METODOS DE AUDITORIA

Papel Del Auditor Informático

Papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.

Entre otras cosas el auditor también deberá:

Ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada

Establecer los requisitos mínimos, aconsejables y óptimos para su adecuación del sistema auditado con la finalidad de que cumpla para lo que fue diseñado

Abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado

El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía

Prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor

actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado.

actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal

facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico.

¿Qué es Auditar en el área informática?

Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.

Tipos de Auditorias

Auditoria Informática De Explotación

Se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.

Auditoria Informática de Desarrollo de Proyectos o Aplicaciones

Es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

Prerrequisitos del usuario y del entorno Análisis funcionalDiseñoAnálisis orgánico (pre programación y programación)PruebasExplotación

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc

Auditoria Informática de SistemasSe ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores

Auditoria Informática de Comunicación y Redes

Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada

Auditoria de la Seguridad Informática:

Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.

Campos de Acción de la Auditoria Informática

Su campo de acción será:

a)Evaluación administrativa del área de informática.

b)Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.

c)Evaluación del proceso de datos y de los equipos de procesamiento.

Planeación de la Auditoria Informática

Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

La planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:

Evaluación de los sistemas y procedimientos.Evaluación de los equipos de cómputo.

Herramientas y Técnicas para la Auditoría Informática

Las auditorías informáticas se materializan recabando información. Lo habitual es comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.

Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.

Cuestionarios

El auditor comienza a continuación las relaciones personales con el auditado unas de las formas mas comunes de hacerlo es mediante entrevistas

La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo

Entrevistas

El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:

Checklist

Checklist de rango

Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)

Checklist Binario

Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.

Trazas y/o HuellasCon frecuencia, el auditor informático debe verificar que

los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Dichos Software es conocido como trazas o huellas.

Software de Interrogación

En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.

Clasificación por Áreas de Aplicación de la Auditoria Informática

PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.

ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.

DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.

EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.

ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.

ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.

Controles

Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.

Clasificación de Controles

Controles PreventivosSon aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.

Controles detectivosSon aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.

Controles Correctivos

Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.

Principales Controles físicos y lógicosAutenticidadExactitudTotalidadRedundanciaPrivacidadExistenciaProtección de ActivosEfectividadEficiencia

Controles automáticos o lógicos

Periodicidad de cambio de claves de accesoCombinación de alfanuméricos en claves de accesoIndividualesConteo de registrosConfidencialesNo significativasVerificación de datos de entradaTotales de ControlVerificación de limitesVerificación de secuenciasDígito autoverificadorUtilizar software de seguridad en los microcomputadores

Controles administrativos en un ambiente de Procesamiento de Datos

La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:

1. Controles de Preinstalación2. Controles de Organización y Planificación3. Controles de Sistemas en Desarrollo y Producción4. Controles de Procesamiento5. Controles de Operación6. Controles de uso de Microcomputadores

Controles de organización y Planificación

Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:

Diseñar un sistemaElaborar los programasOperar el sistemaControl de calidad