Auditora Informtica
Definicin
Auditora Informtica
Definicin
Auditora Informtica
Causas
Las causas que pueden originar la realizacin de una AI pueden ser:
Desorganizacin/Descoordinacin
Ej: Duplicidad de informacin
Insatisfaccin de usuarios
Ej: Inadecuado soporte informtico
Debilidades econmico-financieras
Ej: Desviaciones presupuestarias significativas
Inseguridad de los SI
Ej: Falta de proteccin fsica y lgica
Cumplimiento de la legalidad
Ej: Proteccin de datos de carcter personal
Auditora Informtica
Objetivos
Los objetivos de la Auditora Informtica son:
Auditora Informtica
El Auditor
Auditora Informtica
El Auditor - Formacin
Son recomendables los siguientes niveles de formacin de un
auditor:
Acadmica: Estudios a nivel tcnico, licenciatura o
postgrado en administracin, informtica, comunicacin.
Complementaria: Instruccin en la materia, obtenida a lo
largo de la vida profesional por medio de diplomados,
seminarios, foros y cursos, entre otros.
Emprica: Conocimiento resultante de la implementacin de
auditoras en diferentes instituciones sin contar con un grado
acadmico.
Auditora Informtica
El Auditor Habilidades y destrezas
Un auditor debe ser poseedor de las siguientes caractersticas:
Actitud positiva.
Estabilidad emocional.
Capacidad de observacin.
Objetividad.
Sentido institucional.
Saber escuchar.
Iniciativa.
Discrecin.
Creatividad.
Capacidad de negociacin.
Comportamiento tico.
Imaginacin.
Mente analtica.
Auditora Informtica
El Auditor Normas Profesionales
Un auditor debe afrontar su compromiso con respeto y en apego a normas
profesionales tales como:
Objetividad. Mantener una visin independiente de los hechos,
evitando formular juicios o caer en omisiones, que alteren de alguna
Auditora Informtica
El Auditor Normas Profesionales
Un auditor debe afrontar su compromiso con respeto y en apego a normas
profesionales tales como:
Equilibrio. No perder la dimensin de la realidad y el significado de los
hechos.
Auditora Informtica
El Auditor - Caractersticas
Qu deben hacer los auditores
Recomendar
Ser independientes, objetivos
Ser competentes en AI
Diagnosticar en funcin de
verificaciones
Actualizarse en cuanto a avances
Qu no deben hacer
Obligar o amenazar
Actuar en beneficio propio
Asumir trabajos sin preparacin
adecuada
Diagnosticar en funcin de
suposiciones
Dejar obsoletos sus
conocimientos
Vs.
El auditor
El auditado
Auditora Informtica
El Departamento de Auditora
DIRECCIN
GENERAL
FINANCIERA
AUDITORIA
INFORMTICA
ORGANIZATIVA
AREA 1
AREA 2
AREA 3
Auditora Informtica
El Departamento de Auditora
La organizacin tipo de la AI debe contemplar los
siguientes principios:
Debe ser parte de la Direccin o estar muy prxima a
ella.
Debe disponer de su propio estatuto donde se indique su
dependencia, sus atribuciones y sus funciones o deberes.
Las personas deben ser una mezcla de aquellas con
formacin en auditora y organizacin y aquellas con
perfil informtico.
La organizacin operativa debe ser la de un grupo
independiente con acceso total a los SI y a la informacin
Auditora Informtica
Tipos
Se pueden distinguir varios tipos de AI segn:
reas a considerar
El realizador
El mbito
La especificidad
Auditora Informtica
Tipos - Segn reas a considerar
La AI puede centrarse en 4 reas centrales:
Direccin de informtica
Usuarios
Interna
Seguridad
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Auditora Informtica
Tipos - Segn reas a considerar
La combinacin de reas generales con especficas permiten distinguir
hasta 19 tipos de auditoras.
Areas Especficas
Areas Generales
Interna
Explotacin
Desarrollo
Sistemas
Comunicaciones
Seguridad
Direccin
Usuario
Seguridad
Auditora Informtica
Tipos - Segn los realizadores
Auditora Interna
Es realizada por una entidad funcional perteneciente a la propia estructura
organizativa de la empresa y como contraprestacin reciben una remuneracin
econmica.
Auditora Externa
Se realiza por personas ajenas a la empresa. La empresa contrata un servicio
para auditar su sistema de informacin por personas externas a la misma.
A veces se adjudica la posibilidad de auditar un sistema de informacin a varias
auditoras, centrndose generalmente cada una en un rea determinada.
El contrato debe sealar la duracin de la auditora y de cada una de las fases
en que el trabajo se encuentra dividido, tanto en tiempo total como parciales.
Auditora Mixta
Se trata, mediante la creacin de un equipo mixto de auditores (internos y
externos), de llevar a cabo el trabajo de auditora.
Auditora Informtica
Auditora Interna vs. Externa
Existen diferencias substanciales entre la Auditora Interna y la Auditora
Externa, algunas de las cuales se pueden detallar as:
En la Auditora Interna existe un vnculo laboral entre el auditor y la
empresa, mientras que en la Auditora Externa la relacin es de tipo civil.
En la Auditora Interna el diagnstico del auditor, esta destinado para la
empresa; en el caso de la Auditora Externa este dictamen se destina
generalmente para terceras personas o sea ajena a la empresa.
La Auditora Interna est inhabilitada para dar Fe Pblica, debido a su
vinculacin contractual laboral, mientras la Auditora Externa tiene la facultad
legal de dar Fe Pblica.
Auditora Informtica
Auditora Interna vs. Externa
Una Empresa o Institucin que posee auditora interna puede y debe en
ocasiones contratar servicios de auditora externa. Las razones para hacerlo
suelen ser:
Necesidad de auditar una materia de gran especializacin, para la cual
los servicios propios no estn suficientemente capacitados.
Contrastar algn Informe interno con el que resulte del externo, en
aquellos supuestos de emisin interna de graves recomendaciones que
chocan con la opinin generalizada de la propia empresa.
Servir como mecanismo protector de posibles auditoras informticas
externas decretadas por la misma empresa.
Aunque la auditora interna sea independiente del Departamento de
Sistemas, sigue siendo la misma empresa, por lo tanto, es necesario
que se le realicen auditoras externas como para tener una visin desde
afuera de la empresa.
Auditora Informtica
Tipos Segn el mbito de aplicacin
1. Auditora de cifras: Consiste en Conocer y evaluar la fiabilidad de la
informacin que maneja el sistema.
Control de entrada de datos.
Control del tratamiento de los datos.
Control de salidas de datos.
2. Auditora de los procedimientos: Tiene como objetivo el anlisis y
evaluacin de la adecuacin de los mtodos utilizados, la documentacin
utilizada y la normativa aplicada.
Adecuacin de los mtodos utilizados.
Adecuacin de la documentacin.
Adecuacin de la normativa aplicada.
3. Auditora de la gestin: Trata de analizar si el modelo de la estructura
organizativa informtica de una empresa es el adecuado as como la
problemtica que el mismo plantea revisando el grado de integracin de la
informacin en la empresa.
Auditora Informtica
Tipos Segn la especificidad
En ciertas ocasiones los objetivos de la AI son muy especficos, de tal
forma que pueden existir por ejemplo:
Auditora del cumplimiento de controles de transferencia de
aplicaciones del entorno de desarrollo al entorno de explotacin.
Auditora del cumplimiento de la legislacin vigente.
Auditora Informtica
Metodologa para la realizacin de una AI
1.
2.
3.
4.
5.
6.
Auditora Informtica
Metodologa para la realizacin de una AI
1. Definicin de mbito y Objetivos.
El mbito de la auditora marcar los lmites de la misma, y ser
necesario un pleno acuerdo entre auditores y clientes sobre las
funciones, las materias y las organizaciones a auditar.
Deben fijarse desde el principio objetivos de la AI que deben ser
medibles como por ejemplo: evaluacin del funcionamiento de las
reas de informtica, incremento de la calidad, aumento de la
seguridad y fiabilidad.
Auditora Informtica
Metodologa para la realizacin de una AI
2. Estudio Previo.
Se examinarn las funciones y actividades generales de la informtica
como son:
El entorno organizativo: Se analiza el organigrama del Dpto de
Informtica.
El entorno operativo: Se revisarn los principales procesos
informticos realizados considerando las aplicaciones en
explotacin, las metodologas de diseo, la documentacin y las
fuentes de datos.
El entorno tcnico: Se revisar todo lo relacionado con el soporte
de los SI considerando la arquitectura y soporte fsico y lgico, el
inventario de HW y SW, las comunicaciones.
Auditora Informtica
Metodologa para la realizacin de una AI
3. Determinacin de recursos.
Auditora Informtica
Metodologa para la realizacin de una AI
4. Elaboracin del Plan.
Auditora Informtica
Metodologa para la realizacin de una AI
5. Realizacin.
En esta fase se llevan a la prctica los planes y programas realizados,
utilizando las tcnicas y herramientas previstas.
Las tcnicas a utilizar pueden ser: entrevistas, revisiones, pruebas,
simulaciones, muestreos.
Auditora Informtica
Metodologa para la realizacin de una AI
6. Elaboracin del Informe Final.
La estructura del informe final de AI recoger los siguientes puntos:
Presentacin.
Definicin del mbito y objetivos.
Enumeracin de temas considerados.
Anlisis de la situacin actual.
Recomendaciones
Auditora Informtica
Herramientas, tcnicas y normas para la AI
1.
2.
3.
4.
5.
6.
Las entrevistas.
Los cuestionarios o checklist (de rango o binarios).
Los estndares.
Rastreos o huellas.
Software de interrogacin.
Buenas prcticas de control relacionadas: COBIT
(Control Objectives for Information and Related
Technology)