Unidad III Auditoría de la función informática

Objetivo El alumno establecerá los procedimientos de una auditoría en informática para contribuir a la optimización de los recursos informáticos.

Resultado de aprendizaje Entregará un documento con base en un caso de estudio que incluya:  Planeación de la Auditoría Informática Instrumentos Resultados de Auditoría. planeación resultados herramientas

Auditoría Informática la auditoria informática es un examen que se realiza a los sistemas de información, con el fin, de evaluar la eficacia y eficiencia de los mismos.

Objetivos de la A.I. El control total de todo lo relacionado con la informática empresarial. El estudio de la eficiencia de los Sistemas Informáticos. La verificación del cumplimiento de los parámetros que se establecieron. La revisión de la eficaz gestión de los recursos informáticos.

Auditor Informático El Auditor informático debe velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz sistema de información.

Alcance de la auditoría informática El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoría informática, se completa con los objetivos de ésta.

Alcance de la auditoría informática El alcance ha de figurar expresamente en el Informe Final, de modo que quede perfectamente determinado no solamente hasta qué puntos se ha llegado, sino cuáles materias fronterizas han sido omitidos.

Importancia de la Auditoría Informática Entre los puntos clave que reflejan la importancia de la auditoría informática, destacamos los siguientes: La alta sistematización de las organizaciones Nuevas tecnologías Automatización de los controles Integración de la información Importancia de la información para la toma de decisiones

ETAPAS DEL PROCESO DE AUDITORIA INFORMATICA

Una adecuada planificación de una auditoria (Identificación de objetivos, recursos, diseño de procedimientos de auditoria, ejecución, pre informe e informe) incluye el diseño de un optimo programa de auditoria.

Programa de auditoria Este es un conjunto documentado de procedimientos diseñados para alcanzar los objetivos de auditoria planificados y las evidencias que satisfacerán dichos objetivos.

Programa de auditoria Constituye entonces, una guía del auditor para documentar los pasos de acción y para señalar la ubicación del material de evidencia o papeles de trabajo.

Un proceso de auditoria típico incluye: Antecedentes generales Objetivo general de la auditoria. Objetivos específicos de auditoria. Alcance de la auditoria. Identificación de recursos. Metodología. Procedimientos de auditoria. Pre-informe. Informe Final.

1. Antecedentes generales Identificación de la industria, empresa, conocimiento general del sistema u objeto de estudio en donde se desenvolverá la auditoria. Organización: Estructura organizativa del Departamento de Informática a auditar –Entorno de Operación: Entorno de trabajo –Aplicaciones Informáticas: Procesos informáticos realizados en la empresa auditada •Bases de Datos •Ficheros

2. Objetivo general de la auditoria Los principales objetivos que constituyen a la auditoría Informática son: El control de la función informática, El análisis de la eficacia del Sistema Informático, La verificación de la implantación de la Normativa, Y la revisión de la gestión de los recursos informáticos.

3. Objetivos específicos de la auditoria El auditor debe comprender con exactitud los deseos y pretensiones del cliente. Algunos ejemplos de objetivos específicos son los siguientes: Contrastar algún informe interno con el que resulte del externo. Evaluación del funcionamiento de áreas informáticas en un determinado departamento. Aumentos de seguridad y fiabilidad. Aumento de calidad. Disminución de costos o plazos

4. Alcance de la auditoria Identifica el entorno específico o unidades de la organización que se han de incluir en la revisión; o aplicaciones o módulos a auditar en un sistema computacional, referido a un periodo de tiempo determinado y lo que se excluye de la auditoria.

5. Identificación de recursos Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.

Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.

Los recursos materiales del auditor son de dos tipos: a. Recursos materiales Software Programas propios de la auditoria: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos. b. Recursos materiales Hardware Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cuál habrá de convenir, tiempo de maquina, espacio de disco, impresoras ocupadas, etc.

Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable.

Recursos Humanos Es igualmente reseñable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.

6. Metodología En la actualidad existen tres tipos de metodologías de auditoría informática: R.O.A. (RISK ORIENTED APPROACH), diseñada por Arthur Andersen. CHECKLIST o cuestionarios. AUDITORIA DE PRODUCTOS (por ejemplo, Red Local Windows NT; sistemas de Gestión de base de Datos DB2; paquete de seguridad RACF, etc.).

Metodología R.O.A. (RISK ORIENTED APPROACH),. Enfoque Orientado a RIESGO Esta evaluación de riesgos se desarrolla sobre determinadas áreas de aplicación y bajo técnicas de cuestionarios adaptados a cada entorno especifico; deberá tenerse en cuenta que determinados controles se repetirían en diversas áreas de riesgo.

Fases de la evaluación Riesgo en la continuidad del proceso Son aquellos riesgos de situaciones que pudieran afectar a la realización del trabajo informático o incluso que pudieran llegar a paralizarlo, y, por ende, llegar a perjudicar gravemente a la empresa o incluso también a paralizarla. Riesgos en la eficacia del servicio informático Entenderemos como eficacia del servicio la realización de los trabajos encomendados. Así pues, los riesgos en la eficacia serán aquellos que alteren dicha realización o que afecten a la exactitud de los resultados ofrecidos por el servicio informático. Riesgo en la eficiencia del servicio informático Entenderemos como eficiencia del servicio la mejor forma de realizar los procesos o trabajos, ya sea a nivel económico o técnico, pretendiendo con el análisis de estos riesgos mejorar la calidad de servicio. Riesgos económicos directos En cuanto a estos riesgos se analizarán aquellas posibilidades de desembolsos directos inadecuados, gastos varios que no deberían producirse, e incluso aquellos gastos derivados de acciones ilegales con o sin consentimiento de la empresa que pudieran transgredir la normativa de la empresa o las leyes vigentes. Riesgos de la seguridad lógica Todos aquellos que posibiliten accesos no autorizados a la información mecanizada mediante técnicas informáticas o de otro tipos. Riesgos de la seguridad física Comprenderán todos aquellos que actúen sobre el deterioro o aprobación de elementos de información de una forma meramente física.

METODOLOGIA CHECKLIST El auditor revisa o audita los controles con la ayuda de una lista de control (checklist) que consta de una serie de preguntas o cuestiones a verificar. La evaluación consiste en identificar la existencia de unos controles establecidos.

METODOLOGIA CHECKLIST Las listas de control suelen utilizarse por los auditores, generalmente por auditores con poca experiencia, como una guía de referencia, para asegurar que se han revisado todos los controles.

METODOLOGIA CHECKLIST En nuestro caso particular se ha dividido la lista de control en los siguientes apartados: Conocimiento del sistema: Inventario Software Planes de contingencia Seguridad

METODOLOGIA CHECKLIST CONOCIMIENTO DEL SISTEMA: INVENTARIO SI NO N/A ¿Hay un inventario en la compañía de Sistemas, Hardware y Datos? ¿Ha hecho revisar el inventario por un especialista (auditor, consultor, experto en informática...) externo a la empresa? ¿Se sabe quiénes son los propietarios de los elementos del inventario? ¿Se sabe quiénes son los usuarios de los elementos del inventario? ¿Existe un criterio para valorar cuáles son los elementos críticos del inventario? ¿Se distingue en ese criterio entre: Riesgos para el negocio, riesgos para el servicio prestado a los clientes y riesgo de parálisis de la gestión de la Compañía? ¿Han validado ese criterio los jefes de Gestión de la Empresa y los jefes de Informática? ¿Se ha realizado, por lo tanto, un ranking de los elementos más críticos? ¿Se van a comenzar las pruebas y actualizaciones, por lo tanto, siguiendo el orden del ranking?

METODOLOGIA CHECKLIST CONOCIMIENTO DEL SISTEMA: SOFTWARE SI NO N/A ¿Ha tenido en cuenta las distintas versiones de los elementos Software? ¿Es posible modificar y mejorar el código fuente de sus programas a medida? ¿Está disponible el código fuente? ¿Se han hecho estudios coste/beneficio sobre si cambiar los sistemas del departamento o mejorarlos? ¿ Se han hecho estudios que revelan cuál es la manera más sencilla y menos costosa de cambiar y mejorar el sistema? ¿Ha identificado qué códigos fuente son propiedad de otras entidades? ¿Existe un contrato de utilización con los propietarios? ¿Va a exigirles a los propietarios de dichos códigos un informe de progresos? ¿Tiene asesoramiento legal para asegurarse de que dichos contratos son correctos y puede exigir compensaciones económicas en caso de incumplimiento? ¿Ha verificado en general los productos adquiridos recientemente?(contratos de utilización, códigos fuente,...) ¿Su suministrador de software sigue el negocio?

METODOLOGIA CHECKLIST CONOCIMIENTO DEL SISTEMA: PLANES DE CONTINGENCIA SI NO N/A ¿El personal de la organización sabe que tiene soporte si ocurren problemas? ¿Existen planes de contingencia y continuidad que garanticen el buen funcionamiento del Repositorio o Diccionario de Datos? ¿En el plan se identifican todos los riesgos y sus posibles alternativas?

Técnicas de auditoria Las técnicas de auditoría se refieren a los métodos usados por el auditor para recolectar evidencia. Los ejemplos incluyen, entre otras, la revisión de la documentación, entrevistas, cuestionarios, análisis de datos y la observación física.

7. Procedimientos de auditoria Los procedimientos de auditoría son el conjunto de técnicas aplicadas por el auditor en forma secuencial; desarrolladas para comprender la actividad o el área objeto del examen; para recopilar la evidencia de auditoría; para respaldar una observación o hallazgo; para confirmar o discutir un hallazgo, observación o recomendación con la administración. Informacion del área a auditar. Se hara un recorrido por el area para observar su organizacion. Recopilación de Datos. Se utilizará la tecnica de Checklist para obtener los datos. Soporte de evidencias. Se tomaran fotografias como respaldo de las evidencias encontradas. Discusiones de hallazgos. Mediante un documento de google los auditores comunicaran los hallazgos. Recomendaciones . Se emitiran recomendaciones por escrito a la Dirección

8. Pre-informe Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste de opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor.

9. Informe Final

Estructura del informe final: El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.

Estructura del informe final Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real. b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas. d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación.

La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 folios. Incluirá fecha, naturaleza, objetivos y alcance. Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.