Auditoria de Sistemas e Informtica

Docente: Ing. Adin Snchez Snchez

Tema: Planeacin y Programacin de una Auditoria

Informtica

Introduccin

Nuestro tema est enfocado al estudio de la Auditoria de

Sistemas e Informtica, aprenderemos de como se

desarrolla la planeacin de una auditoria en informtica

y cual es la metodologa a seguir.

.

Planeacin y programacin de una Auditoria.

Para hacer una adecuada planeacin de la auditoria en informtica, hay que seguir una serie de pasos previos que

permitirn dimensionar el tamao y caractersticas de rea dentro

del organismo a auditar, sus sistemas, organizacin y equipo.

En el caso de la auditoria en informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de los

dos objetivos:

Evaluacin de los sistemas y procedimientos. Evaluacin de los equipos de cmputo.

Para hacer una planeacin eficaz, lo primero que se requiere es

obtener informacin general sobre la organizacin y sobre la

funcin de informtica a evaluar.

Para ello es preciso hacer una investigacin preliminar y

algunas entrevistas previas, con base en esto planear el

programa de trabajo, el cual deber incluir tiempo, costo,

personal necesario y documentos auxiliares a solicitar o formular

durante el desarrollo de la misma

Metodologa de Trabajo de Auditora Informtica

El mtodo de trabajo del auditor pasa por las siguientes

etapas:

Alcance y Objetivos de la Auditora Informtica.

Estudio inicial del entorno auditable.

Determinacin de los recursos necesarios para realizar la auditora.

Elaboracin del plan y de los Programas de Trabajo.

Actividades propiamente dichas de la auditora.

Confeccin y redaccin del Informe Final.

Redaccin de la Carta de Introduccin

Definicin de Alcance y Objetivos alcance de la auditora

expresa los lmites de la misma.

Debe existir un acuerdo muy preciso entre auditores y clientes

sobre las funciones, las materias y las organizaciones a auditar.

Estudio Inicial

Para realizar dicho estudio ha de examinarse las funciones y

actividades generales de la informtica.

Para su realizacin el auditor debe conocer lo siguiente:

Organizacin

Entorno Operacional

Aplicaciones bases de datos y ficheros

Recursos materiales

Recursos Humanos

Organizacin

Para el equipo auditor, el conocimiento de quin ordena,

quin disea y quin ejecuta es fundamental. Para realizar

esto el auditor deber fijarse en:

1)Organigrama:

El organigrama expresa la estructura oficial de la

organizacin a auditar.

Si se descubriera que existe un organigrama fctico

diferente al oficial, se pondr de manifiesto tal

circunstancia.

2) Departamentos:

Se entiende como departamento a los rganos que siguen

inmediatamente a la Direccin.

3) Relaciones Jerrquicas y funcionales entre rganos

de la Organizacin:

El equipo auditor verificar si se cumplen las relaciones

funcionales y Jerrquicas previstas por el organigrama, o por

el contrario detectar, por ejemplo, si algn empleado tiene

dos jefes.

4) Flujos de Informacin:

Adems de las corrientes verticales intradepartamentales, la

estructura organizativa cualquiera que sea, produce corrientes

de informacin horizontales y oblicuas extradepartamentales.

5) Nmero de Puestos de trabajo:

El equipo auditor comprobar que los nombres de los Puestos

de Trabajo de la organizacin corresponden a las funciones

reales y/o distintas.

6)Nmero de personas por Puesto de Trabajo:

Es un parmetro que los auditores informticos deben

considerar. La inadecuacin del personal determina que el

nmero de personas que realizan las mismas funciones rara

vez coincida con la estructura oficial de la organizacin

Entorno Operacional

a) Situacin geogrfica de los Sistemas:

Se determinar la ubicacin geogrfica de los distintos Centros de

Proceso de Datos en la empresa. A continuacin, se verificar la

existencia de responsables en cada unos de ellos, as como el uso de

los mismos estndares de trabajo.

b) Arquitectura y configuracin de Hardware y Software:

Cuando existen varios equipos, es fundamental la configuracin

elegida para cada uno de ellos, ya que los mismos deben constituir

un sistema compatible e intercomunicado.

c) Inventario de Hardware y Software:

El auditor recabar informacin escrita, en donde figuren todos

los elementos fsicos y lgicos de la instalacin. En cuanto a

Hardware figurarn las CPUs, unidades de control local y

remotas, perifricos de todo tipo, etc.

Aplicaciones bases de datos y ficheros

El estudio inicial que han de realizar los auditores se cierra y culmina

con una idea general de los procesos informticos realizados en la

empresa auditada. Para ello debern conocer lo siguiente:

Volumen, antigedad y complejidad de las Aplicaciones

Metodologa del Diseo.

Se clasificar globalmente la existencia total o parcial de metodologia

en el desarrollo de las aplicaciones Cantidad y complejidad de Bases de

Datos y Ficheros.

El auditor recabar informacin de tamao y caractersticas de las

Bases de Datos, clasificndolas en relacin y jerarquas

Determinacin de recursos de la auditoria Informtica

Mediante los resultados del estudio inicial realizado, se procede a

determinar los recursos humanos y materiales que han de

emplearse en la auditoria.

Elaboracin del plan y de los Programas de Trabajo.

Una vez asignados los recursos, el responsable de la

auditora y sus colaboradores establecen un plan del trabajo.

Decidido ste, se procede a la programacin del mismo.

Actividades de la Auditoria Informtica

Auditoria por temas generales o por reas especficas:

La auditoria Informtica general se realiza por reas generales

o por reas especficas. Si se examina por grandes temas,

resulta evidente la mayor calidad y el empleo de ms tiempo

total y mayores recursos.

Informe Final

La funcin de la auditoria se materializa exclusivamente por

escrito. Por lo tanto la elaboracin final es el exponente de su

calidad.

Estructura del informe final:

El informe comienza con la fecha de inicio de la auditoria y la fecha

de redaccin del mismo. Se incluyen los nombres del equipo

auditor y los nombres de todas las personas entrevistadas, con

indicacin de la jefatura, responsabilidad y puesto de trabajo que

ostente.

Cuerpo expositivo:

Para cada tema, se seguir el siguiente orden a saber:

a)Situacin actual. Se expondr la situacin prevista y la situacin

real del lugar.

b) Tendencias. Se tratarn de hallar parmetros que permitan

establecer tendencias futuras.

c) Puntos dbiles y amenazas.

d) Recomendaciones y planes de accin.

Constituyen junto con la exposicin de puntos dbiles, el

verdadero objetivo de la auditoria informtica.

e) Redaccin posterior de la Carta de Introduccin o

Presentacin.

Conocido como el informe final de la auditora informtica

Carta de introduccin o presentacin del informe final:

La carta de introduccin tiene especial importancia porque en ella

ha de resumirse la auditora realizada.

Se destina exclusivamente al responsable mximo de la empresa,

o a la persona concreta que encargo o contrato la auditora.

As como pueden existir tantas copias del informe Final como

solicite el cliente, la auditora no har copias de la citada carta de

Introduccin.

La carta de introduccin poseer los siguientes atributos:

1.Tendr como mximo 4 folios.

2.Incluir fecha, naturaleza, objetivos y alcance.

3.Cuantificar la importancia de las reas analizadas.

4.Proporcionar una conclusin general, concretando las reas de

gran debilidad.

5.Presentar las debilidades en orden de importancia y gravedad.

6.En la carta de Introduccin no se escribirn nunca

recomendaciones.