Está en la página 1de 11

Auditoria informtica

L.I.A Beatriz Hernndez Nicols

Felipe Vilchis Marcial

18-3-2013

Contenido
PLANEACIN DE LA AUDITORA INFORMTICA .................................................................................. 3 2.1.1 PLANEACIN .............................................................................................................................. 4 2.1.3 REVISIN DETALLADA ............................................................................................................... 5 2.1.6 PRUEBAS SUSTANTIVAS ............................................................................................................ 6 2.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO .......................................................... 7 2.3 INVESTIGACIN PRELIMINAR....................................................................................................... 8 2.4 PERSONAL PARTICIPANTE ............................................................................................................ 9

Pgina 1 de 10

Introduccin Es el proceso de recoleccin y evaluacin de evidencias para determinar cundo son salvaguardados los activos de los sistemas computarizados, de qu manera se mantiene la integridad de los datos y cmo se logran los objetivos de la organizacin eficazmente y se usan los recursos consumidos eficientemente.

Pgina 2 de 10

PLANEACIN DE LA AUDITORA INFORMTICA 2.1 FASES DE LA AUDITORA La Auditora en Informtica es el proceso de recoleccin y evaluacin de evidencias para determinar cundo son salvaguardados los activos de los sistemas computarizados, de qu manera se mantiene la integridad de los datos y cmo se logran los objetivos de la organizacin eficazmente y se usan los recursos consumidos eficientemente. Las normas de auditora interna comprenden: Las actividades auditadas y la objetividad de los auditores internos. El conocimiento tcnico, la capacidad y el cuidado profesional de los auditores internos con los que deben ejercer su funcin. El alcance del trabajo de auditora interna en el rea de informtica. El desarrollo de las responsabilidades asignadas a los auditores internos responsables de la auditora informtica. 2.1 FASES DE LA AUDITORA El departamento de auditora interna deber asegurarse: Que las auditoras sean supervisadas en forma apropiada. La supervisin es un proceso continuo que comienza con la planeacin y termina con el trabajo de auditora. Que los informes de auditora sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditora. Que la auditora sea debidamente documentada y que se conserve la evidencia apropiada de la supervisin. Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informtica posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditoras. 2.1 FASES DE LA AUDITORA Habilidades que deben de tener los auditores: Habilidad para comunicarse efectivamente y dar un trato adecuado a las personas. Los auditores en informtica son responsables de continuar su desarrollo profesional para poder mantener su pericia profesional.
Pgina 3 de 10

Los auditores en informtica debe ejercer el debido cuidado profesional al realizar sus auditoras. 2.1.1 PLANEACIN Para lograr una adecuada planeacin, lo primero que se requiere es obtener informacin general sobre la organizacin y sobre la funcin informtica a evaluar. Para ello es preciso hacer una investigacin preliminar y algunas entrevistas previas, y con base en esto planear el programa de trabajo, el cual deber incluir tiempos, costos, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la auditora. El proceso de planeacin comprende el establecer: Metas Programas de trabajo de auditora Planes de contratacin de personal y presupuesto financiero Informes de actividades

2.1.1 PLANEACIN En el caso de la auditora informtica, la planeacin es fundamental, pues habr que hacerla desde el punto de vista de varios objetivos: Evaluacin administrativa del rea de procesos electrnicos. Evaluacin de los sistemas de procedimientos. Evaluacin de los equipos de cmputo. Evaluacin del proceso de datos, de los sistemas y de los equipos de cmputo. Seguridad y confidencialidad de la informacin. Aspectos legales de los sistemas y de la informacin. 2.1.2 REVISIN PRELIMINAR La revisin preliminar significa la recoleccin de evidencias por medio de entrevistas con el personal de la instalacin, la observacin de las actividades y la revisin de la documentacin preliminar. El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. 2.1.2 REVISIN PRELIMINAR Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes:
Pgina 4 de 10

Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora. Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias. Decidir el no confiar en los controles internos de los sistemas. 2.1.3 REVISIN DETALLADA Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. En la fase evaluacin detallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por stas. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la profundidad con que se obtiene la informacin y se evala. 2.1.4 EXAMEN Y EVALUACIN DE LA INFORMACIN El proceso de examen y evaluacin de la informacin es el siguiente: Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances de la auditora. La informacin deber ser suficiente, competente, relevante y til para que proporcione bases slidas en relacin con los hallazgos y recomendaciones de la auditora. Los procedimientos de auditora, incluyendo el empleo de las tcnicas de pruebas selectivas y el muestreo estadstico, debern ser elegidos con anterioridad. 2.1.4 EXAMEN Y EVALUACIN DE LA INFORMACIN Los documentos de trabajo de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora. El proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditora se cumplieron. 2.1.5 PRUEBAS DE CONTROLES DE USUARIOS

Pgina 5 de 10

En algunos casos el auditor puede decidir el no confiar en los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles q ue compensan cualquier debilidad dentro de los controles internos de informtica. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios. 2.1.6 PRUEBAS SUSTANTIVAS El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo puedan ocurrir prdidas materiales durante el procesamiento de la informacin. Se pueden identificar ocho pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad. 2.1.6 PRUEBAS SUSTANTIVAS El auditor debe participar en tres estados del sistema:

Durante la fase de diseo del sistema. Durante la fase de operacin. Durante la fase posterior a la auditora. 2.1.6 PRUEBAS SUSTANTIVAS Realizar una auditora en informtica es un trabajo complejo. Por ello, para lograr los objetivos, el auditor necesita dividir los sistemas en una serie de subsistemas, identificando los componentes que realizan las actividades bsicas de cada subsistema, evaluar la confianza de cada componente, y la de los subsistemas, y en forma agregada evaluar cada subsistema hasta llegar a una evaluacin global sobre la confianza total del sistema
Pgina 6 de 10

2.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO Una de las formas de evaluar la importancia que puede tener para la organizacin un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la prdida de la informacin o bien el que sea usado por personal ajeno a la organizacin. Algunos sistemas de aplicaciones son de ms alto riesgo que otros debido a que: Son susceptibles a diferentes tipos de prdida econmica. Las fallas pueden impactar grandemente a la organizacin. 2.2 EVALUACIN DE LOS SISTEMAS DE ACUERDO AL RIESGO Interfieren con otros sistemas, y los errores generados permean a otros sistemas. Potencialmente, alto riesgo debido a daos en la competencia. Sistemas de tecnologa de punta o avanzada. Sistemas de alto costo.

2.3 INVESTIGACIN PRELIMINAR En la auditora en informtica debemos comenzar la investigacin preliminar con una visita al organismo, al rea de informtica y a los equipos de cmputo, y solicitar una serie de documentos. La eficiencia en el departamento de informtica slo se puede lograr si sus objetivos estn integrados con los de la institucin y si permanentemente se adapta a los posibles cambios de stos.

2.3 INVESTIGACIN PRELIMINAR Para poder analizar y dimensionar la estructura a auditar se debe solicitar: A nivel organizacin total: Objetivos a corto y largo plazos Manual de la organizacin Antecedentes o historia del organismo Polticas gen erales

Pgina 7 de 10

2.3 INVESTIGACIN PRELIMINAR A nivel del rea de informtica: Objetivos a corto y a largo plazo Manual de organizacin del rea que incluya puestos, funciones, niveles jerrquicos y tramos de mando. Manual de polticas, reglamentos internos y lineamientos generales. Nmero de personas y puestos en el rea. Procedimientos administrativos del rea. Presupuestos y costos del rea. 2.3 INVESTIGACIN PRELIMINAR Recursos materiales y tcnicos: Solicitar documentos sobre los equipos, as como el nmero de ellos, su localizacin y sus caractersticas. Estudios de viabilidad. Contratos de seguros. Planes de expansin. Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Configuracin de equipos de comunicacin y localizacin de los equipos. Ubicacin general de los quipos. Polticas de operacin. Polticas de uso de los equipos. Polticas de seguridad fsica y prevencin contra contingencias.

2.3 INVESTIGACIN PRELIMINAR Sistemas: Descripcin general de los sistemas instalados y de los que estn por instalarse, que contengan volmenes de informacin. Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica.
Pgina 8 de 10

Diagramas de entrada, archivos, salida. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. Bases de datos, propietarios de la informacin y usuarios de la misma. Procedimientos y polticas en casos de desastre. Sistemas propios, rentados y adquiridos. 2.4 PERSONAL PARTICIPANTE Una de las partes ms importantes en la planeacin de la auditora en informtica es el personal que deber participar. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga est debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. 2.4 PERSONAL PARTICIPANTE Para completar el grupo, como colaboradores directos en la realizacin de la auditora, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de administracin, contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos y experiencia en psicologa industrial. Conocimiento de los sistemas operativos, bases de datos, redes y comunicaciones, dependiendo del rea y caractersticas a auditar. Conocimientos de los sistemas ms importantes.

Pgina 9 de 10

BIBLIOGRAFA http://members.fortunecity.es/robertexto/archivo1/auditoria.htm http://www.gesem.es/Consultorialnformatica/TIC/SistComAuditoria.htm

Pgina 10 de 10