03 Enero 2005
Auditoria de la función informática
Horario:
Lunes
9 a 11
Miércoles
11 a 1
Viernes
9 a 10
Unidad
I. Fundamentos de la auditoria
Unidad
II. Planeación de la auditoria en informática
Unidad
III. Auditoria de la función informática
Unidad
IV. Seguridad física y lógica
Unidad
V. Evaluación de la función informática
Bibliografía
Auditoria
informática < Un enfoque práctico>
Ra-ma
editorial, Madrid España
Mario
G. Piattini, Emilio del Peso
Laboratorio
– Lunes 2 Hrs.
Auditoria
en informática
Echenique
José Antonio
McGraw Hill
Criterios de
Evaluación Parcial
Examen à 60%
Participación
& Asistencia à 10%
Tareas à 10%
Prácticas à 20%
Criterios de
Acreditación
Promedio
parcial à 70%
Proyecto
final à 30%
Tarea para viernes 7
de Enero
Personal
que participa en la planeación de la auditoria en informática.
(Pasar
al cuaderno).
04 Enero 2005
El término de Auditoría se ha empleado incorrectamente con frecuencia ya que se ha considerado
como una evaluación cuyo único fin es detectar errores y señalar fallas. A causa de esto,
se ha tomado la frase “Tiene Auditoría” como sinónimo de que, en dicha entidad, antes de realizarse la auditoría, ya se habían detectado fallas.
El concepto de auditoría es mucho más que esto. Es un examen crítico que se realiza con el
fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc.
La palabra auditoría proviene del latín auditorius, y
de esta proviene la palabra auditor, que se refiere a todo aquel que tiene
la virtud de oír.
De todo esto sacamos como deducción que la auditoría
es un examen crítico pero no mecánico, que no implica la preexistencia de
fallas en la entidad auditada y que persigue el fin de evaluar y mejorar la eficacia y eficiencia de una sección o de un organismo.
Perfiles profesionales de los auditores informáticos
Profesión |
Actividades y conocimientos deseables |
Informático Generalista |
Con experiencia amplia en ramas distintas. Deseable
que su labor se haya desarrollado en Explotación y en Desarrollo de
Proyectos. Conocedor de Sistemas. |
Experto en Desarrollo de Proyectos |
Amplia experiencia como responsable de proyectos.
Experto analista. Conocedor de las metodologías de Desarrollo más
importantes. |
Técnico de Sistemas |
Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. |
Experto en Bases de Datos y Administración de las mismas. |
Con experiencia en el mantenimiento de Bases de
Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de
explotación |
Experto en Software de Comunicación |
Alta especialización dentro de la técnica de sistemas.
Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. |
Experto en Explotación y Gestión de CPD´S |
Responsable de algún Centro de Cálculo. Amplia
experiencia en Automatización de trabajos.
Experto en relaciones humanas. Buenos
conocimientos de los sistemas. |
Técnico de Organización |
Experto organizador y coordinador. Especialista en
el análisis de flujos de información. |
Técnico de evaluación de Costes |
Economista con conocimiento de Informática. Gestión de costes. |
05 Enero 2005
Unidad 1.
Fundamentos de la auditoría
Auditoría: La
auditoria viene del latín auditorius. Es un examen crítico que se realiza con
objeto de emitir una opinión profesional
para evaluar la eficiencia y eficacia de una sección o de un organismo, y
determinar cursos alternativos de acción para mejorar la organización, y lograr
los objetivos propuestos. La auditoría se basa en normas, procedimientos y
técnicas definidas por institutos establecidos a escala nacional e
internacional.
Tareas principales
de la auditoría
-
Estudiar y actualizar permanentemente las
áreas susceptibles de revisión.
-
Apegarse a las tareas que desempeñan las
normas, políticas, procedimientos y técnicas de auditoría establecidas por los
organismos generalmente aceptados en el ámbito nacional e internacional.
-
Evaluación y verificación de las áreas
requeridas por la alta dirección o responsables directos del negocio.
-
Elaboración del informe de auditoría
(debilidades y recomendaciones).
-
Otras recomendadas por el desempeño
eficiente de la auditoría.
Auditoría
informática
Es el proceso de recolección y
evaluación de evidencias para determinar cuando son salvaguardados los activos
de los sistemas computarizados, de qué manera se mantiene la integridad de los
datos y cómo se logran los objetivos de la organización de forma eficaz y cómo
se usan los recursos consumidos eficientemente (se refiere a los recursos
materiales y personas).
Clases
de auditoría
CLASE |
OBJETO |
FINALIDAD |
Financiera |
Cuentas anuales |
Presentan realidad |
Informática |
Sistemas de
aplicación, recursos informáticos, planes de contingencia, etc. |
Operatividad
eficiente según normas establecidas. |
Gestión |
Dirección. |
Eficacia,
eficiencia, economicidad. |
Cumplimiento |
Normas establecidas. |
Las operaciones se
adecuan a las normas |
Administrativa/Operacional |
Precisar perdidas
y deficiencias mejores métodos, mejores formas de control, operaciones más
eficientes y mejor uso de los recursos físicos y humanos. |
Examen global y
constructivo de la estructura de una empresa, de una institución, una sección
del gobierno o cualquier parte de un organismo. |
Auditoría
interna
Es la realizada con recursos
materiales y personas que pertenecen a la empresa auditada. La auditoría
interna debe estar presente en todas y cada una de las partes de la
organización.
Auditoría
Externa
Es realizada por personas a fines a
la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad
que en la auditoría interna, debido al mayor distanciamiento entre auditores y
auditados.
Una empresa o institución que posee
una auditoría interna puede y debe en ocasiones contratar servicios de
auditoría externa. Las razones para hacerlo suelen ser:
Auditoría
en informática
Es la revisión y evaluación de los
controles, sistemas y procedimientos de la informática; de los equipos de
cómputo, su utilización, eficiencia y seguridad; de la organización que
participa en el procesamiento de la información a fin de que por medio del
señalamiento de cursos alternativos se logre una utilización mas eficiente,
confiable y segura de la información que servirá para una adecuada y técnicas
definidas por institutos establecidos a escala nacional e internacional.
Tarea
Buscar
nombre para el equipo (Auditores Digitales)
Factores que pueden influir en una
organización a través del control interno y la auditoría en informática.
14 Enero
2005
Auditor.- El
diccionario lo define como revisor de cuentas colegiado. El auditor tiene la
virtud de oír y revisar información pero debe estar encaminado a un objetivo
específico que es el de evaluar la eficiencia y eficacia con que se esta
operando. El auditor solo puede emitir un juicio global o parcial basado en
hechos y situaciones, careciendo de poder modificar la situación analizada por
el mismo.
Unidad II. Planeación de la auditoría
en informática
Para hacer una adecuada planeación de
la auditoría en informática, se tiene que seguir una serie de pasos previos que
permitirán dimensionar el tamaño y características de áreas dentro del
organismo a auditar, sus sistemas, su organización y equipo.
Para hacer una planeación eficaz lo
primero que se requiere es obtener información general sobre la organización y
sobre la función informática a evaluar. Para ellos es importante hacer una
investigación preliminar y algunas entrevistas previas, con base en esto
planear el programa de trabajo, el cual deberá incluir tiempo, costo, personal
necesario y documentos auxiliares a solicitar o formular durante el desarrollo
de la misma.
La planeación deberá ser documentada
e incluirá:
17 de
Enero del 2005
En el caso de la auditoría en
informática se hará desde el punto de vista de varios objetivos:
Para hacer una planeación eficaz
Una vez que se ha hecho la
planeación, se puede utilizar el formato 1, en el que figura el organismo, las
fases y subfases que comprenden la descripción de
cada una de las actividades a realizar:
PROGRAMA DE AUDITORIA
INFORMATICA |
|||||||||||
Organismo: |
Nombre de la empresa a auditar |
|
|
Hora
No. |
________ |
De: |
_______ |
||||
|
|
|
|
|
Fecha
de Formulación:________________ |
||||||
# Parte |
Descripción |
Actividad |
Número de Personal
Participante |
Periodo
Estimado |
Días Hábiles
Estimados |
Días Hombre
Estimado |
|||||
Inicio |
Final |
||||||||||
1 |
Planeación |
Revisión
Preliminar |
2 |
13
Ene 05 |
15
Ene 05 |
2 |
4 |
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
2 |
Evaluación
X |
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
3 |
Informe |
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
? |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
||||
Total |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Formato 1
El control del avance de la auditoría
lo podemos llevar mediante el formato 2, el cual nos permite cumplir con los
procedimientos de control y asegurarnos que el trabajo se esta llevando acabo,
de acuerdo con el programa de auditoría, con los recursos estimados y en el
tiempo señalado en la planeación
AVANCE
DEL CUMPLIMIENO DEL PROGRAMA DE AUDITORIA INFORMATICA |
|||||||||
Organismo: |
Nombre de la empresa a auditar |
|
Hora
No. |
________ |
De: |
_______ |
|||
|
|
|
|
|
Periodo
que reporta:_______________________ |
||||
# Parte |
Estimación de
Auditoría |
Periodo
Real de la auditoría |
Días reales
utilizados |
Grado de Avance |
Días hombre
estimados |
Explicación de las
variaciones en relación con lo programado |
|||
No Iniciada |
Proceso |
Terminada |
Inicio |
Final |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Formato
2
Informe
final
La función de la auditoría se
materializa exclusivamente por escrito. Por lo tanto la elaboración final es el
exponente de su calidad.
Estructura del informe final: El
informe comienza con:
-
Enumeración de temas considerados:
·
Cuerpo expositivo: Para cada tema se seguirá
el siguiente orden:
o
Situación
actual.
Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su
evolución en el tiempo, se expondrá la situación prevista y la situación real.
o
Tendencias. Se
tratarán de hallar parámetros que permiten establecer tendencias futuras.
o
Puntos
débiles y amenazas.
o
Recomendaciones
y planes de acción. Constituye
junto con la exposición de puntos débiles el verdadero objetivo de la auditoría
informática.
o
Redacción
posterior de la carta de introducción o presentación.
·
Anexos
Guía
de entrevista con el personal de informática
19
de Enero de 2005
Unidad
II. Auditoría de la función informática
Evaluación de la estructura orgánica
La estructura orgánica es el
organigrama de la empresa.
Para lograr la evaluación de la
estructura orgánica se deberá solicitar el manual de organización de la
dirección, el cual deberá comprender como mínimo:
El director de informática de
aquellas personas que tengan un cargo directivo deben
llenar los cuestionarios sobre estructura orgánica, funciones y políticas.
Evaluación
de la organización
Para el equipo auditor el
conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para
realizar esto el auditor deberá fijarse en:
1)
Organigrama:
a.
Expresa la estructura oficial de la
organización a auditar
b.
En caso de existir organigrama falso,
ponerlo de manifiesto
2)
Departamentos
a.
Órganos
que siguen inmediata/. A la dirección <hacer breve descripción de las
funciones de cada uno de ellos
3)
Relaciones jerárquicas y funcionales entre
órganos de la organización
a.
Verificar el cumplimiento de las relaciones
previstas en el organigrama
i.
Relaciones de jerarquía à
Subordinación
ii.
Relaciones funcionales à No
estricta/. Subordinables
4)
Flujos de información
a.
Verificar corrientes verticales intradepartamentales y corrientes de información
horizontales y horizontales y oblicuas extradepartamentales
b.
Flujos d información entre grupos para una
eficiente gestión sin distorsionar el organigrama
c.
Canales alternativas de información para el
buen funcionamiento, producidos por pequeñas o grandes fallas en la estructura
organizacional
5)
Número de puestos de trabajo
a.
Verificar que no se realicen funciones
idénticas con nombre de puestos diferentes
b.
Comprobar los nombres de puestos trabajo de
la organización corresponden a las funciones reales
6)
Número de personas por puesto de trabajo
a.
Parámetro a considerar por los auditores
26 de
Enero de 2005
Evaluación
de los recursos humanos
El desarrollo del personal implica:
1.- Establecer promociones y
oportunidades de desarrollo
2.- Educación y capacitación. Estas
actividades mantienen la moral y las habilidades de los empleados en un nivel
adecuado para cumplir con las metas encomendadas que les permita tener mayor
motivación y mejores remuneraciones. En el área de informática es muy
importante la capacitación para tener actualizado el personal en una disciplina
en la que puede quedarse rezagado muy rápidamente, aunque por otro lado, debido
a la presión del tiempo con que se trabaja en muchas ocasiones no se les da la
oportunidad al personal de capacitarse.
Se deberá obtener información sobre
la situación del personal del área, para lo cual se aplicará un cuestionario
sobre los siguientes aspectos:
Desempeño y comportamiento
Condiciones de ambiente de trabajo
Organización en el trabajo
ANOTAR APUNTES //////////////////////
Un método eficaz para proteger
sistemas de computación es el software de control de proceso, pero pueden ser
eludidos por delincuentes sofisticados en computación por lo que no es
conveniente depender de estos paquetes por si solos para tener una adecuada
seguridad.
El sistema integral de seguridad
debe comprender :
Tipos
de usuarios