Metodologas de Auditora de Sistemas Objetivos Conocer la definicin de Metodologa de Auditora de Sistemas. Presentar los tipos metodologas de trabajo que actualmente se realizan en Auditora de Sistemas. Describir las distintas herramientas para aplicar las metodologas.
Definicin de Metodologa La palabra metodologa viene del griego. Esta formada de Methodos (mtodos) y logia (ciencia o estudio de) La palabra Methodos esta formada de meta (afuera o mas all) y hodos (camino o viaje). Camino y viaje viendo siendo, el plan o trayecto Conjunto de procedimientos que determinan una investigacin de tipo cientfico o marcan el rumbo de una exposicin magistral. Definicin de Auditora de Sistemas Es el examen objetivo, crtico, sistemtico, posterior y selectivo que se hace a la administracin informtica de una organizacin, con el fin de emitir una opinin acerca de: La eficiencia en la adquisicin y utilizacin de los recursos informticos. La confiabilidad, la integridad, la seguridad y oportunidad de informacin. La efectividad de los controles en los sistemas de informacin. Definicin de Metodologa de Auditora Sistemas 1. Un camino estructurado de forma lgica para asegurar el xito de proyectos de auditora de informtica.
2. Un grupo de etapas que pueden adaptarse a empresas pequeas, medianas y grandes de cualquier giro para planear y desarrollar proyectos de auditora en informtica
Tipos de Metodologa de Auditora de Sistemas En la actualidad existen tres tipos de metodologas de auditora informtica: R.O.A. (Risk Oriented Aproach), diseada por Arthur Andersen. Checklist o cuestionarios Auditoras de Productos (por ejemplo, red local windows NT, 2003; sistemas de Gestin de Base de Datos DB2; paquete de seguridad RACF, etc.)
En s las tres metodologas estn basadas en la minimizacin de los riesgos, que se conseguir en funcin de que existan los controles y que stos funcionen. En consecuencia, el auditor deber revisar estos controles y su funcionamiento.
De estas tres metodologas, la ms adecuada a la Auditora de las PYMES es a nuestro juicio la de CHECKLIST, por ser la de ms fcil utilizacin.
METODOLOGA DE UNA AUDITORA DE SISTEMAS Existen algunas metodologas de Auditoras de Sistemas y todas dependen de lo que se pretenda revisar o analizar, pero como estndar analizaremos las cuatro fases bsicas de un proceso de revisin: Estudio preliminar Revisin y evaluacin de controles y seguridades Examen detallado de reas criticas Comunicacin de resultados Estudio preliminar -Incluye definir el grupo de trabajo, -El programa de auditora -Efectuar visitas a la unidad informtica para conocer detalles de la misma, -Elaborar un cuestionario para la obtencin de informacin para evaluar preliminarmente el control interno, -Solicitud de plan de actividades, -Manuales de polticas, reglamentos, -Entrevistas con los principales funcionarios. Revisin y evaluacin de controles y seguridades.- Consiste de la revisin de los diagramas de flujo de procesos, Realizacin de pruebas de cumplimiento de las seguridades, revisin de aplicaciones de las reas criticas, Revisin de procesos histricos (backups), Revisin de documentacin y archivos, entre otras actividades.
Examen detallado de reas criticas.- Con las fases anteriores el auditor descubre las reas criticas y sobre ellas hace : un estudio y anlisis profundo en los que definir concretamente su grupo de trabajo y la distribucin de carga del Establecer los motivos, objetivos, alcance, recursos que usar, definir la metodologa de trabajo Duracin de la auditora, Presentar el plan de trabajo y analizar detalladamente cada problema encontrado con todo lo anteriormente analizado.
Comunicacin de resultados Se elaborar el borrador del informe a ser discutido con los ejecutivos de la empresa hasta llegar al informe definitivo, el cual se presentar esquemticamente en forma de matriz, cuadros o redaccin simple y concisa que destaque los problemas encontrados, los efectos y las recomendaciones de la Auditora. El informe debe contener lo siguiente: Motivos de la Auditora Objetivos Alcance Estructura Orgnico-Funcional del rea Informtica Configuracin del Hardware y Software instalado Control Interno Resultados de la Auditora
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
Se requieren varios pasos para realizar una auditora:
El auditor de sistemas debe evaluar los riesgos globales
Desarrollar un programa de auditora que consta de objetivos de control y procedimientos de auditora que deben Satisfacer esos objetivos.
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
El proceso de auditora exige que el auditor de sistemas rena evidencia.
Evale Fortalezas y debilidades de los controles existentes basado en la evidencia recopilada, y que prepare un informe de auditora que presente esos temas en forma objetiva a la gerencia.
PROCEDIMIENTOS Y TECNICAS DE AUDITORIA.
La gerencia de auditora debe garantizar una disponibilidad y asignacin adecuada de recursos para realizar el trabajo de auditora.
Revisiones de seguimiento sobre las acciones correctivas emprendidas por la gerencia. Planificacin de la auditora Comprensin del negocio y de su ambiente. Riesgo y materialidad de auditora. Tcnicas de evaluacin de Riesgos. Objetivos de controles y objetivos de auditora. Procedimientos de auditora.