SlideShare una empresa de Scribd logo

Informe metologico que indica el paso a paso para hacer una auditoria informatica

Descargar como DOCX, PDF
S
Stefany Gamero

Este documento presenta las distintas fases para la elaboración de un informe de auditoría informática. Describe 7 fases que incluyen la definición del alcance y objetivos, un estudio inicial, determinación del entorno operacional, recursos requeridos, elaboración de un plan de trabajo y programa, y la presentación de un informe final. Explica cada fase en detalle y proporciona información sobre herramientas, técnicas, y perfiles profesionales requeridos para realizar una auditoría informática. El propósito es servir como guía met

Educación
1 de 19
REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” ESCUELA DE INGENIERIA DE SISTEMAS EXTENSIÓN MATURIN REALIZACIÓN DE UN DOCUMENTO METODOLÓGICO QUE INDIQUE PASO A PASO LA ELABORACIÓN DE UN INFORME DE AUDITORÍA INFORMATICA Asesor: Bachiller: Prof. Yakarina González Gamero Stefany CI. 24.118.238 Sección G Maturín, Agosto de 2015.
2 Índice Introducción...........................................................................................................................3 Objetivos................................................................................................................................4 Objetivo General...............................................................................................................4 Objetivos Específicos ......................................................................................................4 Bases Teóricas.....................................................................................................................5 Pautas para la elaboración del informe ........................................................................5 Fase 1: Definición de Alcance y Objetivos ...............................................................5 Fase 2: Estudio Inicial..................................................................................................5 Fase 3: Entorno Operacional......................................................................................7 Fase 4: Determinación de recursos de la Auditoría Informática ...........................9 Fase 6: Informe Final .................................................................................................12 Fase 7: Carta de Introducción o Presentación del Informe Final........................14 Herramientas y Técnicas para la Auditoría Informática ...........................................15 Conclusión...........................................................................................................................18 Referencias Bibliográficas ................................................................................................19
3 Introducción Cada día, con el avance de la tecnología, las organizaciones han implementado nuevos sistemas de información, reemplazando así todo lo manual, disminuyendo errores y trabajo. En la actualidad los temas relativos a la auditoría informática cobran cada vez más relevancia, debido a que la información se ha convertido en el activo más importante de las empresas, representando su principal ventaja estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información, con el fin de obtener la mayor productividad y calidad posibles. Hoy, a las puertas del siglo XXI, estamos inmersos en un profundo cambio, las empresas y organizaciones dependen de las pautas económicos, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si las tendencias tecnológicas y los entornos económicos e industriales cambian, deben adaptarse rápidamente a las nuevas circunstancias para sobrevivir. Este cambio es muy rápido, está afectando al mundo entero, y su comprensión es fundamental para las organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologías de información. Aunque los avances tecnológicos de los últimos veinte años han sido constantes y espectaculares, en los últimos cinco se ha producido una verdadera revolución tecnológica de gran envergadura e impacto para la propia industria informática, así como de consecuencias importantes para el resto de sectores. Cada vez, con mayor frecuencia, un mayor número de organizaciones considera que la información y la tecnología asociada a ella representan sus activos más importantes. Entonces, de igual modo que se exige para los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e información, son indispensables. La gerencia, por ende, debe establecer un sistema de control interno adecuado y tal sistema debe soportar debidamente los procesos del negocio.
4 Objetivos Objetivo General Realizar un documento metodológico que indique el paso a paso para la elaboración de un informe de auditoría informática. Objetivos Específicos  Indagar las referencias bibliográficas del tema en estudio.  Determinar las pautas para la elaboración del informe, de acuerdo a la metodología escogida.  Elaborar el informe para que sirva de ayuda a próximos estudiantes y también, cualquier organización o empresa que quiera realizar una auditoria informática.
5 Bases Teóricas Pautas para la elaboración del informe Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática. Según esta metodología, el método de trabajo del auditor pasa por las siguientes etapas: Fase 1: Definición de Alcance y Objetivos El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del informe final. Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los sistemas y los controles generales de gestión informática. Fase 2: Estudio Inicial Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente: Organización:
6 Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: a) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia. b) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. c) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. d) Flujos de Información: Además de las corrientes verticales interdepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extra-departamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización. e) Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.
7 Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes. f) Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. Fase 3: Entorno Operacional El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: a) Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. b) Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. c) Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.
8 El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. d) Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa. Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: a) Volumen, antigüedad y complejidad de las Aplicaciones b) Metodología del Diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. c) Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de los mismos. d) Cantidad y complejidad de Bases de Datos y Ficheros: El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.
9 Fase 4: Determinación de recursos de la Auditoría Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.  Recursos humanos  Recursos materiales Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: a) Recursos materiales Software  Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.  Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b) Recursos materiales Hardware: Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir él, tiempo de máquina, espacio de disco, impresoras ocupadas, etc. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente señalable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
10 Perfiles Profesionales de los auditores informáticos Profesión Actividades y conocimientos deseables Informático en general Con experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Computos. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información. Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes. Elaboración del Plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
11  En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos  En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios  En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.  El Plan establece disponibilidad futura de los recursos durante la revisión.  El Plan estructura las tareas a realizar por cada integrante del grupo.  En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto. Fase 5: Actividades de la Auditoría Informática Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad. Técnicas de Trabajo:  Análisis de la información recabada del auditado  Análisis de la información propia  Cruzamiento de las informaciones anteriores  Entrevistas  Simulación  Muestreos
12 Herramientas:  Cuestionario general inicial  Cuestionario Checklist  Estándares Monitores  Simuladores (Generadores de datos)  Paquetes de auditoría (Generadores de Programas)  Matrices de riesgo Fase 6: Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.  Definición de objetivos y alcance de la auditoría.  Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.  Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas
13 d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de la exposición del informe final:  El informe debe incluir solamente hechos importantes: La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.  El Informe debe consolidar los hechos que se describen en el mismo: El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: a) El hecho debe poder ser sometido a cambios. b) Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. c) No deben existir alternativas viables que superen al cambio propuesto. d) La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad: a) Hecho encontrado  Ha de ser relevante para el auditor y pera el cliente  Ha de ser exacto, y además convincente.  No deben existir hechos repetidos. b) Consecuencias del hecho  Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. c) Repercusión del hecho
14  Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. d) Conclusión del hecho  No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. e) Recomendación del auditor informático  Deberá entenderse por sí sola, por simple lectura.  Deberá estar suficientemente soportada en el propio texto.  Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Fase 7: Carta de Introducción o Presentación del Informe Final La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:  Tendrá como máximo 4 folios  Incluirá fecha, naturaleza, objetivos y alcance  Cuantificará la importancia de las áreas analizadas.  Proporcionará una conclusión general, concretando las áreas de gran debilidad.  Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.
15 Herramientas y Técnicas para la Auditoría Informática Cuestionarios Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado. Entrevistas El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: a) Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. b) Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. c) Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
16 La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular. Checklist El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
17 El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
18 Conclusión El presente informe tiene la finalidad, de dar a conocer detalladamente las fases o los pasos que utiliza un auditor junto con su equipo de coauditores para la realización de una auditoria informática. La auditoria informática es una evaluación y revisión de los procedimientos informáticos, sistemas, de los equipos cómputos, su utilización, eficiencia y seguridad, de la empresa u organización en la que procesan la información, a fin de que se logre una utilización más eficiente y segura de la información que servirá en un momento determinado para situaciones que se presenten o cualquier toma de decisiones. Cada auditoria informática es diferente, esta se va a realizar de acuerdo a la metodología conocida por el auditor y su equipo, también va a depender de la actualización tecnológica o modernismo en que se desenvuelva la empresa y el auditor. Es importante la realización de la misma, ya que mejora la imagen pública de la empresa, genera confianza en los usuarios sobre la seguridad y control de los servicios de tecnologías de información, optimiza las relaciones internas y del clima de trabajo, disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros) y genera un balance de los riesgos en las tecnologías de información.
19 Referencias Bibliográficas  Auditoría en Informática. [Documento en línea]. Disponible: http://www.uaeh.edu.mx/docencia/P_Presentaciones/huejutla/sistemas/auditoria_i nformatica/auditoria.pdf  Metodología de auditoría informática. [Documento en línea]. Disponible: http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm  Metodología para realizar auditoría. [Documento en línea]. Disponible: http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizar- auditoria.html  Montero, A. Auditoría. [Documento en línea]. Disponible: http://html.rincondelvago.com/auditoria_7.html  Ortega, N. Informe de auditoría informática (2014). [Documento en línea]. Disponible: https://prezi.com/mcjd8nkhm8xb/informe-de-auditoria-informatica/ Consultado el 09 de Agosto 2015.

Recomendados

Informe Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaInforme Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaJose Rafael
 
Informe final de la auditoria de sistemas
Informe final de la auditoria de sistemasInforme final de la auditoria de sistemas
Informe final de la auditoria de sistemasdiana3232968
 
Auditoria de sistemas 1
Auditoria de sistemas 1Auditoria de sistemas 1
Auditoria de sistemas 1Amd Cdmas
 
Plantilla informe final de auditoria de sistemas
Plantilla informe final de auditoria de sistemasPlantilla informe final de auditoria de sistemas
Plantilla informe final de auditoria de sistemasUniversidad Peruana Unión
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaWillian Yanza Chavez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMichelle Perez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasarelyochoa
 
UNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS
 

Recomendados

Informe Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaInforme Sobre Auditoria Informatica
Informe Sobre Auditoria InformaticaJose Rafael
 
Informe final de la auditoria de sistemas
Informe final de la auditoria de sistemasInforme final de la auditoria de sistemas
Informe final de la auditoria de sistemasdiana3232968
 
Auditoria de sistemas 1
Auditoria de sistemas 1Auditoria de sistemas 1
Auditoria de sistemas 1Amd Cdmas
 
Plantilla informe final de auditoria de sistemas
Plantilla informe final de auditoria de sistemasPlantilla informe final de auditoria de sistemas
Plantilla informe final de auditoria de sistemasUniversidad Peruana Unión
 
eeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaeeeeeEjemplo practico de auditoria informática
eeeeeEjemplo practico de auditoria informáticaWillian Yanza Chavez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasMichelle Perez
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemasarelyochoa
 
UNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS 2012-Pres9: Elaboración del informe de auditoría
UNEG-AS 2012-Pres9: Elaboración del informe de auditoríaUNEG-AS
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaisgleidy
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Memorandum de planificacion
Memorandum de planificacionMemorandum de planificacion
Memorandum de planificacionCristian Mamani
 
Tipos auditoria
Tipos auditoriaTipos auditoria
Tipos auditoriaflguevara
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemasHugo Martinez
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaJuan Carlos Crespin Mejia
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
auditoria-07
auditoria-07auditoria-07
auditoria-07Cristian Aviles
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaEfrain Reyes
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosVidal Oved
 
Unidad IV
Unidad IVUnidad IV
Unidad IVjoseaunefa
 
Procedimiento de auditorías internas
Procedimiento de auditorías internasProcedimiento de auditorías internas
Procedimiento de auditorías internasLorenza Mosquera Zamudio
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...Vanessa Hernández
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Anne Yackeline
 
Manual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamentalManual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamentalAugusto Javes Sanchez
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Auditoría de sistemas instalados
Auditoría de sistemas instaladosAuditoría de sistemas instalados
Auditoría de sistemas instaladosale6119
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 
Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informáticaAcosta Escalante Jesus Jose
 
Metodología de auditoría informática (1)
Metodología de auditoría informática (1)Metodología de auditoría informática (1)
Metodología de auditoría informática (1)Franklin Soria
 

Más contenido relacionado

La actualidad más candente

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaisgleidy
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaNancy Gamba Porras
 
Memorandum de planificacion
Memorandum de planificacionMemorandum de planificacion
Memorandum de planificacionCristian Mamani
 
Tipos auditoria
Tipos auditoriaTipos auditoria
Tipos auditoriaflguevara
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasBarbara brice?
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemasHugo Martinez
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaJuan Carlos Crespin Mejia
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesLiliana Nieto
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria InformáticaWillian Yanza Chavez
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaEfrain Reyes
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosVidal Oved
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...Vanessa Hernández
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Anne Yackeline
 
Manual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamentalManual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamentalAugusto Javes Sanchez
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria InformáticaLuis Eduardo Aponte
 
Auditoría de sistemas instalados
Auditoría de sistemas instaladosAuditoría de sistemas instalados
Auditoría de sistemas instaladosale6119
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemasVlady Revelo
 

La actualidad más candente (20)

Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Actividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoríaActividad 15 plan auditor informatico e informe de auditoría
Actividad 15 plan auditor informatico e informe de auditoría
 
Memorandum de planificacion
Memorandum de planificacionMemorandum de planificacion
Memorandum de planificacion
 
Tipos auditoria
Tipos auditoriaTipos auditoria
Tipos auditoria
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
Presentacion auditoria de sistemas
Presentacion auditoria de sistemasPresentacion auditoria de sistemas
Presentacion auditoria de sistemas
 
Propuesta del plan de auditoría informática
Propuesta del plan de auditoría informáticaPropuesta del plan de auditoría informática
Propuesta del plan de auditoría informática
 
Informes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionalesInformes de auditoría de los sistemas computacionales
Informes de auditoría de los sistemas computacionales
 
auditoria-07
auditoria-07auditoria-07
auditoria-07
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría InformáticaRevisión preliminar y revisión detallada del Sistema - Auditoría Informática
Revisión preliminar y revisión detallada del Sistema - Auditoría Informática
 
Planeacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas InformaticosPlaneacion De Auditoria De Sistemas Informaticos
Planeacion De Auditoria De Sistemas Informaticos
 
Unidad IV
Unidad IVUnidad IV
Unidad IV
 
Procedimiento de auditorías internas
Procedimiento de auditorías internasProcedimiento de auditorías internas
Procedimiento de auditorías internas
 
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ... INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
INFORME DE AUDITORÍA, BAJO LOS LINEAMIENTOS METODOLÓGICOS ESTIPULADOS EN EL ...
 
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
Planificacion de la auditoria fnaciera y riesgos de auditoria, el programa de...
 
Manual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamentalManual de procedimientos de sistema de control gubernamental
Manual de procedimientos de sistema de control gubernamental
 
Planificación Auditoria Informática
Planificación Auditoria InformáticaPlanificación Auditoria Informática
Planificación Auditoria Informática
 
Auditoría de sistemas instalados
Auditoría de sistemas instaladosAuditoría de sistemas instalados
Auditoría de sistemas instalados
 
Trabajo auditoria de sistemas
Trabajo auditoria de sistemasTrabajo auditoria de sistemas
Trabajo auditoria de sistemas
 

Similar a Informe metologico que indica el paso a paso para hacer una auditoria informatica

Metodología de auditoría informática (1)
Metodología de auditoría informática (1)Metodología de auditoría informática (1)
Metodología de auditoría informática (1)Franklin Soria
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaJoannamar
 
Auditoria informatica
Auditoria informatica Auditoria informatica
Auditoria informatica Stefany Gamero
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)IsJmlr
 
Auditoría informática Grupo 2.
Auditoría informática Grupo 2.Auditoría informática Grupo 2.
Auditoría informática Grupo 2.Marilen Castro
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria InformaticaJhoan Tenjo
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasCarlosLopez1581
 
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelaAuditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelamarimallol
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Federico Gonzalez
 
Generalidades de la auditoria de sistemas y software
Generalidades de la auditoria de sistemas y softwareGeneralidades de la auditoria de sistemas y software
Generalidades de la auditoria de sistemas y softwareRossiGuerrero
 
Auditoria y evaluación de sistemas.
Auditoria y evaluación de sistemas.Auditoria y evaluación de sistemas.
Auditoria y evaluación de sistemas.Miguel Collington
 
Metodologias de diseño y desarrollo de los sistemas de informacion
Metodologias de diseño y desarrollo de los sistemas de informacionMetodologias de diseño y desarrollo de los sistemas de informacion
Metodologias de diseño y desarrollo de los sistemas de informacionArgimiro Dominguez
 

Similar a Informe metologico que indica el paso a paso para hacer una auditoria informatica (20)

Metodología de auditoría informática
Metodología de auditoría informáticaMetodología de auditoría informática
Metodología de auditoría informática
 
Metodología de auditoría informática (1)
Metodología de auditoría informática (1)Metodología de auditoría informática (1)
Metodología de auditoría informática (1)
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Tema 3
Tema 3Tema 3
Tema 3
 
Auditoria informatica
Auditoria informatica Auditoria informatica
Auditoria informatica
 
Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)Trabajo de investigacion_auditoria_(victor_lara)
Trabajo de investigacion_auditoria_(victor_lara)
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Auditoría informática Grupo 2.
Auditoría informática Grupo 2.Auditoría informática Grupo 2.
Auditoría informática Grupo 2.
 
Auditoria Informatica
Auditoria InformaticaAuditoria Informatica
Auditoria Informatica
 
auditoria
auditoria auditoria
auditoria
 
Tarea Auditoria
Tarea Auditoria Tarea Auditoria
Tarea Auditoria
 
Generalidades de la Auditoria de Sistemas
Generalidades de la Auditoria de SistemasGeneralidades de la Auditoria de Sistemas
Generalidades de la Auditoria de Sistemas
 
Optimizacion web quest
Optimizacion web questOptimizacion web quest
Optimizacion web quest
 
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuelaAuditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
Auditoria-metodologia agil-proyecto de auditoria-auditoria de escuela
 
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
Cómo, cuándo y por qué se debe realizar una auditoria informática dentro de u...
 
Generalidades de la auditoria de sistemas y software
Generalidades de la auditoria de sistemas y softwareGeneralidades de la auditoria de sistemas y software
Generalidades de la auditoria de sistemas y software
 
Plan de parcticas
Plan de parcticasPlan de parcticas
Plan de parcticas
 
Auditoria y evaluación de sistemas.
Auditoria y evaluación de sistemas.Auditoria y evaluación de sistemas.
Auditoria y evaluación de sistemas.
 
Auditoria interna
Auditoria internaAuditoria interna
Auditoria interna
 
Metodologias de diseño y desarrollo de los sistemas de informacion
Metodologias de diseño y desarrollo de los sistemas de informacionMetodologias de diseño y desarrollo de los sistemas de informacion
Metodologias de diseño y desarrollo de los sistemas de informacion
 

Último

cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuaDANNYISAACCARVAJALGA
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIACarlos Campaña Montenegro
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docxCeciliaGuerreroGonza1
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxjosetrinidadchavez
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfMaryRotonda1
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxAleParedes11
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticosisabeltrejoros
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFAROJosé Luis Palma
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.DaluiMonasterio
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSjlorentemartos
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFlor Idalia Espinoza Ortega
 

Último (20)

cortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahuacortes de luz abril 2024 en la provincia de tungurahua
cortes de luz abril 2024 en la provincia de tungurahua
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIARAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
RAIZ CUADRADA Y CUBICA PARA NIÑOS DE PRIMARIA
 
Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.Defendamos la verdad. La defensa es importante.
Defendamos la verdad. La defensa es importante.
 
Sesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdfSesión de clase: Defendamos la verdad.pdf
Sesión de clase: Defendamos la verdad.pdf
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
6° SEM30 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptxOLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
OLIMPIADA DEL CONOCIMIENTO INFANTIL 2024.pptx
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
Manual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdfManual - ABAS II completo 263 hojas .pdf
Manual - ABAS II completo 263 hojas .pdf
 
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docxGLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
GLOSAS Y PALABRAS ACTO 2 DE ABRIL 2024.docx
 
texto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticostexto argumentativo, ejemplos y ejercicios prácticos
texto argumentativo, ejemplos y ejercicios prácticos
 
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARONARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
NARRACIONES SOBRE LA VIDA DEL GENERAL ELOY ALFARO
 
EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.EXPECTATIVAS vs PERSPECTIVA en la vida.
EXPECTATIVAS vs PERSPECTIVA en la vida.
 
Power Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptxPower Point: "Defendamos la verdad".pptx
Power Point: "Defendamos la verdad".pptx
 
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOSTEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
TEMA 13 ESPAÑA EN DEMOCRACIA:DISTINTOS GOBIERNOS
 
Factores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamicaFactores ecosistemas: interacciones, energia y dinamica
Factores ecosistemas: interacciones, energia y dinamica
 

Informe metologico que indica el paso a paso para hacer una auditoria informatica

  • 1. REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” ESCUELA DE INGENIERIA DE SISTEMAS EXTENSIÓN MATURIN REALIZACIÓN DE UN DOCUMENTO METODOLÓGICO QUE INDIQUE PASO A PASO LA ELABORACIÓN DE UN INFORME DE AUDITORÍA INFORMATICA Asesor: Bachiller: Prof. Yakarina González Gamero Stefany CI. 24.118.238 Sección G Maturín, Agosto de 2015.
  • 2. 2 Índice Introducción...........................................................................................................................3 Objetivos................................................................................................................................4 Objetivo General...............................................................................................................4 Objetivos Específicos ......................................................................................................4 Bases Teóricas.....................................................................................................................5 Pautas para la elaboración del informe ........................................................................5 Fase 1: Definición de Alcance y Objetivos ...............................................................5 Fase 2: Estudio Inicial..................................................................................................5 Fase 3: Entorno Operacional......................................................................................7 Fase 4: Determinación de recursos de la Auditoría Informática ...........................9 Fase 6: Informe Final .................................................................................................12 Fase 7: Carta de Introducción o Presentación del Informe Final........................14 Herramientas y Técnicas para la Auditoría Informática ...........................................15 Conclusión...........................................................................................................................18 Referencias Bibliográficas ................................................................................................19
  • 3. 3 Introducción Cada día, con el avance de la tecnología, las organizaciones han implementado nuevos sistemas de información, reemplazando así todo lo manual, disminuyendo errores y trabajo. En la actualidad los temas relativos a la auditoría informática cobran cada vez más relevancia, debido a que la información se ha convertido en el activo más importante de las empresas, representando su principal ventaja estratégica, por lo que estas invierten enormes cantidades de dinero y tiempo en la creación de sistemas de información, con el fin de obtener la mayor productividad y calidad posibles. Hoy, a las puertas del siglo XXI, estamos inmersos en un profundo cambio, las empresas y organizaciones dependen de las pautas económicos, industriales, y sociales en las que se encuentran inmersas, por lo tanto, si las tendencias tecnológicas y los entornos económicos e industriales cambian, deben adaptarse rápidamente a las nuevas circunstancias para sobrevivir. Este cambio es muy rápido, está afectando al mundo entero, y su comprensión es fundamental para las organizaciones de todo tipo, particularmente en el contexto de los sistemas y tecnologías de información. Aunque los avances tecnológicos de los últimos veinte años han sido constantes y espectaculares, en los últimos cinco se ha producido una verdadera revolución tecnológica de gran envergadura e impacto para la propia industria informática, así como de consecuencias importantes para el resto de sectores. Cada vez, con mayor frecuencia, un mayor número de organizaciones considera que la información y la tecnología asociada a ella representan sus activos más importantes. Entonces, de igual modo que se exige para los otros activos de la empresa, los requerimientos de calidad, controles, seguridad e información, son indispensables. La gerencia, por ende, debe establecer un sistema de control interno adecuado y tal sistema debe soportar debidamente los procesos del negocio.
  • 4. 4 Objetivos Objetivo General Realizar un documento metodológico que indique el paso a paso para la elaboración de un informe de auditoría informática. Objetivos Específicos  Indagar las referencias bibliográficas del tema en estudio.  Determinar las pautas para la elaboración del informe, de acuerdo a la metodología escogida.  Elaborar el informe para que sirva de ayuda a próximos estudiantes y también, cualquier organización o empresa que quiera realizar una auditoria informática.
  • 5. 5 Bases Teóricas Pautas para la elaboración del informe Metodología es una secuencia de pasos lógica y ordenada de proceder para llegar a un resultado. Generalmente existen diversas formas de obtener un resultado determinado, y de esto se deriva la existencia de varias metodologías para llevar a cabo una auditoria informática. Según esta metodología, el método de trabajo del auditor pasa por las siguientes etapas: Fase 1: Definición de Alcance y Objetivos El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del informe final. Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Una vez definidos los objetivos (objetivos específicos), éstos se añadirán a los objetivos generales y comunes de a toda auditoría Informática: La operatividad de los sistemas y los controles generales de gestión informática. Fase 2: Estudio Inicial Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. Para su realización el auditor debe conocer lo siguiente: Organización:
  • 6. 6 Para el equipo auditor, el conocimiento de quién ordena, quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor deberá fijarse en: a) Organigrama: El organigrama expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia. b) Departamentos: Se entiende como departamento a los órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. c) Relaciones Jerárquicas y funcionales entre órganos de la Organización: El equipo auditor verificará si se cumplen las relaciones funcionales y Jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Las de Jerarquía implican la correspondiente subordinación. Las funcionales por el contrario, indican relaciones no estrictamente subordinables. d) Flujos de Información: Además de las corrientes verticales interdepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extra-departamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. En ocasiones, las organizaciones crean espontáneamente canales alternativos de información, sin los cuales las funciones no podrían ejercerse con eficacia; estos canales alternativos se producen porque hay pequeños o grandes fallos en la estructura y en el organigrama que los representa. Otras veces, la aparición de flujos de información no previstos obedece a afinidades personales o simple comodidad. Estos flujos de información son indeseables y producen graves perturbaciones en la organización. e) Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas.
  • 7. 7 Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes. f) Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización. Fase 3: Entorno Operacional El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: a) Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. b) Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas está muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. c) Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remoto, periféricos de todo tipo, etc.
  • 8. 8 El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. d) Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones. Igualmente, poseerán información de las Redes Locales de la Empresa. Aplicaciones bases de datos y ficheros El estudio inicial que han de realizar los auditores se cierra y culmina con una idea general de los procesos informáticos realizados en la empresa auditada. Para ello deberán conocer lo siguiente: a) Volumen, antigüedad y complejidad de las Aplicaciones b) Metodología del Diseño: Se clasificará globalmente la existencia total o parcial de metodología en el desarrollo de las aplicaciones. Si se han utilizados varias a lo largo del tiempo se pondrá de manifiesto. c) Documentación: La existencia de una adecuada documentación de las aplicaciones proporciona beneficios tangibles e inmediatos muy importantes. La documentación de programas disminuye gravemente el mantenimiento de los mismos. d) Cantidad y complejidad de Bases de Datos y Ficheros: El auditor recabará información de tamaño y características de las Bases de Datos, clasificándolas en relación y jerarquías. Hallará un promedio de número de accesos a ellas por hora o días. Esta operación se repetirá con los ficheros, así como la frecuencia de actualizaciones de los mismos. Estos datos proporcionan una visión aceptable de las características de la carga informática.
  • 9. 9 Fase 4: Determinación de recursos de la Auditoría Informática Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría.  Recursos humanos  Recursos materiales Recursos materiales Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: a) Recursos materiales Software  Programas propios de la auditoría: Son muy potentes y Flexibles. Habitualmente se añaden a las ejecuciones de los procesos del cliente para verificarlos.  Monitores: Se utilizan en función del grado de desarrollo observado en la actividad de Técnica de Sistemas del auditado y de la cantidad y calidad de los datos ya existentes. b) Recursos materiales Hardware: Los recursos hardware que el auditor necesita son proporcionados por el cliente. Los procesos de control deben efectuarse necesariamente en las Computadoras del auditado. Para lo cual habrá de convenir él, tiempo de máquina, espacio de disco, impresoras ocupadas, etc. Recursos Humanos La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado dependen de la materia auditable. Es igualmente señalable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria.
  • 10. 10 Perfiles Profesionales de los auditores informáticos Profesión Actividades y conocimientos deseables Informático en general Con experiencia amplia en ramas distintas. Es deseable que su labor se haya desarrollado en Explotación y en Desarrollo de Proyectos. Conocedor de Sistemas. Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto analista. Conocedor de las metodologías de Desarrollo más importantes. Técnico de Sistemas Experto en Sistemas Operativos y Software Básico. Conocedor de los productos equivalentes en el mercado. Amplios conocimientos de Explotación. Experto en Bases de Datos y Administración de las mismas. Con experiencia en el mantenimiento de Bases de Datos. Conocimiento de productos compatibles y equivalentes. Buenos conocimientos de explotación Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas. Conocimientos profundos de redes. Muy experto en Subsistemas de teleproceso. Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Computos. Amplia experiencia en Automatización de trabajos. Experto en relaciones humanas. Buenos conocimientos de los sistemas. Técnico de Organización Experto organizador y coordinador. Especialista en el análisis de flujos de información. Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de costes. Elaboración del Plan y de los programas de trabajo Una vez asignados los recursos, el responsable de la auditoría y sus colaboradores establecen un plan de trabajo. Decidido éste, se procede a la programación del mismo. El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes: a) Si la Revisión debe realizarse por áreas generales o áreas específicas. En el primer caso, la elaboración es más compleja y costosa. b) Si la auditoría es global, de toda la Informática, o parcial. El volumen determina no solamente el número de auditores necesarios, sino las especialidades necesarias del personal.
  • 11. 11  En el Plan no se consideran calendarios, porque se manejan recursos genéricos y no específicos  En el Plan se establecen los recursos y esfuerzos globales que van a ser necesarios  En el Plan se establecen las prioridades de materias auditables, de acuerdo siempre con las prioridades del cliente.  El Plan establece disponibilidad futura de los recursos durante la revisión.  El Plan estructura las tareas a realizar por cada integrante del grupo.  En el Plan se expresan todas las ayudas que el auditor ha de recibir del auditado. Una vez elaborado el Plan, se procede a la Programación de actividades. Esta ha de ser lo suficientemente como para permitir modificaciones a lo largo del proyecto. Fase 5: Actividades de la Auditoría Informática Auditoría por temas generales o por áreas específicas: La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad. Técnicas de Trabajo:  Análisis de la información recabada del auditado  Análisis de la información propia  Cruzamiento de las informaciones anteriores  Entrevistas  Simulación  Muestreos
  • 12. 12 Herramientas:  Cuestionario general inicial  Cuestionario Checklist  Estándares Monitores  Simuladores (Generadores de datos)  Paquetes de auditoría (Generadores de Programas)  Matrices de riesgo Fase 6: Informe Final La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente.  Definición de objetivos y alcance de la auditoría.  Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría.  Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: a) Situación actual. Cuando se trate de una revisión periódica, en la que se analiza no solamente una situación sino además su evolución en el tiempo, se expondrá la situación prevista y la situación real b) Tendencias. Se tratarán de hallar parámetros que permitan establecer tendencias futuras. c) Puntos débiles y amenazas
  • 13. 13 d) Recomendaciones y planes de acción. Constituyen junto con la exposición de puntos débiles, el verdadero objetivo de la auditoría informática. e) Redacción posterior de la Carta de Introducción o Presentación. Modelo conceptual de la exposición del informe final:  El informe debe incluir solamente hechos importantes: La inclusión de hechos poco relevantes o accesorios desvía la atención del lector.  El Informe debe consolidar los hechos que se describen en el mismo: El término de "hechos consolidados" adquiere un especial significado de verificación objetiva y de estar documentalmente probados y soportados. La consolidación de los hechos debe satisfacer, al menos los siguientes criterios: a) El hecho debe poder ser sometido a cambios. b) Las ventajas del cambio deben superar los inconvenientes derivados de mantener la situación. c) No deben existir alternativas viables que superen al cambio propuesto. d) La recomendación del auditor sobre el hecho debe mantener o mejorar las normas y estándares existentes en la instalación. La aparición de un hecho en un informe de auditoría implica necesariamente la existencia de una debilidad que ha de ser corregida. Flujo del hecho o debilidad: a) Hecho encontrado  Ha de ser relevante para el auditor y pera el cliente  Ha de ser exacto, y además convincente.  No deben existir hechos repetidos. b) Consecuencias del hecho  Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho. c) Repercusión del hecho
  • 14. 14  Se redactará las influencias directas que el hecho pueda tener sobre otros aspectos informáticos u otros ámbitos de la empresa. d) Conclusión del hecho  No deben redactarse conclusiones más que en los casos en que la exposición haya sido muy extensa o compleja. e) Recomendación del auditor informático  Deberá entenderse por sí sola, por simple lectura.  Deberá estar suficientemente soportada en el propio texto.  Deberá ser concreta y exacta en el tiempo, para que pueda ser verificada su implementación. La recomendación se redactará de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla. Fase 7: Carta de Introducción o Presentación del Informe Final La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe Final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos:  Tendrá como máximo 4 folios  Incluirá fecha, naturaleza, objetivos y alcance  Cuantificará la importancia de las áreas analizadas.  Proporcionará una conclusión general, concretando las áreas de gran debilidad.  Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.
  • 15. 15 Herramientas y Técnicas para la Auditoría Informática Cuestionarios Las auditorías informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos. El trabajo de campo del auditor consiste en lograr toda la información necesaria para la emisión de un juicio global objetivo, siempre amparado en hechos demostrables, llamados también evidencias. Para esto, suele ser lo habitual comenzar solicitando la cumplimentación de cuestionarios preimpresos que se envían a las personas concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas personas sean las responsables oficiales de las diversas áreas a auditar. Estos cuestionarios no pueden ni deben ser repetidos para instalaciones distintas, sino diferentes y muy específicos para cada situación, y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y analiza la documentación recibida, de modo que tal análisis determine a su vez la información que deberá elaborar el propio auditor. El cruzamiento de ambos tipos de información es una de las bases fundamentales de la auditoría. Cabe aclarar, que esta primera fase puede omitirse cuando los auditores hayan adquirido por otro medios la información que aquellos preimpresos hubieran proporcionado. Entrevistas El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas: a) Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad. b) Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario. c) Por medio de entrevistas en las que el auditor sigue un método preestablecido de antemano y busca unas finalidades concretas.
  • 16. 16 La entrevista es una de las actividades personales más importante del auditor; en ellas, éste recoge más información, y mejor matizada, que la proporcionada por medios propios puramente técnicos o por las respuestas escritas a cuestionarios. Aparte de algunas cuestiones menos importantes, la entrevista entre auditor y auditado se basa fundamentalmente en el concepto de interrogatorio; es lo que hace un auditor, interroga y se interroga a sí mismo. El auditor informático experto entrevista al auditado siguiendo un cuidadoso sistema previamente establecido, consistente en que bajo la forma de una conversación correcta y lo menos tensa posible, el auditado conteste sencillamente y con pulcritud a una serie de preguntas variadas, también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella debe existir una preparación muy elaborada y sistematizada, y que es diferente para cada caso particular. Checklist El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists. Hay opiniones que descalifican el uso de los Checklists, ya que consideran que leerle una pila de preguntas recitadas de memoria o leídas en voz alta descalifica al auditor informático. Pero esto no es usar Checklists, es una evidente falta de profesionalismo. El profesionalismo pasa por un procesamiento interno de información a fin de obtener respuestas coherentes que permitan una correcta descripción de puntos débiles y fuertes. El profesionalismo pasa por poseer preguntas muy estudiadas que han de formularse flexiblemente.
  • 17. 17 El conjunto de estas preguntas recibe el nombre de Checklist. Salvo excepciones, las Checklists deben ser contestadas oralmente, ya que superan en riqueza y generalización a cualquier otra forma. Según la claridad de las preguntas y el talante del auditor, el auditado responderá desde posiciones muy distintas y con disposición muy variable. El auditado, habitualmente informático de profesión, percibe con cierta facilidad el perfil técnico y los conocimientos del auditor, precisamente a través de las preguntas que éste le formula. Esta percepción configura el principio de autoridad y prestigio que el auditor debe poseer. Por ello, aun siendo importante tener elaboradas listas de preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía lo es más el modo y el orden de su formulación. Las empresas externas de Auditoría Informática guardan sus Checklists, pero de poco sirven si el auditor no las utiliza adecuada y oportunamente. No debe olvidarse que la función auditora se ejerce sobre bases de autoridad, prestigio y ética. El auditor deberá aplicar la Checklist de modo que el auditado responda clara y escuetamente. Se deberá interrumpir lo menos posible a éste, y solamente en los casos en que las respuestas se aparten sustancialmente de la pregunta. En algunas ocasiones, se hará necesario invitar a aquél a que exponga con mayor amplitud un tema concreto, y en cualquier caso, se deberá evitar absolutamente la presión sobre el mismo. Algunas de las preguntas de las Checklists utilizadas para cada sector, deben ser repetidas. En efecto, bajo apariencia distinta, el auditor formulará preguntas equivalentes a las mismas o a distintas personas, en las mismas fechas, o en fechas diferentes. De este modo, se podrán descubrir con mayor facilidad los puntos contradictorios; el auditor deberá analizar los matices de las respuestas y reelaborar preguntas complementarias cuando hayan existido contradicciones, hasta conseguir la homogeneidad. El entrevistado no debe percibir un excesivo formalismo en las preguntas. El auditor, por su parte, tomará las notas imprescindibles en presencia del auditado, y nunca escribirá cruces ni marcará cuestionarios en su presencia.
  • 18. 18 Conclusión El presente informe tiene la finalidad, de dar a conocer detalladamente las fases o los pasos que utiliza un auditor junto con su equipo de coauditores para la realización de una auditoria informática. La auditoria informática es una evaluación y revisión de los procedimientos informáticos, sistemas, de los equipos cómputos, su utilización, eficiencia y seguridad, de la empresa u organización en la que procesan la información, a fin de que se logre una utilización más eficiente y segura de la información que servirá en un momento determinado para situaciones que se presenten o cualquier toma de decisiones. Cada auditoria informática es diferente, esta se va a realizar de acuerdo a la metodología conocida por el auditor y su equipo, también va a depender de la actualización tecnológica o modernismo en que se desenvuelva la empresa y el auditor. Es importante la realización de la misma, ya que mejora la imagen pública de la empresa, genera confianza en los usuarios sobre la seguridad y control de los servicios de tecnologías de información, optimiza las relaciones internas y del clima de trabajo, disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros) y genera un balance de los riesgos en las tecnologías de información.
  • 19. 19 Referencias Bibliográficas  Auditoría en Informática. [Documento en línea]. Disponible: http://www.uaeh.edu.mx/docencia/P_Presentaciones/huejutla/sistemas/auditoria_i nformatica/auditoria.pdf  Metodología de auditoría informática. [Documento en línea]. Disponible: http://www.ub.edu.ar/catedras/ingenieria/auditoria/tpmetodo/tpmetodo2.htm  Metodología para realizar auditoría. [Documento en línea]. Disponible: http://auditordesistemas.blogspot.com/2011/11/metodologia-para-realizar- auditoria.html  Montero, A. Auditoría. [Documento en línea]. Disponible: http://html.rincondelvago.com/auditoria_7.html  Ortega, N. Informe de auditoría informática (2014). [Documento en línea]. Disponible: https://prezi.com/mcjd8nkhm8xb/informe-de-auditoria-informatica/ Consultado el 09 de Agosto 2015.