Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Auditori A

    Cargado por

    mam0l1na
    17 vistas11 páginas
    Auditoría Informática

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOC, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Auditoría Informática

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    17 vistas11 páginas

    Auditori A

    Cargado por

    mam0l1na
    Auditoría Informática

    Copyright:

    © All Rights Reserved
    Descargue como DOC, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 11

    Auditoría Informática 1

    CASO PRACTICO DE “AUDITORÍA INFORMÁTICA” . Curso 99

    INDICE

     Caso Práctico nº 3 : PLAN DE CREACIÓN DE LA UNIDAD DE


    AUDITORÍA INFORMÁTICA DE LA EMPRESA “XYZ S.A.”

    1.- Justificación
    2.- Medios disponibles para la puesta en funcionamiento del área.
    3. Funciones a desempeñar por el departamento de auditoría
    informática.
    4.- Prioridades de actuación . Objetivos.

     Caso Práctico nº 5 : EVALUACION DE LA ESTRUCTURA


    MANUAL DE FUNCIONES Y PLANES DE FORMACIÓN DE LA
    EMPRESA “ABC S.A.”

    1.- Estructura.
    2.- Definición de funciones y responsabilidades.
    3.- Normas y procedimientos internos.
    4.- Planes de formación.
    Auditoría Informática 2

    CASO PRÁCTICO 3 :

    PLAN DE CREACIÓN DE LA UNIDAD DE AUDITORÍA


    INFORMÁTICA DE LA EMPRESA “XYZ S.A.”

    JUSTIFICACIÓN :

    La creación de un área de Auditoría Informática en la empresa “XYZ


    S.A.” tiene sentido debido a las concurrencia de las siguientes
    circunstancias :

     El aumento considerable del número de maquinas dentro de la empresa


    , ya que partiendo de la idea de que las máquinas no son infalibles ya
    que son programadas y controladas por personas hace que al aumentar
    el número de estas los riesgos a los que están sometidas sean mayores.
     Necesidad de minimizar y prevenir el riesgo por causa de una catástrofe
    o desastre ( hacerlo menos probable ) , ya que la información
    almacenada en las máquinas es un bien demasiado importante como
    para arriesgarlo.
     Prevenir un uso fraudulento de la información de la que dispone la
    empresa y que al estar bastante distribuida es más difícil de controlar.
     Prestar especial atención al desarrollo y explotación de los sistemas
    informáticos , intentando en todo momento conseguir una mayor
    eficacia de los mismos.
     La necesidad de la empresa de estar conectada a internet le hace ser más
    vulnerable ante posibles ataques externos.

    MEDIOS DISPONIBLES PARA LA PUESTA EN


    FUNCIONAMIENTO DEL ÁREA:

    En principio se contará con un técnico especializado , aunque no se


    descarta que a medio plazo dicha área cuente con una nueva incorporación
    para asentar dicho departamento .
    Auditoría Informática 3

    Este puesto será cubierto mediante contratación y el perfil deseado es el de


    un Ingeniero Informático con al menos 2 años de experiencia en Auditoría
    Informática , el cual posea algunas de las siguientes habilidades :

     Conocimientos generales de los sistemas de ordenadores ( hardware ,


    redes ) y los procesos de análisis, diseño y programación .
     Conocimientos de Seguridad Informática .
     Conocimientos de la planeación de aplicaciones , diseño , revisión e
    implantación así como conocimientos del lenguaje que actualmente se
    utiliza en la empresa ( VisualAge for Java ) .
     Conocimientos del mundo de internet ( firewalls , proxys .. )
     Conocimientos generales de los principios de contabilidad y control.
     Capacidad de mando , de dirigir , supervisar , trabajar con la alta
    dirección así como gran capacidad para la toma de decisiones.
     Capacidad para elaborar y presentar informes .

    Esta área estará ubicada como Staff de la dirección de Informática . Esta


    persona contará con la colaboración total de todo el personal de la
    empresa , sea del departamento que sea y su trabajo será directamente
    analizado por la dirección de la empresa.

    Antes de iniciar sus funciones realizará una presentación a la dirección de


    la empresa en la que definirá objetivos, justificará la existencia de dicho
    departamento y aclarará cualquier duda que pudiera surgir.

    Esta área contará con un presupuesto anual independiente para poder


    disponer de los medios (Simuladores , Software específico de auditoría ,
    etc. ) que permitan obtener los objetivos que se marquen anualmente en el
    área de Auditoría.

    FUNCIONES A DESEMPEÑAR POR EL DEPARTAMENTO DE


    AUDITORÍA INFORMÁTICA :

    En un principio podemos centrarnos en tres funciones básicas a


    desempeñar :
    Auditoría Informática 4

    1. Participar en las revisiones durante y , después del diseño, realización,


    implantación y explotación de aplicaciones informáticas, así como en
    las fases análogas de realización de cambios importantes.

    2. Revisar y juzgar los controles implantados en los sistemas informáticos


    para verificar su adecuación a las órdenes e instrucciones de la
    Dirección , requisitos legales , protección de confidencialidad y
    cobertura ante errores y fraudes.

    3. Revisar y juzgar el nivel de eficacia , utilidad , fiabilidad y seguridad de


    equipos e información.

    Tareas a realizar :

     Revisión de controles en sistemas de aplicación.


     Revisión de la integridad de la información.
     Revisión de los procedimientos de operación.
     Revisión de las medidas de seguridad.
     Revisión del desarrollo de sistemas.
     Gestión y planificación de la auditoría informática.
     Revisión de los procesos de mantenimiento de Software.
     Revisión del proceso de desarrollo de Sistemas.
     Revisión del Software básico.
     Revisión de planes y gestión.
     Revisión de contratos del personal de informática.

    El área de Auditoría Informática que pretendemos crear no revisará solo


    los aspectos puramente informáticos sino que deberá realizar parte de sus
    tareas sobre procesos y circuitos fuera del departamento de informática.

    PRIORIDADES DE ACTUACION. OBJETIVOS :

    Los objetivos del departamento de Auditoría abarcarán la totalidad de la


    función de la empresa y comenzará con una serie de entrevistas entre el
    técnico seleccionado y el director de informática en la cual se centrarán
    más si cabe los objetivos y prioridades que aquí se van a describir.

    Fases a cumplir :
    Auditoría Informática 5

     Estudio inicial . Será un estudio global que permita conocer volúmenes


    y complejidad de las tareas que posteriormente se llevarán a cabo .
     Elaboración de un plan de actuación . En el se definirán las
    actividades a realizar, así como la duración estimada para cada una de
    ellas . También quedará precisado la ayuda necesaria para llevar a cabo
    cada una de estas actividades ( p.e. software, personal técnico
    especializado .. ) . Se fijará el presupuesto para el primer año teniendo
    en cuenta los medios necesarios para cumplir los objetivos marcados
    para el primer ejercicio.
     Elaboración de un programa . Se fijan las fechas de inicio y
    finalización para cada una de las actividades que se vayan a realizar en
    el primer ejercicio . Se obtendrá un calendario.
     Realización de las actividades marcadas como objetivos de
    actuación durante el primer ejercicio.
     Presentación al director de informática del borrador del informe
    obtenido.
     Entrega del informe final , tanto a la dirección de informática como
    a la dirección de la empresa.

    Prioridades de Actuación ( primer ejercicio ):

     Revisar la política de personal para verificar la adecuación de los


    dispositivos de control y el cumplimiento de las normas.
     Revisar y verificar los procedimientos de análisis de costes.
     Ayudar en el desarrollo e implantación de las normas.
     Participar en el desarrollo y pruebas de sistemas.
     Dirigir revisiones periódicas después de la implantación.
     Verificar y comprobar la existencia de documentación de cualquier
    proyecto que se lleve a cabo.
     Verificar que se está haciendo un uso eficaz tanto del software como del
    hardware.
     Revisar el inventario Hardware . Así como los procedimientos de
    mantenimiento del mismo.
     Verificar el plan de seguridad física .
     Revisar y probar los procedimientos de recuperación de desastres.
     Probar los procedimientos de backup.

    Todas estás actividades serán ampliadas en próximos ejercicios o bien


    cuando se crea conveniente la ampliación del departamento .
    Auditoría Informática 6

    CASO PRÁCTICO 5 :

    EVALUACION DE LA ESTRUCTURA MANUAL DE FUNCIONES


    Y PLANES DE FORMACIÓN DE LA EMPRESA “ABC S.A.”

    El grupo de Auditoría creado en el caso anterior , en una de sus primeras


    funciones pasa a hacer un estudio de la estructura manual de funciones así
    como de los planes de formación que existen en la actualidad en el
    departamento de informática de la empresa “ABC S.A.” .

    En una primera evaluación se llega a las siguientes conclusiones :

    1. ESTRUCTURA :

    Los empleados del departamento de informática no tienen muy clara la


    estructura por la cual se rige dicho departamento esto crea confusiones
    entre los trabajadores . La dirección de la empresa es reacia a la
    publicación de organigramas por lo que la estructura se entiende como algo
    implícito.

    Por lo que se ha podido averiguar se tiende hacia una estructura plana , con
    un director definido y tres mandos medios.

    Director Informática

    Director Sistemas Director Tecnología Director Desarrollo

    El problema surge por debajo de las tres direcciones existentes: Sistemas ,


    Tecnología y Desarrollo donde no hay una estructura muy definida que
    Auditoría Informática 7

    ayude a diferenciar entre p.e. técnicos de sistemas junior y senior o


    programadores , analístas y analístas-programadores.

    Sin duda una estructura transparente y definida, conocida por todos los
    empleados ayudaría a tener más claro cuales son los escalafones que
    existen tanto por encima como por debajo de él. También ayudaría para una
    obtener unas retribuciones salariales más justas y equitativas.

    También se aconseja la formación de un comité de I.T. que estaría formado


    por el director de informática y los tres mandos medios, donde se daría a
    conocer los proyectos en los que está implicado cada área para que exista
    un mayor conocimiento y coordinación dentro de todo el departamento.

    2. DEFINICION DE FUNCIONES Y RESPONSABILIDADES:

    Se detecta un grave riesgo de fraude , debido a que en muchos de los casos


    analizados no están separadas las funciones de ejecución y de control .

    También se echa en falta un manual de funciones y responsabilidades


    donde quede escrito quien realiza , asesora, colabora, aprueba y controla
    cada una de las funciones que se llevan a cabo en el departamento de
    informática .

    Se aconseja una definición clara de las funciones y responsabilidades ya


    que esta repercutiría en un aumento de la eficacia y motivación del
    personal , ya que sabrían en todo momento lo que pueden y deben hacer
    evitando solapamientos y áreas sin cubrir así mismo se considera de vital
    importancia el manual de funciones el cual debería ser aprobado por la
    dirección . Una de las herramientas más útiles para plasmar estas funciones
    y responsabilidades es la llamada “Matriz de responsabilidades” la cual
    indica gráficamente para cada función que responsabilidad tiene cada
    puesto.

    3. NORMAS Y PROCEDIMIENTOS INTERNOS .

    Después de una primera revisión se comprueba que existe una base de


    datos en lotus notes llamada “manual de normas y metodologías de I.T.” en
    la cual se describen algunas de las normas por las que se rige el
    departamento así como algunos procedimientos , pero se observa que esta
    no se actualiza desde hace tiempo amen de carecer de una estructura logica.
    Auditoría Informática 8

    Este manual es muy importante para conseguir un funcionamiento


    coordinado de las diferentes áreas que forman el departamento, así como
    para obtener unos niveles de calidad aceptables y garantizar la capacidad de
    mantener los sistemas.

    Se aconseja que la base de datos que contiene el manual sea actualizada y


    reorganizada . Una posible estructura sería la siguiente :

    - Primeramente una descripción previa del manual que contenga un


    índice, una justificación , buzón de sugerencias etc...
    - Procedimientos generales del departamento ( estructura, políticas... ).
    - Procedimientos y normas relativas a Administración ( Gestión de
    personal, aprovisionamientos , seguridad ... ).
    - Procedimientos y normas relativas a Sistemas.
    - Procedimientos y normas relativas a Desarrollo.
    - Procedimientos y normas relativas a Tecnología.
    - Normas y directrices para uso de los recursos hardware y software.
    - Biblioteca de software.
    - Nomenclatura de elementos informáticos ( sistemas, aplicaciones,
    cadenas ... ).
    - Uso de recursos de tiempo compartido.

    Es importante que toda norma o procedimiento que sufra cualquier cambio


    sea actualizada oportunamente, y que existan personas que se encarguen de
    dicha actualización y renovación de la base de datos de normas ya que sino
    esta queda rápidamente desactualizada por lo que pierde parte de su
    utilidad.

    También es muy importante que estas normas sean conocidas , aprobadas


    y respaldadas por la dirección.

    4. PLANES DE FORMACION .

    En esta área se detectan también después de una primera revisión graves


    deficiencias, ya que la definición de los planes de formación comienza con
    una definición de los puestos de trabajo, la cual no existe en la actualidad.
    Sin esta definición de los puestos y las habilidades necesarias para
    desempeñarlo con eficacia se hace muy difícil definir un plan de formación
    individualizado.

    Después del estudio como se ha comentado en el punto anterior se echa en


    falta un manual o base de datos donde se describan los puestos de trabajo
    Auditoría Informática 9

    del departamento de informática por lo que se insta a una rápida creación


    de la misma ya que es fundamental para tener un adecuado plan de
    formación.

    Este plan de formación debería estar basado en un catalogo donde se


    describiese cada uno de los puestos de trabajo del departamento de
    informática . Los puntos clave que debería tener el plan de formación son
    los siguientes :

    - Definir puestos con sus tareas y responsabilidades.


    - Conocimientos y habilidades necesarias para cubrir dicho puesto.
    - Definir la carrera académica ( conjunto de cursos y estructuración de los
    mismos en el tiempo ) para cada puesto de trabajo.
    - Elegir de entre la oferta, o solicitar la confección de cursos que cumplan
    los objetivos necesarios.
    - Elaborar un catalogo de cursos.
    - Particularizar la carrera académica, colocando, al lado de los objetivos,
    los posibles cursos concretos para lograrlos.
    - Establecer mecanismos administrativos de soporte.
    - Establecer mecanismos administrativos de control y seguimiento.
    - Establecer mecanismos de reevaluación.

    Actualmente no se dispone de un plan de formación anual ya que los


    cursos se van impartiendo según necesidad . Debería de realizarse en el
    último trimestre de cada año un plan de cursos para realizar en el año
    siguiente cada persona y dotarlo de un presupuesto.

    Una vez que se de a conocer el plan de formación para el siguiente año


    debe ser respetado y considerarse a la hora de determinar las tareas a
    realizar por los empleados a lo largo del año. Esto no quiere decir que este
    plan de formación no sea flexible ya que pueden surgir determinadas
    necesidades a lo largo del año que hagan que se añadan o quiten ciertos
    cursos.

    También se ha detectado que durante los últimos tres años la formación de


    los técnicos informáticos se ha orientado hacia aspectos exclusivamente
    informáticos , dejando un vacío en la formación de los aspectos de
    dirección y control de proyectos.

    Es de considerar en este estudio que dentro de los “planes de formación”


    existentes se contemplan ayudas para ciertos cursos que quieran hacer los
    empleados por su cuenta y que estén relacionados con su puesto de trabajo.
    Auditoría Informática 10

    Así como una ayuda del 60% para los cursos relacionados con el
    aprendizaje del idioma Inglés.

    Existe a su vez una base de datos en lotus notes llamada “Gestión de


    Cursos” en la que aparece cada uno de los empleados y los cursos a los que
    ha asistido durante el año correspondiente.
    Auditoría Informática 11

    También podría gustarte