Make your own free website on Tripod.com

03 Enero 2005

Auditoria de la función informática

 

Horario:

Lunes 9 a 11

Miércoles 11 a 1

Viernes 9 a 10

 

Unidad I. Fundamentos de la auditoria

Unidad II. Planeación de la auditoria en informática

Unidad III. Auditoria de la función informática

Unidad IV. Seguridad física y lógica

Unidad V. Evaluación de la función informática

 

Bibliografía

Auditoria informática < Un enfoque práctico>

Ra-ma editorial, Madrid España

Mario G. Piattini, Emilio del Peso

Laboratorio – Lunes 2 Hrs.

Auditoria en informática

Echenique José Antonio

McGraw Hill

 

Criterios de Evaluación Parcial

Examen                                    à 60%

Participación & Asistencia       à 10%

Tareas                                      à 10%

Prácticas                                  à 20%

 

Criterios de Acreditación

Promedio parcial à 70%

Proyecto final      à  30%

 

Tarea para viernes 7 de Enero

 

Personal que participa en la planeación de la auditoria en informática.

(Pasar al cuaderno).

04 Enero 2005

 


El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto, se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.

El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.

La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír.

De todo esto sacamos como deducción que la auditoría es un examen crítico pero no mecánico, que no implica la preexistencia de fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.

Perfiles profesionales de los auditores informáticos

 

Profesión

Actividades y conocimientos deseables

Informático Generalista

Con experiencia amplia en ramas distintas. Deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas.

Experto en Desarrollo de Proyectos

Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes.

Técnico de Sistemas

Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación.

Experto en Bases de Datos y Administración de las mismas.

Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación

Experto en Software de Comunicación

Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso.

Experto en Explotación y Gestión de CPD´S

Responsable de algún Centro de Cálculo. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas.

Técnico de Organización

Experto organizador y coordinador. Especialista en el análisis de flujos de información.

Técnico de evaluación de Costes

Economista con conocimiento de Informática. Gestión de costes.

 

 

05 Enero 2005

 

Unidad 1. Fundamentos de la auditoría

 

Auditoría: La auditoria viene del  latín auditorius. Es un examen crítico que se realiza con objeto  de emitir una opinión profesional para evaluar la eficiencia y eficacia de una sección o de un organismo, y determinar cursos alternativos de acción para mejorar la organización, y lograr los objetivos propuestos. La auditoría se basa en normas, procedimientos y técnicas definidas por institutos establecidos a escala nacional e internacional.

 

Tareas principales de la auditoría

 

-          Estudiar y actualizar permanentemente las áreas susceptibles de revisión.

-          Apegarse a las tareas que desempeñan las normas, políticas, procedimientos y técnicas de auditoría establecidas por los organismos generalmente aceptados en el ámbito nacional e internacional.

-          Evaluación y verificación de las áreas requeridas por la alta dirección o responsables directos del negocio.

-          Elaboración del informe de auditoría (debilidades y recomendaciones).

-          Otras recomendadas por el desempeño eficiente de la auditoría.

 

Auditoría informática

 

Es el proceso de recolección y evaluación de evidencias para determinar cuando son salvaguardados los activos de los sistemas computarizados, de qué manera se mantiene la integridad de los datos y cómo se logran los objetivos de la organización de forma eficaz y cómo se usan los recursos consumidos eficientemente (se refiere a los recursos materiales y personas).

 

 

 

Clases de auditoría

 

CLASE

OBJETO

 

FINALIDAD

 

Financiera

Cuentas anuales

Presentan realidad

Informática

Sistemas de aplicación, recursos informáticos, planes de contingencia, etc.

Operatividad eficiente según normas establecidas.

Gestión

Dirección.

Eficacia, eficiencia, economicidad.

Cumplimiento

Normas establecidas.

Las operaciones se adecuan a las normas

Administrativa/Operacional

Precisar perdidas y deficiencias mejores métodos, mejores formas de control, operaciones más eficientes y mejor uso de los recursos físicos y humanos.

Examen global y constructivo de la estructura de una empresa, de una institución, una sección del gobierno o cualquier parte de un organismo.

 

 

Auditoría interna

 

Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. La auditoría interna debe estar presente en todas y cada una de las partes de la organización.

 

 

Auditoría Externa

 

Es realizada por personas a fines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la auditoría interna, debido al mayor distanciamiento entre auditores y auditados.

 

Una empresa o institución que posee una auditoría interna puede y debe en ocasiones contratar servicios de auditoría externa. Las razones para hacerlo suelen ser:

  1. Necesidad de auditar una materia de gran especialización, para la cual los servicios propios no están suficientemente capacitados.
  2. Comparar algún informe interno con el que resulte del externo, cuando se tengan graves recomendaciones que chocan con la opinión generalizada de la propia empresa.

 

Auditoría en informática

Es la revisión y evaluación de los controles, sistemas y procedimientos de la informática; de los equipos de cómputo, su utilización, eficiencia y seguridad; de la organización que participa en el procesamiento de la información a fin de que por medio del señalamiento de cursos alternativos se logre una utilización mas eficiente, confiable y segura de la información que servirá para una adecuada y técnicas definidas por institutos establecidos a escala nacional e internacional.

 

Tarea

Buscar nombre para el equipo (Auditores Digitales)

 

Factores que pueden influir en una organización a través del control interno y la auditoría en informática.

 

14 Enero 2005

 

Auditor.- El diccionario lo define como revisor de cuentas colegiado. El auditor tiene la virtud de oír y revisar información pero debe estar encaminado a un objetivo específico que es el de evaluar la eficiencia y eficacia con que se esta operando. El auditor solo puede emitir un juicio global o parcial basado en hechos y situaciones, careciendo de poder modificar la situación analizada por el mismo.

 

 

Unidad II. Planeación de la auditoría en informática

 

Para hacer una adecuada planeación de la auditoría en informática, se tiene que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características de áreas dentro del organismo a auditar, sus sistemas, su organización y equipo.

Para hacer una planeación eficaz lo primero que se requiere es obtener información general sobre la organización y sobre la función informática a evaluar. Para ellos es importante hacer una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma.

 

 

La planeación deberá ser documentada e incluirá:

  1. El establecimiento de los objetivos y el alcance del trabajo
  2. La obtención de información de apoyo sobre las actividades que se auditarán
  3. La determinación de los recursos necesarios para realizar la auditoría
  4. La preparación por escrito del programa de auditoría
  5. La determinación de cómo, cuándo y a quién se le comunicarán los resultados de la auditoría
  6. La obtención de la aprobación del plan de trabajo de la auditoría

 

 

17 de Enero del 2005

En el caso de la auditoría en informática se hará desde el punto de vista de varios objetivos:

  1. Evaluación administrativa del área de procesos electrónicos
  2. Evaluación de los sistemas y procedimientos
  3. Evaluación de los equipos de cómputo
  4. Evaluación de los procesos de datos, de los sistemas y de los equipos de cómputo (Software, Hardware, Redes, Bases de datos, Comunicaciones, etc.).
  5. Seguridad y confidencialidad de la información
  6. Aspectos legales de los sistemas y de la información.

 

 

Para hacer una planeación eficaz

Una vez que se ha hecho la planeación, se puede utilizar el formato 1, en el que figura el organismo, las fases y subfases que comprenden la descripción de cada una de las actividades a realizar:

 

PROGRAMA DE AUDITORIA INFORMATICA

Organismo:

Nombre de la empresa a auditar

 

 

Hora No.

________

De:

_______

 

 

 

 

 

Fecha de Formulación:________________

# Parte

Descripción

Actividad

Número de Personal Participante

Periodo Estimado

Días Hábiles Estimados

Días Hombre Estimado

Inicio

Final

1

Planeación

Revisión Preliminar

2

13 Ene 05

15 Ene 05

2

4

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

2

Evaluación X

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

3

Informe

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

?

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Total

 

 

Rounded Rectangle: Nota.- Ver documento sin metodologia del desarrollo de la auditoría Completar el programa. La X representa un area a auditar Dirección de la informática, sistemas, equipos o seguridad

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Formato 1

 

El control del avance de la auditoría lo podemos llevar mediante el formato 2, el cual nos permite cumplir con los procedimientos de control y asegurarnos que el trabajo se esta llevando acabo, de acuerdo con el programa de auditoría, con los recursos estimados y en el tiempo señalado en la planeación

 

AVANCE DEL CUMPLIMIENO DEL PROGRAMA DE AUDITORIA INFORMATICA

Organismo:

Nombre de la empresa a auditar

 

Hora No.

________

De:

_______

 

 

 

 

 

Periodo que reporta:_______________________

# Parte

Estimación de Auditoría

Periodo Real de la auditoría

Días reales utilizados

Grado de Avance

Días hombre estimados

Explicación de las variaciones en relación con lo programado

No Iniciada

Proceso

Terminada

Inicio

Final

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 Formato 2

 

Informe final

La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad.

 

Estructura del informe final: El informe comienza con:

 

-          Enumeración de temas considerados:

·         Cuerpo expositivo: Para cada tema se seguirá el siguiente orden:

o        Situación actual. Cuando se trate de una revisión periódica, en la que se analiza  no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real.

o        Tendencias. Se tratarán de hallar parámetros que permiten establecer tendencias futuras.

o        Puntos débiles y amenazas.

o        Recomendaciones y planes de acción. Constituye junto con la exposición de puntos débiles el verdadero objetivo de la auditoría informática.

o        Redacción posterior de la carta de introducción o presentación.

 

·         Anexos

 

Guía de entrevista con el personal de informática

  1. Nombre del puesto
  2. Puesto del jefe inmediato
  3. Puestos al que reporta
  4. Puestos de las personas que reportan al entrevistado
  5. Número de personas que reportan al entrevistado
  6. Describa brevemente las actividades diarias de su puesto
  7. Actividades periódicas
  8. Actividades eventuales
  9. Con qué manuales cuenta para el desempeño de su puesto
  10. Cuáles políticas se tienen establecidas para el puesto
  11. Señale las lagunas que considere que existen en la organización
  12. En caso de que el entrevistado mencione cargas de trabajo, cómo las establecen
  13. Cómo las controla
  14. Cómo se deciden las políticas que han de implantarse
  15. Cómo recibe las instrucciones de los trabajos encomendados
  16. Con qué frecuencia recibe capacitación y de qué tipo
  17. Sobre qué tema le gustaría recibir la capacitación
  18. Mencione la capacitación obtenida y dada a su personal durante el ultimo año
  19. Cómo se considera el ambiente de trabajo
  20. Observaciones

 

19 de Enero de 2005

Unidad II. Auditoría de la función informática

Evaluación de la estructura orgánica

 

La estructura orgánica es el organigrama de la empresa.

Para lograr la evaluación de la estructura orgánica se deberá solicitar el manual de organización de la dirección, el cual deberá comprender como mínimo:

 

El director de informática de aquellas personas que tengan un cargo directivo deben llenar los cuestionarios sobre estructura orgánica, funciones y políticas.

 

Evaluación de la organización

Para el equipo auditor el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto el auditor deberá fijarse en:

1)       Organigrama:

a.       Expresa la estructura oficial de la organización a auditar

b.       En caso de existir organigrama falso, ponerlo de manifiesto

2)       Departamentos

a.       Órganos  que siguen inmediata/. A la dirección <hacer breve descripción de las funciones de cada uno de ellos

3)       Relaciones jerárquicas y funcionales entre órganos de la organización

a.       Verificar el cumplimiento de las relaciones previstas en el organigrama

                                                               i.      Relaciones de jerarquía à Subordinación

                                                             ii.      Relaciones funcionales à No estricta/. Subordinables

4)       Flujos de información

a.       Verificar corrientes verticales intradepartamentales y corrientes de información horizontales y horizontales y oblicuas extradepartamentales

b.       Flujos d información entre grupos para una eficiente gestión sin distorsionar el organigrama

c.       Canales alternativas de información para el buen funcionamiento, producidos por pequeñas o grandes fallas en la estructura organizacional

5)       Número de puestos de trabajo

a.       Verificar que no se realicen funciones idénticas con nombre de puestos diferentes

b.       Comprobar los nombres de puestos trabajo de la organización corresponden a las funciones reales

6)       Número de personas por puesto de trabajo

a.       Parámetro a considerar por los auditores

26 de Enero de 2005

Evaluación de los recursos humanos

 

El desarrollo del personal implica:

1.- Establecer promociones y oportunidades de desarrollo

2.- Educación y capacitación. Estas actividades mantienen la moral y las habilidades de los empleados en un nivel adecuado para cumplir con las metas encomendadas que les permita tener mayor motivación y mejores remuneraciones. En el área de informática es muy importante la capacitación para tener actualizado el personal en una disciplina en la que puede quedarse rezagado muy rápidamente, aunque por otro lado, debido a la presión del tiempo con que se trabaja en muchas ocasiones no se les da la oportunidad al personal de capacitarse.

Se deberá obtener información sobre la situación del personal del área, para lo cual se aplicará un cuestionario sobre los siguientes aspectos:

Desempeño y comportamiento

Condiciones de ambiente de trabajo

Organización en el trabajo

 

ANOTAR APUNTES //////////////////////

 

Un método eficaz para proteger sistemas de computación es el software de control de proceso, pero pueden ser eludidos por delincuentes sofisticados en computación por lo que no es conveniente depender de estos paquetes por si solos para tener una adecuada seguridad.

El sistema integral de seguridad debe comprender :

  1. Elementos administrativos
  2. Definición de una política de seguridad
  3.  Organización y división de responsabilidades

 

Tipos de usuarios