Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ausi
Ausi
com
Auditoria de Sistemas
Indice
1. Auditora
2. La funcin de la auditora en la organizacin
3. Tipos y clases de auditora
4. Sistemas De Informacin
5. Tendencias que afectan a os sistemas de informacin
6. Base Conceptual
7. Proceso De Implementacin
1. Auditora
Papel Del Auditor Informtico.Si se entiende que la auditoria informtica comprende las tareas de evaluar, analizar los procesos
informticos, el papel de auditor debe estar encaminado hacia la bsqueda de problemas existentes
dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas.
Adems que auditor Informtico debe estar capacitado en los siguientes aspectos:
A. Deber ver cuando se puede conseguir la mxima eficacia y rentabilidad de los medios
informticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del
reforzamiento del sistema y del estudio de las soluciones mas idneas, segn los problemas
detectados en el sistema informtico, siempre y cuando las soluciones que se adopten no violen
la ley ni los principios ticos. (Ej. Por que est mal el reporte)
B. Una vez estudiado el sistema informtico a auditar, el auditor deber establecer los requisitos
mnimos, aconsejables y ptimos para su adecuacin con la finalidad de que cumpla para lo
que fue diseado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones,
posibles mejoras, costos.
C. El auditor deber lgicamente abstenerse de recomendar actuaciones innecesariamente
onerosas, daina, o que genere riesgo in justificativo para el auditado e igualmente de proponer
modificaciones carentes de bases cientficas insuficientemente probadas o de imprevisible
futuro.
D. El auditor al igual que otros profesionales (Ej. Mdicos, abogados, educadores, etc.) pueden
incidir en la toma de decisiones en la mayora de sus clientes con un elevado grado de
autonoma, dado la dificultad prctica de los mismos, de constatar su capacidad profesional y en
desequilibrio de desconocimientos tcnicos existente entre al auditor y los auditados (Puede
pesar gravemente).
E. El auditor deber prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los
medios a su alcance con absoluta libertad, respecto a la utilizacin de dichos medios y en unas
condiciones tcnicas adecuadas para el idneo cumplimiento de su labor. En los casos en que
precariedad de los medios puestos a su disposicin, impidan o dificulten seriamente la
realizacin de la auditoria deber negarse realizar hasta que se le garantice un mnimo de
condiciones tcnicas que no comprometan la calidad de sus servicios o dictmenes.
F. Cuando durante la ejecucin de la auditoria, el auditor considere conveniente recabar informe de
otros mas calificados, sobre un aspecto o incidencia que superase su capacidad profesional
para analizarlo en idneas condiciones deber remitir el mismo a un especialista en la materia o
recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria.
G. El auditor debe actuar con cierto grado de humildad evitando dar la impresin de estar al
corriente de una informacin privilegiada sobre nuevas tecnologas a fin de actuar en de
previsiones rectas y un porcentaje de riesgo debidamente fundamentado. (Si conocemos alguna
tecnologa de primer orden debemos tener un cierto grado de humildad, que no se salga de la
realidad [decir que ya sabemos esto...].
H. El auditor tanto en sus relaciones con el auditado como con terceras personas deber en todo
momento, deber actuar conforme a las normas implcitas o explcitas de dignidad de la
I.
profesin y de correccin en el trato personal. (Que en todo momento, como cuando estamos en
el bar, cafetera, o fiesta por que los auditores tienen la responsabilidad)
El auditor deber facilitar e incrementar la confianza de auditado en base a una actuacin de
transparencia, en su actividad profesional sin alardes cientfico- tcnico, que, por su
incomprensin, pueden restar credibilidad a los resultados obtenidos y a las directrices
aconsejadas.
2. La funcin de la auditora en la organizacin
Concepto De Auditar
Conjunto de procedimientos y tcnicas para evaluar y controlar total o parcialmente un sistema
informtico con el fin de proteger sus activos y recursos, verificar si sus actividades se desarrollan
eficientemente de acuerdo con las normas informticas y gener5ales existentes en cada empresa y
para conseguir la eficacia exigida en el marco de la organizacin correspondiente.
Al igual que los dems rganos de la empresa los sistemas informticos estn sometidos a un control.
La importancia de llevar un control, se puede deducir de varios aspectos, as tenemos:
Las computadoras y los centros de procesos de datos se pueden convertir en blancos apetecibles no
solo para el espionaje no para la delincuencia y el terrorismo.
Las computadoras creadas para procesar y difundir resultados pueden en cierto momento generar
resultados o informacin errnea (Virus, tc). (La mquina suele arrojar resultados errneos cuando es
alimentada con datos errneos).
Un sistema informtico mal diseado puede convertirse en una herramienta peligrosa para la persona,
puesto que las mquinas obedecen las rdenes recibidas y la modelizacin de la empresa est
determinada por las computadoras que materializan los sistemas de informacin, por lo tanto la gestin
y la organizacin de la empresa no pueden depender de un SOFTWARE o un HARDWARE mal
diseado.
Auditora Interna Y Auditora Externa
La auditoria es realizada en recursos materiales y personas que perteneces a la empresa auditada.
Auditora Interna
Existe por expresa decisin de la empresa, es decir que tambin se puede optar por su disolucin en
cualquier momento.
Auditora Externa
Es realizada por personas afines a la empresa se presupone una mayor objetividad que en la auditoria
interna debido Al mayor distanciamiento entre auditor y auditado.
La auditoria informtica tanto interna como externa debe ser una actividad exenta de cualquier contenido
o matiz poltico ajena a la propia estrategia y poltica general de la empresa.
Areas De La Planificacin De La Auditora
Las empresas acuden a las auditorias cuando existen algunos sntomas bien perceptibles de debilidad.
Estos sntomas pueden agruparse en algunas clases:
Sntomas De Descoordinacin Y Desorganizacin
No coinciden los objetivos de la informtica de la compaa
Los estndares de productividad se desvan sencillamente de los promedios habituales.
Sntomas De Mala Imagen O Insatisfaccin De Los Usuarios
No se atienden a las peticiones de cambio de los usuarios
No se reparan las averas de HARDWARE ni se resuelven problemas en plazos razonables
No se cumplen los plazos de entregas de resultados
Sntomas De Debilidades Econmico Financiero
Incremento desmesurado de costos
Necesidad de justificacin de inversiones informticas
Desviaciones presupuestarias significativas
Costos y plazos nuevos para proyectos
Sntomas De Inseguridad (Evaluacin Del Nivel De Riesgo)
Seguridad lgica
Seguridad fsica
Confidencialidad.- Los datos son de propiedad de la organizacin que nos genera, los datos de
personal son especialmente confidenciales.
Continuidad del servicio. (Establecer las estrategias de continuidad para fallos mediante planes
de configuracin).
Ubicacin Y Organizacin De La Auditora
La ubicacin de los procesos auditores dentro de un rea de sistemas depende del tipo de auditoria que
se desee implementar, As tenemos que en muchas ocasiones la auditoria depende
exclusivamente de la parte directriz o gerencial y en otras ocasiones de acuerdo a las
necesidades de la empresa. La auditoria informtica nace de los niveles medios bajos de la
empresa . (A nivel de organizacin la ubicacin es medio bajo, medios bajos son los Usuarios,
con una serie de quejas obligan a hacer auditoria)
3. Tipos y clases de auditora
Auditoria Informtica De Explotacin
La explotacin informtica se ocupa de producir resultados, tales como listados, archivos
soportados magnticamente, ordenes automatizadas, modificacin de procesos, etc. Para
realizar la explotacin informtica se dispone de datos, las cuales sufren una transformacin y
se someten a controles de integridad y calidad.
(Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan;
estos dos juntos realizan una informacin buena)
Auditoria Informtica De Desarrollo De Proyectos O Aplicaciones
La funcin de desarrollo es una evaluacin del llamado Anlisis de programacin y sistemas. As
por ejemplo una aplicacin podra tener las siguientes fases
Prerrequisitos del usuario y del entorno
Anlisis funcional
Diseo
Anlisis orgnico (preprogramacin y programacin)
Pruebas
Explotacin
Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden
producirse insatisfaccin del cliente, insatisfaccin del usuario, altos costos, etc. Por lo tanto la
auditoria deber comprobar la seguridad de los programas, en el sentido de garantizar que el
servicio ejecutado por la mquina, los resultados sean exactamente los previstos y no otros (El
nivel organizativo es medio por los usuarios, se da cuenta el administrador Ejm. La contabilidad
debe estar cuadrada)
Auditoria Informtica De Sistemas
Se ocupa de analizar la actividad que se conoce como tcnica de sistemas, en todos sus
factores. La importancia creciente de las telecomunicaciones o propicia de que las
comunicaciones, lneas y redes de las instalaciones informticas se auditen por separado,
aunque formen parte del entorno general del sistema (Ejm. De auditar el cableado estructurado,
ancho de banda de una red LAN)
Auditoria Informtica De Comunicacin Y Redes
Este tipo de auditoria deber inquirir o actuar sobre los ndices de utilizacin de las lneas
contratadas con informacin sobre tiempos de uso y de no uso, deber conocer la topologa de
la red de comunicaciones, ya sea la actual o la desactualizada. Deber conocer cuantas lneas
existen, como son, donde estn instaladas, y sobre ellas hacer una suposicin de inoperatividad
informtica. Todas estas actividades deben estar coordinadas y dependientes de una sola
organizacin (Debemos conocer los tipos de mapas actuales y anteriores, como son las lneas,
el ancho de banda, suponer que todas las lneas estn mal, la suposicin mala confirmarlo).
Auditoria De La Seguridad Informtica
Se debe tener presente la cantidad de informacin almacenada en el computador, la cual en
muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las
instituciones, lo que significa que se debe cuidar del mal uso de esta informacin, de los robos,
los fraudes, sabotajes y sobre todo de la destruccin parcial o total. En la actualidad se debe
tambin cuidar la informacin de los virus informticos, los cuales permanecen ocultos y daan
sistemticamente los datos.
4. Sistemas De Informacin
Los Sistemas De Informacin Y Su Alcance
Se entiende por un sistema de informacin al conjunto de normas, procedimientos y dems parmetros
que forman la informacin general de una empresa o institucin.
En un sistema de informacin se pueden visualizar algunos componentes tales como:
El nombre del sistema,
Estrategias de proteccin
Toda empresa dentro de su plan anual de actividades debe contemplar un plan estratgico de proteccin
o plan de contingencia sobre su sistema informatico, entendiendose a dicho plan como un conjunto de
pasos que se realizan con el propsito de salvaguardar los recursos de la empresa, tanto fsico como a
nivel lgico.
Se puede mencionar algunos puntos importantes que debe contemplar el plan de contingencia, as por
ejemplo:
- Actividades antes de un desastre
- Actividades durante el desastre
- Actividades despus del desastre
Actividades antes de un desastre
Area social se refiere a preparar personal que este capacitado para socorrer a loa compaeros en caso
de desastre ( debe tener especial cuidado en las personas de la tercera edad).
Este personal tambin deber capacitarse en el uso de dispositivos o elementos fsicos para casos
de emergencia (as por ejemplo uso de alarmas contra fuego, uso de bombas de agua , uso de
switch de seguridad).