Metodos de Auditoría Informatica 4
description
Transcript of Metodos de Auditoría Informatica 4
METODOS DE AUDITORIA
Papel Del Auditor Informático
Papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Entre otras cosas el auditor también deberá:
Ver cuando se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada
Establecer los requisitos mínimos, aconsejables y óptimos para su adecuación del sistema auditado con la finalidad de que cumpla para lo que fue diseñado
Abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado
El auditor al igual que otros profesionales pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía
Prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor
actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado.
actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal
facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico.
¿Qué es Auditar en el área informática?
Conjunto de procedimientos y técnicas para evaluar y controlar total o parcialmente un sistema informático con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan eficientemente de acuerdo con las normas informáticas y gener5ales existentes en cada empresa y para conseguir la eficacia exigida en el marco de la organización correspondiente.
Tipos de Auditorias
Auditoria Informática De Explotación
Se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad.
Auditoria Informática de Desarrollo de Proyectos o Aplicaciones
Es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:
Prerrequisitos del usuario y del entorno Análisis funcionalDiseñoAnálisis orgánico (pre programación y programación)PruebasExplotación
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc
Auditoria Informática de SistemasSe ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores
Auditoria Informática de Comunicación y Redes
Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada
Auditoria de la Seguridad Informática:
Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total.
Campos de Acción de la Auditoria Informática
Su campo de acción será:
a)Evaluación administrativa del área de informática.
b)Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.
c)Evaluación del proceso de datos y de los equipos de procesamiento.
Planeación de la Auditoria Informática
Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.
La planeación es fundamental, pues habrá que hacerla desde el punto de vista de los dos objetivos:
Evaluación de los sistemas y procedimientos.Evaluación de los equipos de cómputo.
Herramientas y Técnicas para la Auditoría Informática
Las auditorías informáticas se materializan recabando información. Lo habitual es comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma.
Cuestionarios
El auditor comienza a continuación las relaciones personales con el auditado unas de las formas mas comunes de hacerlo es mediante entrevistas
La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo
Entrevistas
El auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Los cuestionarios o Checklists responden fundamentalmente a dos tipos de "filosofía" de calificación o evaluación:
Checklist
Checklist de rango
Contiene preguntas que el auditor debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1 la respuesta más negativa y el 5 el valor más positivo)
Checklist Binario
Es el constituido por preguntas con respuesta única y excluyente: Si o No. Aritméticamente, equivalen a 1(uno) o 0(cero), respectivamente.
Trazas y/o HuellasCon frecuencia, el auditor informático debe verificar que
los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa. Dichos Software es conocido como trazas o huellas.
Software de Interrogación
En la actualidad, los productos Software especiales para la auditoría informática se orientan principalmente hacia lenguajes que permiten la interrogación de ficheros y bases de datos de la empresa auditada. Estos productos son utilizados solamente por los auditores externos, por cuanto los internos disponen del software nativo propio de la instalación.
Clasificación por Áreas de Aplicación de la Auditoria Informática
PLANIFICACIÓN: Donde se pasa revista a las distintas fases de la planificación.
ORGANIZACIÓN Y ADMINISTRACIÓN: en este punto se examinaran aspectos como las relaciones con los usuarios, con los proveedores, asignación de recursos, procedimientos, etc.
DESARROLLO DE SISTEMAS: área importante donde la auditoría deberá velar por la adecuación de la informática a las necesidades reales de la Empresa.
EXPLOTACIÓN: aquí se analizarán los procedimientos de operación y explotación en el centro de proceso de datos.
ENTORNO DE HARDWARE: donde se vigilará entre otras cosas los locales, el software de acceso, alarmas, sistemas anti-incendios, protección de los sistemas, fiabilidad del Hardware, etc.
ENTORNO DEL SOFTWARE: en esta área la Auditoria Informática analizará los sistemas de prevención y detección de fraudes, los exámenes a aplicaciones concretas, los controles a establecer, en definitiva, todo lo relacionado con la fiabilidad, integridad y seguridad del software.
Controles
Conjunto de disposiciones metódicas, cuyo fin es vigilar las funciones y actitudes de las empresas y para ello permite verificar si todo se realiza conforme a los programas adoptados, órdenes impartidas y principios admitidos.
Clasificación de Controles
Controles PreventivosSon aquellos que reducen la frecuencia con que ocurren las causas del riesgo, permitiendo cierto margen de violaciones.
Controles detectivosSon aquellos que no evitan que ocurran las causas del riesgo sino que los detecta luego de ocurridos. Son los mas importantes para el auditor. En cierta forma sirven para evaluar la eficiencia de los controles preventivos.
Controles Correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de controles detectivos sobre los controles correctivos, debido a que la corrección de errores es en sí una actividad altamente propensa a errores.
Principales Controles físicos y lógicosAutenticidadExactitudTotalidadRedundanciaPrivacidadExistenciaProtección de ActivosEfectividadEficiencia
Controles automáticos o lógicos
Periodicidad de cambio de claves de accesoCombinación de alfanuméricos en claves de accesoIndividualesConteo de registrosConfidencialesNo significativasVerificación de datos de entradaTotales de ControlVerificación de limitesVerificación de secuenciasDígito autoverificadorUtilizar software de seguridad en los microcomputadores
Controles administrativos en un ambiente de Procesamiento de Datos
La máxima autoridad del Área de Informática de una empresa o institución debe implantar los siguientes controles que se agruparan de la siguiente forma:
1. Controles de Preinstalación2. Controles de Organización y Planificación3. Controles de Sistemas en Desarrollo y Producción4. Controles de Procesamiento5. Controles de Operación6. Controles de uso de Microcomputadores
Controles de organización y Planificación
Se refiere a la definición clara de funciones, linea de autoridad y responsabilidad de las diferentes unidades del área PAD, en labores tales como:
Diseñar un sistemaElaborar los programasOperar el sistemaControl de calidad