UNIDAD Nº 2 METODOS DE AUDITORIA

Papel Del Auditor Informático.

Si se entiende que la auditoria informática comprende las tareas de evaluar, analizar los procesos informáticos, el papel de auditor debe estar encaminado hacia la búsqueda de problemas existentes dentro de los sistemas utilizados, y a la vez proponer soluciones para estos problemas. Además que el auditor Informático debe estar capacitado en los siguientes aspectos:

Deberá ver cuándo se puede conseguir la máxima eficacia y rentabilidad de los medios informáticos de la empresa auditada, estando obligado a presentar recomendaciones acerca del reforzamiento del sistema y del estudio de las soluciones más idóneas, según los problemas detectados en el sistema informático, siempre y cuando las soluciones que se adopten no violen la ley ni los principios éticos.
Una vez estudiado el sistema informático a auditar, el auditor deberá establecer los requisitos mínimos, aconsejables y óptimos para su adecuación con la finalidad de que cumpla para lo que fue diseñado, determinando en cada clase su adaptabilidad, su fiabilidad, limitaciones, posibles mejoras, costos.

 El auditor deberá lógicamente abstenerse de recomendar actuaciones innecesariamente onerosas, dañina, o que genere riesgo in justificativo para el auditado e igualmente de proponer modificaciones carentes de bases científicas insuficientemente probadas o de imprevisible futuro.

El auditor al igual que otros profesionales (Ej. Médicos, abogados, educadores, etc.) pueden incidir en la toma de decisiones en la mayoría de sus clientes con un elevado grado de autonomía, dado la dificultad práctica de los mismos, de constatar su capacidad profesional y en desequilibrio de desconocimientos técnicos existente entre al auditor y los auditados (Puede pesar gravemente).
El auditor deberá prestar sus servicios de acuerdo a las posibilidades de la ciencia y a los medios a su alcance con absoluta libertad, respecto a la utilización de dichos medios y en unas condiciones técnicas adecuadas para el idóneo cumplimiento de su labor. En los casos en que precariedad de los medios puestos a su disposición, impidan o dificulten seriamente la realización de la auditoria deberá negarse realizar hasta que se le garantice un mínimo de condiciones técnicas que no comprometan la calidad de sus servicios o dictámenes.

Cuando durante la ejecución de la auditoria, el auditor considere conveniente recabar informe de otros más calificados, sobre un aspecto o incidencia que superase su capacidad profesional para analizarlo en idóneas condiciones deberá remitir el mismo a un especialista en la materia o recabar su dictamen para reforzar la calidad y viabilidad global de la auditoria. El auditor debe actuar con cierto grado de humildad evitando dar la impresión de estar al corriente de una información privilegiada sobre nuevas tecnologías a fin de actuar en de previsiones rectas y un porcentaje de riesgo debidamente fundamentado. El auditor tanto en sus relaciones con el auditado como con terceras personas deberá en todo momento, deberá actuar conforme a las normas implícitas o explícitas de dignidad de la profesión y de corrección en el trato personal. (Que en todo momento, como cuando estamos en el bar, cafetería, o fiesta por que los auditores tienen la responsabilidad). El auditor deberá facilitar e incrementar la confianza de auditado en base a una actuación de transparencia, en su actividad profesional sin alardes científico- técnico, que, por su incomprensión, pueden restar credibilidad a los resultados obtenidos y a las directrices aconsejadas.

Tipos de Auditoria Informática.

Auditoria Informática De Explotación: La explotación informática se ocupa de producir resultados, tales como listados, archivos soportados magnéticamente, órdenes automatizadas, modificación de procesos, etc. Para realizar la explotación informática se dispone de datos, las cuales sufren una transformación y se someten a controles de integridad y calidad. (Integridad nos sirve a nosotros; la calidad es que sirven los datos, pero pueden que no sirvan; estos dos juntos realizan una información buena).

Auditoria Informática De Desarrollo De Proyectos O Aplicaciones: La función de desarrollo es una evaluación del llamado Análisis de programación y sistemas. Así por ejemplo una aplicación podría tener las siguientes fases:

ü  Prerrequisitos del usuario y del entorno

ü   Análisis funcional

ü  Diseño

ü  Análisis orgánico (pre programación y programación)

ü  Pruebas

ü  Explotación

Todas estas fases deben estar sometidas a un exigente control interno, de lo contrario, pueden producirse insatisfacción del cliente, insatisfacción del usuario, altos costos, etc. Por lo tanto la auditoria deberá comprobar la seguridad de los programas, en el sentido de garantizar que el servicio ejecutado por la máquina, los resultados sean exactamente los previstos y no otros (El nivel organizativo es medio por los usuarios, se da cuenta el administrador Ej. La contabilidad debe estar cuadrada).

Auditoria Informática De Sistemas: Se ocupa de analizar la actividad que se conoce como técnica de sistemas, en todos sus factores. La importancia creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones informáticas se auditen por separado, aunque formen parte del entorno general del sistema (Ej. De auditar el cableado estructurado, ancho de banda de una red LAN).

Auditoria Informática De Comunicación Y Redes: Este tipo de auditoría deberá inquirir o actuar sobre los índices de utilización de las líneas contratadas con información sobre tiempos de uso y de no uso, deberá conocer la topología de la red de comunicaciones, ya sea la actual o la desactualizada. Deberá conocer cuantas líneas existen, como son, donde están instaladas, y sobre ellas hacer una suposición de inoperatividad informática. Todas estas actividades deben estar coordinadas y dependientes de una sola organización (Debemos conocer los tipos de mapas actuales y anteriores, como son las líneas, el ancho de banda, suponer que todas las líneas están mal, la suposición mala confirmarlo).

Auditoria De La Seguridad Informática: Se debe tener presente la cantidad de información almacenada en el computador, la cual en muchos casos puede ser confidencial, ya sea para los individuos, las empresas o las instituciones, lo que significa que se debe cuidar del mal uso de esta información, de los robos, los fraudes, sabotajes y sobre todo de la destrucción parcial o total. En la actualidad se debe también cuidar la información de los virus informáticos, los cuales permanecen ocultos y dañan sistemáticamente los datos.

Campos de Acción de la Auditoria Informática.

Su campo de acción será:

a)            Evaluación administrativa del área de informática.

1.     Los objetivos del área

2.     Metas, planes, políticas y procedimientos de procesos electrónicos estándar.

3.     Organización del área y su estructura orgánica.

4.     Funciones, niveles de autoridad y responsabilidad del área de sistemas.

5.     Integración de los recursos materiales y técnicos

6.     Costos y controles presupuestales

7.     Controles administrativos del área

b) Evaluación de los sistemas, procedimientos, y de la eficiencia que se tiene en el uso de la información.

1.     Análisis de los sistemas y sus diferentes etapas.

2.     Evaluación del diseño lógico del sistema.

3.     Evaluación del desarrollo físico del sistema

4.     Control de proyectos

5.     Control de sistemas y programación

6.     Instructivos y documentación

7.     Formas de implantación

8.     Seguridad lógica y física de los sistemas y sus datos.

9.     Confidencialidad de los sistemas

10.   Controles de mantenimiento y forma de respaldo de los sistemas.

11.   Utilización de los sistemas.

c) Evaluación del proceso de datos y de los equipos de procesamiento.

1.     Controles de los datos fuentes y manejo de cifras de control

2.     Control de operación

3.     Control de salida

4.     Control de asignación de trabajos

5.     Control de asignación de medios de almacenamiento masivos

6.     Control de otros elementos de cómputo

7.     Orden en el Centro de Procesamiento.

8.     Seguridad física y lógica.

9.     Respaldos.

Planeación de la Auditoria Informática.

La definición de los objetivos perseguidos en la auditoria informática debe preceder a la elección de los medios y de las acciones, si se pretende evitar el predominio de estos últimos.

Para lograr un buena planeación es conveniente primero obtener información general sobre la organización y sobre la función informática a evaluar. Para ello es preciso una investigación preliminar y algunas entrevistas previas, para establecer un programa de trabajo en el que se incluirá el tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la AI.

Investigación Preliminar

 

Se debe recopilar información para obtener una visión general del área a auditar por medio de observaciones, entrevistas preliminares y solicitudes de documentos. La finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

La planeación de la auditoría debe señalar en forma detallada el alcance y dirección esperados y debe comprender un plan de trabajo para que, en caso de que existan cambios o condiciones inesperadas que ocasionen modificaciones al plan general, sean justificadas por escrito.

Se debe hacer una investigación preliminar solicitando y revisando la información de cada una de las áreas de la organización.

Para poder analizar y dimensionar la estructura por auditar se debe solicitar:

1- A nivel Organización Total:

a)      Objetivos a corto y largo plazo

b)      Manual de la Organización

c)       Antecedentes o historia del Organismo

d)      Políticas generales

2- A nivel Área informática:

a)      Objetivos a corto y largo plazo