: Planeación de la auditoria de sistemas computacionales  Identificar origen de la auditoria.  Realizar visita preliminar al área que será evaluada.  Establecer objetivos de auditoría.  Determinar puntos que serán evaluados.  Elaborar planes, programas y presupuestos para realizar auditoría.  Identificar y seleccionar los métodos, herramientas, instrumentos y procedimientos para la auditoría.  Asignar recursos y sistemas computacionales

2da Etapa: Ejecución de la auditoria de sistemas computacionales  Realizar acciones programadas para auditoria.  Aplicar los instrumentos y herramientas para la auditoria.  Identificar y elaborar los documentos de desviaciones encontradas.  Elaborar el dictamen preliminar y presentarlo a discusión.  Integrar la documentación de trabajo de la auditoria.

3er. Etapa: Dictamen de la auditoria de sistemas computacionales  Analizar la información y elaborar un informe de situaciones detectadas.  Elaborar el dictamen final.  Presentar el informe de auditoría.

Bibliografía ECHENIQUE, J. (2001). Auditoría en Informática. México: McGraw-Hill. ACHA, J. (1994). Auditoría Informática en la Empresa. Madrid: Paraninfo S. A. Contraloría General del Estado. (2014). Normas de Control Interno. Quito: Contraloría General del Estado. ECHENIQUE, J. (2001). Auditoría en Informática. México: McGraw-Hill. ISACA, I. S. (2013). Cobit EEUU: ISACA. MUÑOZ, C. (2002). Auditoría en Sistemas Computacionales. México: Person Educación.