Proceso sistemático para evaluar objetivamente las actividades de una organización, con el fin de identificar y evaluar niveles de riesgos y presentar recomendaciones para un mejoramiento continuo. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si los controles establecidos, permiten salvaguardar los recursos informáticos y garantizan la integridad, disponibilidad y confidencialidad de los datos e información de la empresa, si lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. La auditoría informática es el proceso de recoger, agrupar y evaluar evidencias para determinar si los controles establecidos, permiten salvaguardar los recursos informáticos y garantizan la integridad, disponibilidad y confidencialidad de los datos e información de la empresa, si lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. La evidencia de auditoría es la información que obtiene el auditor para extraer conclusiones en las cuales sustenta su opinión
Proceso Evaluar Verificar Recursos Informáticos Normas Políticas Procedimientos Controles Para De Del De Estandares
Asegurar: La integridad de los datos e información, La confidencialidad de los datos e información y La Disponibilidad de los datos e información. Evaluar que los controles garanticen la seguridad del personal, los datos, el hardware, el software y las instalaciones. Prever la existencias de riesgos en el uso de Tecnologías de información. Evaluar la aplicación de las normas, las políticas, y los procedimientos informáticos.
Auditoria Informática Mide Desempeño de Los Sistemas de Información Controles normas, políticas Mejoramiento Continuo Integridad Confidencialidad Disponibilidad Para garantizar De la Gestión Informática De los recursos Informáticos
Comprobar la seguridad y confiabilidad de la información, administrativa, operativa, financiera, legal etc., desarrollada dentro de la Empresa. Evaluar las competencias del personal del CPD. Participar en el desarrollo de los sistemas de información o en su compra, a fin de verificar la incorporación o diseño de los controles necesarios para garantizar su operatividad en forma confiable,eficiente y segura.
El alcance de la auditoría expresa el entorno y los límites en que se ejecutara la misma. Debe especificar que áreas, normas, procesos o politicas especificas se van a auditar.
Baja Productividad de los empleados que trabajan con sistemas de información. Informes que se entregan a destiempo o con errores. Perdida o Ausencia de datos. Fallas constantes de los sistemas de nformación. Aumento considerable e injustificado del presupuesto del Dpto. de Informática. Descubrimiento de fraudes efectuados con el computador.
No definición de políticas, objetivos, normas, metodologías computacionales. Descontento general de los usuarios por fallas en los sistemas de información. Verificación de los controles de seguridad establecidos por la implementación de nuevas tecnologías.
Planeación Ejecución Información.
Planeación Identificar la infraestructura informática del (centro de computo o CPD). Conocer las políticas, normas, procedimientos y estándares de esta área La Planeación debe definir: objetivos. metodología. personal participante, duración, horario, Alcance Elaboración de cronogramas Planeación de la muestra.
EJECUCION Revisión y evaluación de controles, normas, políticas de seguridad, diagramas, procesos históricos (backups), documentación. Examen detallado de áreas criticas. Análisis de Vulnerabilidad, Amenazas y Riesgos evaluación de Riesgos y su impacto. Recolección de evidencias y hallazgos
Hallazgos de auditoría Resultados de la evaluación de la evidencia de auditoría recopilada durante el proceso de ejecución de auditoría. NOTA Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad y pueden generar oportunidades de mejora.
INFORMACION Redacción del Informe final (comunicación de resultados: Relación de evidencias y hallazgos. Conformidades y no conformidades encontradas. Causas. Sugerencias. Solicitud de planes de acción.
Son los métodos prácticos de investigación y prueba que utiliza el auditor para obtener la evidencia necesaria que fundamente sus opiniones y conclusiones. Su empleo se basa en su criterio o juicio, según las circunstancias.
Son formatos previamente diseñados por el Auditor y que se entregan al auditado, con el fin de que lo diligencie. Los datos contestados se confrontan con otros medios.
La entrevista es una de las actividades personales más importante del auditor; en ellas, recoge más información, y mejor matizada, que la proporcionada por medios como las respuestas escritas a cuestionarios.entrevista La entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio.
Es un formato con un listado de preguntas, sobre un tema especifico y el cual debe contestar el auditado, con respuestas cerradas (si, no) o con calificaciones.
Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación: Checklist de rango Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
Las respuestas tienen los siguientes significados: 1 : Muy deficiente. 2 : Deficiente. 3 : Mejorable. 4 : Aceptable. 5 : Correcto.
Checklist Binaria Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente
Trazas y/o Huellas: El auditor informático debe verificar que los programas, realicen exactamente las funciones previstas, y no otras. Para ello se apoya en Software un especial, que permite rastrear los caminos que siguen los datos a través del programa, verificando entre otras las validaciones previstas.
Log: El log es un historial que informa todo lo que hizo la Aplicación al ingresar, modificar, y borrar datos, (quien cuando, donde), todo queda grabado en el log como una transacción. El log permite analizar cronológicamente que fue lo que sucedió con los datos.