AUDITORÍA EN INFORMÁTICA MTRO. HÉCTOR SÁNCHEZ BELLO
INTRODUCCIÓN Con frecuencia la palabra auditoría se ha empleado incorrectamente y se le ha considerad como una evaluación cuyo único fin es detectar errores y señalar fallas. Por eso se ha llegado a usar la frase “tiene auditoría” como sinónimo de que, desde antes de realizarse, ya se encontraron fallas y por lo tanto se está haciendo la auditoria.
CONCEPTO DE AUDITORÍA La auditoria es el examen crítico y sistemático que realiza una personas o grupo de personas independientes del sistema auditado.
FUNCIÓN DE LA AUDITORÍA Investigación constante de planes y objetivos Estudio de las políticas y sus prácticas Revisión constante de la estructura orgánica Estudio constante de las operaciones de la empresa Analizar la eficiencia de la utilización de recursos humanos y materiales Revisión del equilibrio de las cargas de trabajo Revisión constante de los métodos de control
CONCEPTO DE INFORMÁTICA Conjunto de conocimientos técnicos que se ocupan del tratamiento automático de la información por medio de computadoras.
DEFINICIÓN DE AUDITORIA EN INFORMÁTICA La auditoria informática es el proceso metodológico ejecutado por especialistas del área de auditoria y de informática. Está orientada a la verificación y aseguramiento de que las políticas y procedimientos establecidos para el manejo y uso adecuado de la tecnología de la información, se lleven a cabo de manera oportuna y eficiente. Que operen en un ambiente de seguridad y control para generar confiabilidad, integridad y exactitud en los datos.
INFLUENCIA DE LA AUDITORIA EN INFORMÁTICA Necesidad de controlar el uso evolucionado de las computadoras. Controlar el uso de la computadora, que cada día se vuelve más importante Los altos costos que producen los errores en una organización. Abuso en las computadoras. Posibilidad de pérdida de capacidades de procesamiento de datos. Valor del hardware, software y personal. Necesidad de mantener la privacidad individual. Posibilidad de pérdida de información o de mal uso de la misma. Toma de decisiones incorrectas Necesidad de mantener la privacidad de la organización Los factores que pueden influir en una organización a través del control y la auditoría en informática son:
OBJETIVOS DE LA AUDITORÍA EN INFORMÁTICA Se refiere a la protección del hardware, software y recursos humanos. Salvaguardar los activos. Los datos deben mantener consistencia y no duplicarse. Integridad de datos. Los sistemas deben cumplir con los objetivos de la organización. Efectividad de sistemas. Que se cumplan los objetivos con los menores recursos. Eficiencia de sistemas.Seguridad y confidencialidad.
ÉXITO DE LA AUDITORÍA EN INFORMÁTICA Estudiar hechos no opiniones Investigar las causas no los efectos Atender razones no excusas No confiar en la memoria, preguntar constantemente Criticar objetivamente y a fondo todos los informes y datos recabados Registrar TODO
BENEFICIOS DE LA AUDITORÍA EN INFORMÁTICA Mejora la imagen pública.Genera confianza en los usuarios sobre la seguridad y control de los servicios de TI.Optimiza las relaciones internas y del clima de trabajo.Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros).Genera un balance de los riesgos de TI.Realiza un control de la inversión en un entorno de TI, a menudo impredecible.
TIPOS DE AUDITORÍA Interna Los recursos y personas pertenecen a la empresa auditada La organización la controla Externa Los recursos y personas no pertenecen a la empresa auditada Distancia entre auditores y auditados: mayor objetividad
CUALIDADES Y REQUISITOS QUE DEBE POSEER UN AUDITOR: Formación (buen profesional, conocimientos completos) Experiencia Independencia (actitud mental - actuar libremente con respecto a su juicio profesional) Objetividad (actitud imparcial - no dejarse influenciar) Madurez Integridad (rectitud intachable, honestidad) Capacidad de análisis y síntesis Responsabilidad Interés Perfil específico según: nivel del puesto entorno de trabajo áreas a auditar Puesta al día de los conocimientos.
CAMPOS DE LA AUDITORÍA INFORMÁTICA 1. La evaluación administrativa del área de informática comprende: Los objetivos del departamento, dirección o gerencia. Metas, planes, políticas y procedimientos de procesos electrónicos estándares. Organización del área y su estructura orgánica. Funciones y niveles de autoridad y responsabilidad del área de procesos electrónicos. Integración de los recursos materiales y técnicos. Dirección. Costos y controles presupuestales. Controles administrativos del área de procesos electrónicos.
2. La evaluación de los sistemas y procedimientos, y de la eficiencia que se tiene en el uso de la información. Evaluación del análisis de los sistemas y sus diferentes etapas. Evaluación del diseño lógico del sistema. Evaluación del desarrollo físico del sistema. Facilidades para la elaboración de los sistemas. Control de proyectos. Control de sistemas y programación. Instructivos y documentación. Formas de implantación. Seguridad física y lógica de los sistemas. Confidencialidad de los sistemas. Controles de mantenimiento y forma de respaldo de los sistemas. Prevención de factores que puedan causar contingencias; seguros y recuperación en caso de desastre. Derechos de autor y secretos industriales.
3. La evaluación del procesamiento de datos, de los sistemas y de los equipos de cómputo (software, hardware, redes, bases de datos, comunicaciones). Controles de los datos fuente y manejo de cifras de control. Control de operación. Control de salida. Control de asignación de trabajo. Control de medios de almacenamiento masivo. Control de otros elementos de cómputo. Control de medios de comunicación. Orden en el centro de cómputo.
4. La seguridad y confidencialidad de la información, que comprende: Seguridad física y lógica. Confidencialidad. Respaldos. Seguridad del personal. Seguros. Seguridad en la utilización de los equipos. Plan de contingencia y procedimiento de respaldo para casos de desastre. Restauración de equipos y de sistemas.