El documento describe los controles de aplicación, incluyendo su propósito de asegurar la integridad, exactitud y validez de los datos en los sistemas informáticos. Explica que existen controles manuales, automatizados y configurables, y que COBIT define seis objetivos clave para los controles de aplicación relacionados con la preparación, entrada, procesamiento y salida de la información.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Auditoria a aplicaciones en funcionamientoUniciencia
El documento describe los objetivos y funciones de la auditoría de sistemas de aplicaciones. Explica que la auditoría evalúa los controles de ingreso, procesamiento y salida de datos en aplicaciones para minimizar riesgos. También describe diferentes ambientes de sistemas como procesamiento centralizado, sistemas integrados y de punto de venta.
Este documento describe las etapas finales de una auditoría de sistemas, incluyendo la recopilación de información, elaboración de un informe de hallazgos, dictamen final, y presentación del informe de auditoría. Se enfoca en comunicar hallazgos con el personal afectado, realizar modificaciones, y presentar un informe completo con un resumen ejecutivo y documentación de respaldo.
Este documento describe la auditoría informática. Define la auditoría como un proceso de revisión sistemática para determinar si un sistema de información protege los activos de una empresa y utiliza los recursos de manera eficiente. Explica los tipos de auditoría, las características y objetivos de la auditoría informática, y los perfiles de un auditor informático. Finalmente, destaca la importancia de la auditoría para dar transparencia a la información de una empresa y asegurar el cumplimiento de las regulaciones.
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
Este documento presenta una auditoría informática realizada en el Instituto Universitario Politécnico Santiago Mariño. Define auditoría y auditor, y describe la historia y evolución de la auditoría desde el siglo XIII hasta el siglo XX. Incluye mapas conceptuales sobre los tipos de auditoría según su área de aplicación y lugar de aplicación, así como un cuadro comparativo de las ventajas y desventajas de la auditoría interna y externa.
Este documento define y explica los conceptos de auditoría interna y auditoría informática. Explica que la auditoría interna apoya a las organizaciones a cumplir sus objetivos mediante evaluaciones y revisiones de procesos y operaciones. La auditoría informática mantiene los activos de información como datos y sistemas de forma segura y actualizada. Luego describe los objetivos, tipos y beneficios de la auditoría informática, así como las herramientas y pruebas que se usan para realizar auditorías. Finalmente, menciona algunas referencias sobre estos temas.
El documento describe el alcance y objetivos de una auditoría informática. Explica que el alcance debe definir con precisión el entorno y los límites de la auditoría e incluirse expresamente en el informe final. También describe posibles objetivos como comprobar el control de integridad de registros y la validación de errores.
El documento describe los controles de aplicación, incluyendo su propósito de asegurar la integridad, exactitud y validez de los datos en los sistemas informáticos. Explica que existen controles manuales, automatizados y configurables, y que COBIT define seis objetivos clave para los controles de aplicación relacionados con la preparación, entrada, procesamiento y salida de la información.
AUDITORIA DE BASE DE DATOS
Es el proceso que permite medir, asegurar, demostrar, monitorear y registrar los accesos a la informacion almacenada en las bases de datos incluyendo la capacidad de determinar:
Quien accede a los datos.
Cuando se accedió a los datos.
Desde que tipo de dispositivo/aplicación.
Desde que ubicación en la red.
Cual fue la sentencia SQL ejecutada.
Cual fue el afecto del acceso a la base de datos.
La Auditoria de Base de Datos es Importante porque:
Toda la informacion financiera reside en bases de datos y deben existir controles relacionados con el acceso a las mismas.
Se debe poder demostrar la integridad de la informacion.
Las organizaciones deben mitigar los riesgos asociados a la perdida de datos y a la fuga de informacion.
La informacion confidencial de los clientes, son responsabilidad de las organizaciones.
Los datos convertidos en informacion a través de bases de datos.
Las organizaciones deben tomar medidas mucho mas allá de asegurar sus datos.
Mediante la auditoria de bases de datos se evaluara:
Definición de estructuras físicas y lógicas de las bases de datos.
Control de carga y de mantenimiento de las bases de datos.
Integridad de los datos y protección de accesos.
Estándares para análisis y programacion en el uso de bases de datos.
Procedimientos de respaldos y recuperación de datos.
Planificación de la Auditoria de Base de Datos
Identificar todas las bases de datos de la organización.
Clasificar los niveles de riesgo de los datos en las bases de datos.
Analizar los permisos de accesos.
Analizar los controles existentes de acceso a las bases de datos.
Establecer los modelos de auditoria de bases de datos a utilizar.
Establecer las pruebas a realizar para cada base de datos, aplicación y/o usuario.
Metodologías para la auditoria de Base de Datos
Metodología Tradicional
El auditor revisa el entorno con la ayuda de una lista de control (Checklist), que consta de una serie de cuestiones a verificar, registrando los resultados de su investigación. En esta investigación se confecciona una lista de control de todos los aspectos a tener en cuenta.
Metodología de evaluación de riesgos
Este tipo de metodología, conocida también por Risk oriented approach es la que propone la ISACA y empieza fijando los objetivos de control que minimizan los riesgos potenciales a los que esta sometido el entorno.
Considerando los riesgos de:
Dependencia por la concentración de datos.
Accesos no restringidos en la figura del DBA.
Incompatibilidades entre el sistema de seguridad de accesos del SGBD y el general de instalación.
Impactos de los errores en Datos y programas.
Rupturas de enlaces o cadenas por fallos del sofware.
Impactos por accesos no autorizados.
Dependencias de las personas con alto conocimiento técnico.
Se puede definir los siguientes controles:
Objetivo de Control: El SGBD debe preservar la confidencialidad de la BD.
Tecnicas de Control: Se es
Auditoria a aplicaciones en funcionamientoUniciencia
El documento describe los objetivos y funciones de la auditoría de sistemas de aplicaciones. Explica que la auditoría evalúa los controles de ingreso, procesamiento y salida de datos en aplicaciones para minimizar riesgos. También describe diferentes ambientes de sistemas como procesamiento centralizado, sistemas integrados y de punto de venta.
Este documento describe las etapas finales de una auditoría de sistemas, incluyendo la recopilación de información, elaboración de un informe de hallazgos, dictamen final, y presentación del informe de auditoría. Se enfoca en comunicar hallazgos con el personal afectado, realizar modificaciones, y presentar un informe completo con un resumen ejecutivo y documentación de respaldo.
Este documento describe la auditoría informática. Define la auditoría como un proceso de revisión sistemática para determinar si un sistema de información protege los activos de una empresa y utiliza los recursos de manera eficiente. Explica los tipos de auditoría, las características y objetivos de la auditoría informática, y los perfiles de un auditor informático. Finalmente, destaca la importancia de la auditoría para dar transparencia a la información de una empresa y asegurar el cumplimiento de las regulaciones.
Auditoria Informatica y de Sistemas de InformacionJavier Moreno
Este documento presenta una auditoría informática realizada en el Instituto Universitario Politécnico Santiago Mariño. Define auditoría y auditor, y describe la historia y evolución de la auditoría desde el siglo XIII hasta el siglo XX. Incluye mapas conceptuales sobre los tipos de auditoría según su área de aplicación y lugar de aplicación, así como un cuadro comparativo de las ventajas y desventajas de la auditoría interna y externa.
Este documento define y explica los conceptos de auditoría interna y auditoría informática. Explica que la auditoría interna apoya a las organizaciones a cumplir sus objetivos mediante evaluaciones y revisiones de procesos y operaciones. La auditoría informática mantiene los activos de información como datos y sistemas de forma segura y actualizada. Luego describe los objetivos, tipos y beneficios de la auditoría informática, así como las herramientas y pruebas que se usan para realizar auditorías. Finalmente, menciona algunas referencias sobre estos temas.
El documento describe el alcance y objetivos de una auditoría informática. Explica que el alcance debe definir con precisión el entorno y los límites de la auditoría e incluirse expresamente en el informe final. También describe posibles objetivos como comprobar el control de integridad de registros y la validación de errores.
El documento habla sobre el control del sistema de información con el objetivo de garantizar su correcto funcionamiento y asegurar el control de las transacciones. Explica que el sistema debe contar con mecanismos de seguridad en las entradas, procesos, almacenamiento y salidas. También menciona que el sistema ayuda a controlar las actividades del organismo registrando y supervisando transacciones y eventos, y manteniendo datos financieros.
Este documento describe los principios deontológicos que se aplican a los auditores informáticos. Explica brevemente la deontología y su relación con los códigos éticos de una profesión. Luego enumera 25 principios deontológicos como el beneficio del auditado, la calidad, la capacidad, la cautela, el comportamiento profesional, la concentración en el trabajo, la confianza, el criterio propio, la discreción, la economía, la formación continua, el fortalecimiento y respeto de la profesión,
El perfil del auditor informático incluye poseer conocimientos generales de auditoría financiera e informática, como desarrollo de sistemas de información, administración de bases de datos, redes, seguridad y leyes relacionadas. El auditor debe especializarse en áreas clave para la empresa y aplicar un enfoque de calidad total para que sus conclusiones sean valiosas y aceptadas.
Este documento trata sobre control interno y auditoría informática. Explica que el control interno informático controla diariamente que todas las actividades de sistemas de información se realicen según los procedimientos establecidos, mientras que la auditoría informática evalúa periódicamente los controles y procedimientos para determinar si protegen los activos y mantienen la integridad de los datos. También describe los roles y funciones del control interno y la auditoría informática.
El documento describe la importancia de la documentación de los sistemas de información. Explica que la documentación proporciona entendimiento del sistema a los usuarios y mantenedores, permite auditorías del sistema, y enseña a los usuarios a interactuar con el sistema. Además, la documentación es esencial para el mantenimiento y soporte del sistema, y elimina riesgos de dependencia en individuos específicos. Finalmente, la documentación debe ser estandarizada dentro de una organización para facilitar la comunicación y reducir costos.
1) La auditoría informática evalúa los sistemas informáticos, software, información, redes y seguridad de una empresa para analizar, evaluar y verificar su planificación, control, eficacia y seguridad.
2) Puede realizarse con o sin el apoyo de la computadora, utilizando herramientas de software de auditoría o métodos tradicionales.
3) Tiene como objetivos principales asegurar la seguridad, disponibilidad y privacidad de la información, apoyar la toma de decisiones y mejorar la relación
Herramientas y técnicas para la auditoria informáticajoseaunefa
Este documento describe diferentes herramientas y técnicas para la auditoría informática como cuestionarios, entrevistas, checklist y trazas. Explica que los cuestionarios deben ser específicos para cada situación, las entrevistas permiten recopilar información matizada, los checklist son preguntas sistemáticas y las trazas se usan para verificar validaciones de datos. Además, clasifica las áreas de aplicación de la auditoría informática en planificación, organización, desarrollo de sistemas, explotación, entorno de hardware y entorno de software.
El documento describe el perfil de un auditor informático y los principios deontológicos que debe seguir. Un auditor informático debe tener conocimientos técnicos actualizados de las plataformas de la organización, conocer normas de auditoría interna, y contar con herramientas y técnicas como evaluación de riesgos y análisis e interpretación de evidencia. También debe ajustarse a principios como mantener la confidencialidad de la información, actuar con independencia e integridad, y brindar un servicio de calidad que se ajuste a la
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
para realizar tareas de auditoría repetitivas y rutinarias.
• LENGUAJES DE PROGRAMACIÓN
COBOL, C, C++, Visual Basic, etc. para desarrollar programas especiales
• HERRAMIENTAS DE BASES DE DATOS
SQL, ORACLE, ACCESS, etc. para extraer, analizar y comparar datos.
• HERRAMIENTAS DE REDES
Sniffer, Nmap, Wireshark, etc. para auditoría de redes y seguridad.
• SOFTWARE FORENSE
Encase, FTK, etc. para recuperar
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICAYULIANA JIMENEZ
El documento describe las técnicas y procedimientos de auditoría. Se definen las técnicas de auditoría como métodos para obtener evidencia que fundamenten las opiniones del auditor. Las técnicas incluyen inspección, confirmación, investigación, declaración y certificación. Los procedimientos de auditoría combinan técnicas para examinar los hechos y obtener conocimiento sobre el control interno de una organización.
Este documento describe las fases del ciclo de vida del desarrollo de sistemas, incluidas la investigación preliminar, los requisitos del sistema, el levantamiento de información, el análisis del sistema, el diseño del sistema, la implementación, las pruebas, la documentación y el mantenimiento. También describe los tipos de registros de datos y archivos de datos.
Este documento trata sobre la auditoría de sistemas de información. Explica que inicialmente la informática apoyó áreas como contabilidad y nóminas, lo que llevó al desarrollo de la auditoría de sistemas. Ahora, la tecnología informática es fundamental para todas las actividades empresariales. La auditoría en informática es un proceso formal para evaluar que los recursos tecnológicos se administran de forma adecuada y apoyan la rentabilidad del negocio.
La auditoría de redes evalúa el desempeño y seguridad de una red mediante la identificación de su estructura física y lógica. Incluye un análisis de vulnerabilidades, un plan de saneamiento, un plan de contención y un seguimiento continuo. La criptografía oculta la información de intrusos no autorizados mediante técnicas como la transposición o DES, aunque estos métodos tienen desventajas como la necesidad de cambiar frecuentemente las llaves privadas.
El documento describe los pasos iniciales para planificar una auditoría de sistemas de información. Explica que la comprensión del negocio y sus riesgos es fundamental para identificar los objetivos de la auditoría. También destaca la importancia de desarrollar un programa de auditoría que incluya procedimientos para recopilar evidencia y evaluar los controles internos.
El documento define los conceptos generales de un informe de auditoría. En 3 oraciones o menos, el resumen es: El informe de auditoría comunica los objetivos, alcance, resultados, conclusiones y recomendaciones de la auditoría de manera objetiva, clara y oportuna. Incluye una comparación de la evidencia encontrada contra los criterios de auditoría y provee una base para mejorar procesos y cumplir objetivos.
Este documento trata sobre la auditoría informática. Define la auditoría informática como un proceso de recopilar, agrupar y evaluar evidencia para determinar si un sistema de información protege los activos, mantiene la integridad de los datos y cumple con los objetivos de la organización de manera efectiva. Luego discute los tipos de auditoría, incluidas las auditorías financieras, de cumplimiento, informáticas, operativas y técnicas. Finalmente, describe los objetivos de la auditoría informática, como analizar la eficiencia de los sistemas de
Mapa conceptual - Auditoría de Sistemasvmtorrealba
La auditoría de sistemas es la revisión crítica y sistemática de las normas, políticas, prácticas, funciones, procesos y procedimientos de los sistemas con el fin de verificar su eficiencia y efectividad. Existen diferentes tipos de auditoría como la financiera, operacional, fiscal, de sistemas y social. La metodología de una auditoría de sistemas incluye un estudio preliminar, revisión y evaluación de controles y seguridades, y un examen detallado de áreas críticas.
Las auditorías informáticas recaban información a través de cuestionarios, entrevistas, checklists, trazas de software y otras técnicas. Los auditores analizan esta información para emitir un juicio objetivo sobre los puntos fuertes y débiles del entorno auditado. Utilizan checklists de preguntas sistematizadas para guiar entrevistas con el personal auditado, pero deben formular las preguntas de manera flexible para obtener respuestas útiles sin presionar excesivamente al entrevistado.
Este documento presenta información sobre control interno y auditoría informática. Explica que el control interno informático monitorea que las actividades de sistemas de información cumplan con los procedimientos establecidos, mientras que la auditoría informática evalúa y comprueba los controles informáticos. También describe diferentes tipos de controles, como preventivos, de detección y correctivos, y la relación entre métodos de control y objetivos de control y auditoría. Finalmente, discute criterios para implementar un sistema de control interno informático como conocer la configur
El documento describe los métodos, técnicas y herramientas utilizadas en las auditorías informáticas, incluyendo cuestionarios, entrevistas, análisis de rendimiento, checklist y planes de trabajo. Explica las etapas de una auditoría, como el estudio inicial, determinación de recursos, elaboración de informes y objetivos de alcance.
Este documento describe los pasos del proceso de auditoría. Explica que la auditoría involucra el examen de los estados financieros de una empresa para emitir una opinión profesional. Luego detalla 7 pasos clave de la auditoría: 1) Definición de alcance y objetivos, 2) Estudio inicial, 3) Entorno operacional, 4) Determinación de recursos, 5) Actividades, 6) Informe final, 7) Carta de introducción. El objetivo principal es identificar fallas, vulnerabilidades y oportunidades de mejora en los sistemas
El documento habla sobre el control del sistema de información con el objetivo de garantizar su correcto funcionamiento y asegurar el control de las transacciones. Explica que el sistema debe contar con mecanismos de seguridad en las entradas, procesos, almacenamiento y salidas. También menciona que el sistema ayuda a controlar las actividades del organismo registrando y supervisando transacciones y eventos, y manteniendo datos financieros.
Este documento describe los principios deontológicos que se aplican a los auditores informáticos. Explica brevemente la deontología y su relación con los códigos éticos de una profesión. Luego enumera 25 principios deontológicos como el beneficio del auditado, la calidad, la capacidad, la cautela, el comportamiento profesional, la concentración en el trabajo, la confianza, el criterio propio, la discreción, la economía, la formación continua, el fortalecimiento y respeto de la profesión,
El perfil del auditor informático incluye poseer conocimientos generales de auditoría financiera e informática, como desarrollo de sistemas de información, administración de bases de datos, redes, seguridad y leyes relacionadas. El auditor debe especializarse en áreas clave para la empresa y aplicar un enfoque de calidad total para que sus conclusiones sean valiosas y aceptadas.
Este documento trata sobre control interno y auditoría informática. Explica que el control interno informático controla diariamente que todas las actividades de sistemas de información se realicen según los procedimientos establecidos, mientras que la auditoría informática evalúa periódicamente los controles y procedimientos para determinar si protegen los activos y mantienen la integridad de los datos. También describe los roles y funciones del control interno y la auditoría informática.
El documento describe la importancia de la documentación de los sistemas de información. Explica que la documentación proporciona entendimiento del sistema a los usuarios y mantenedores, permite auditorías del sistema, y enseña a los usuarios a interactuar con el sistema. Además, la documentación es esencial para el mantenimiento y soporte del sistema, y elimina riesgos de dependencia en individuos específicos. Finalmente, la documentación debe ser estandarizada dentro de una organización para facilitar la comunicación y reducir costos.
1) La auditoría informática evalúa los sistemas informáticos, software, información, redes y seguridad de una empresa para analizar, evaluar y verificar su planificación, control, eficacia y seguridad.
2) Puede realizarse con o sin el apoyo de la computadora, utilizando herramientas de software de auditoría o métodos tradicionales.
3) Tiene como objetivos principales asegurar la seguridad, disponibilidad y privacidad de la información, apoyar la toma de decisiones y mejorar la relación
Herramientas y técnicas para la auditoria informáticajoseaunefa
Este documento describe diferentes herramientas y técnicas para la auditoría informática como cuestionarios, entrevistas, checklist y trazas. Explica que los cuestionarios deben ser específicos para cada situación, las entrevistas permiten recopilar información matizada, los checklist son preguntas sistemáticas y las trazas se usan para verificar validaciones de datos. Además, clasifica las áreas de aplicación de la auditoría informática en planificación, organización, desarrollo de sistemas, explotación, entorno de hardware y entorno de software.
El documento describe el perfil de un auditor informático y los principios deontológicos que debe seguir. Un auditor informático debe tener conocimientos técnicos actualizados de las plataformas de la organización, conocer normas de auditoría interna, y contar con herramientas y técnicas como evaluación de riesgos y análisis e interpretación de evidencia. También debe ajustarse a principios como mantener la confidencialidad de la información, actuar con independencia e integridad, y brindar un servicio de calidad que se ajuste a la
Herramientas y Técnicas de Auditoria de Sistema For Uccoamz
para realizar tareas de auditoría repetitivas y rutinarias.
• LENGUAJES DE PROGRAMACIÓN
COBOL, C, C++, Visual Basic, etc. para desarrollar programas especiales
• HERRAMIENTAS DE BASES DE DATOS
SQL, ORACLE, ACCESS, etc. para extraer, analizar y comparar datos.
• HERRAMIENTAS DE REDES
Sniffer, Nmap, Wireshark, etc. para auditoría de redes y seguridad.
• SOFTWARE FORENSE
Encase, FTK, etc. para recuperar
TECNICAS Y PROCEDIMIENTOS EN AUDITORIA INFORMATICAYULIANA JIMENEZ
El documento describe las técnicas y procedimientos de auditoría. Se definen las técnicas de auditoría como métodos para obtener evidencia que fundamenten las opiniones del auditor. Las técnicas incluyen inspección, confirmación, investigación, declaración y certificación. Los procedimientos de auditoría combinan técnicas para examinar los hechos y obtener conocimiento sobre el control interno de una organización.
Este documento describe las fases del ciclo de vida del desarrollo de sistemas, incluidas la investigación preliminar, los requisitos del sistema, el levantamiento de información, el análisis del sistema, el diseño del sistema, la implementación, las pruebas, la documentación y el mantenimiento. También describe los tipos de registros de datos y archivos de datos.
Este documento trata sobre la auditoría de sistemas de información. Explica que inicialmente la informática apoyó áreas como contabilidad y nóminas, lo que llevó al desarrollo de la auditoría de sistemas. Ahora, la tecnología informática es fundamental para todas las actividades empresariales. La auditoría en informática es un proceso formal para evaluar que los recursos tecnológicos se administran de forma adecuada y apoyan la rentabilidad del negocio.
La auditoría de redes evalúa el desempeño y seguridad de una red mediante la identificación de su estructura física y lógica. Incluye un análisis de vulnerabilidades, un plan de saneamiento, un plan de contención y un seguimiento continuo. La criptografía oculta la información de intrusos no autorizados mediante técnicas como la transposición o DES, aunque estos métodos tienen desventajas como la necesidad de cambiar frecuentemente las llaves privadas.
El documento describe los pasos iniciales para planificar una auditoría de sistemas de información. Explica que la comprensión del negocio y sus riesgos es fundamental para identificar los objetivos de la auditoría. También destaca la importancia de desarrollar un programa de auditoría que incluya procedimientos para recopilar evidencia y evaluar los controles internos.
El documento define los conceptos generales de un informe de auditoría. En 3 oraciones o menos, el resumen es: El informe de auditoría comunica los objetivos, alcance, resultados, conclusiones y recomendaciones de la auditoría de manera objetiva, clara y oportuna. Incluye una comparación de la evidencia encontrada contra los criterios de auditoría y provee una base para mejorar procesos y cumplir objetivos.
Este documento trata sobre la auditoría informática. Define la auditoría informática como un proceso de recopilar, agrupar y evaluar evidencia para determinar si un sistema de información protege los activos, mantiene la integridad de los datos y cumple con los objetivos de la organización de manera efectiva. Luego discute los tipos de auditoría, incluidas las auditorías financieras, de cumplimiento, informáticas, operativas y técnicas. Finalmente, describe los objetivos de la auditoría informática, como analizar la eficiencia de los sistemas de
Mapa conceptual - Auditoría de Sistemasvmtorrealba
La auditoría de sistemas es la revisión crítica y sistemática de las normas, políticas, prácticas, funciones, procesos y procedimientos de los sistemas con el fin de verificar su eficiencia y efectividad. Existen diferentes tipos de auditoría como la financiera, operacional, fiscal, de sistemas y social. La metodología de una auditoría de sistemas incluye un estudio preliminar, revisión y evaluación de controles y seguridades, y un examen detallado de áreas críticas.
Las auditorías informáticas recaban información a través de cuestionarios, entrevistas, checklists, trazas de software y otras técnicas. Los auditores analizan esta información para emitir un juicio objetivo sobre los puntos fuertes y débiles del entorno auditado. Utilizan checklists de preguntas sistematizadas para guiar entrevistas con el personal auditado, pero deben formular las preguntas de manera flexible para obtener respuestas útiles sin presionar excesivamente al entrevistado.
Este documento presenta información sobre control interno y auditoría informática. Explica que el control interno informático monitorea que las actividades de sistemas de información cumplan con los procedimientos establecidos, mientras que la auditoría informática evalúa y comprueba los controles informáticos. También describe diferentes tipos de controles, como preventivos, de detección y correctivos, y la relación entre métodos de control y objetivos de control y auditoría. Finalmente, discute criterios para implementar un sistema de control interno informático como conocer la configur
El documento describe los métodos, técnicas y herramientas utilizadas en las auditorías informáticas, incluyendo cuestionarios, entrevistas, análisis de rendimiento, checklist y planes de trabajo. Explica las etapas de una auditoría, como el estudio inicial, determinación de recursos, elaboración de informes y objetivos de alcance.
Este documento describe los pasos del proceso de auditoría. Explica que la auditoría involucra el examen de los estados financieros de una empresa para emitir una opinión profesional. Luego detalla 7 pasos clave de la auditoría: 1) Definición de alcance y objetivos, 2) Estudio inicial, 3) Entorno operacional, 4) Determinación de recursos, 5) Actividades, 6) Informe final, 7) Carta de introducción. El objetivo principal es identificar fallas, vulnerabilidades y oportunidades de mejora en los sistemas
- Conocimientos básicos de informática
- Capacidad de aprendizaje
- Buena capacidad de análisis
- Habilidades de comunicación
Auditor Junior:
- Conocimientos técnicos de sistemas y redes
- Experiencia en auditorías de sistemas
- Capacidad de documentación
- Habilidades analíticas
Auditor Senior:
- Experiencia en auditorías de sistemas complejas
- Conocimientos avanzados de seguridad informática
- Habilidades de liderazgo y gestión de equipos
- Capacidad de comunicación
Técnicas de Evaluación en una Auditoria de Sistemas Computacionales Jazmín Moreno
Una presentación que será de mucha importancia para tener en cuenta como auditores de sistemas computacionales que técnicas poder aplicar para cada situación.
1. El documento define varios términos clave relacionados con la auditoría, incluyendo auditoría completa, auditoría continua, materialidad, independencia, programa de auditoría, pruebas de cumplimiento, pruebas sustantivas, herramientas CAATS, segregación de funciones, informe de auditoría, evidencia, papeles de trabajo e inconsistencia.
2. Algunos de los conceptos clave descritos son la auditoría continua, que implica auditorías periódicas durante el año fiscal, y la materialidad, que se refiere a la
Este documento describe el concepto de auditoría en informática y los diversos tipos de auditoría. Define la auditoría como una evaluación de la eficiencia y eficacia de una organización para mejorar el cumplimiento de sus objetivos. Describe los tipos de auditoría como control interno, administrativa/operacional y con informática. Explica que la auditoría en informática evalúa los controles, sistemas y procedimientos de TI para un uso más eficiente y seguro de la información.
El documento describe los pasos clave en la planificación de una auditoría informática. Explica que la planificación implica identificar los recursos, procedimientos y acciones necesarios para realizar el trabajo de auditoría de manera efectiva. También detalla las 7 fases típicas de una auditoría, que incluyen el entendimiento del sistema, análisis de riesgos, controles y elaboración del informe. Finalmente, enfatiza la importancia de contar con personal capacitado y experiencia en diferentes áreas como informática, finanzas y sistemas para llevar a
Este documento describe la auditoría de aplicaciones informáticas. Resume los tipos de controles, herramientas y etapas de la auditoría, incluyendo entrevistas, encuestas, observación, pruebas de conformidad y validación. También cubre el uso del computador para la auditoría y objetivos como evaluar el control de accesos y la satisfacción de los usuarios.
Este documento describe los métodos de auditoría informática. Explica que el papel del auditor es buscar problemas dentro de los sistemas y proponer soluciones. También cubre los tipos de auditorías, herramientas como cuestionarios y rastreos, áreas de aplicación como planificación y desarrollo de sistemas, y controles como preventivos, detectivos y correctivos.
La auditoría informática es un proceso llevado a cabo por profesionales capacitados para evaluar si un sistema de información protege los activos de la empresa, mantiene la integridad de los datos, cumple con los objetivos de la organización de manera eficiente y con las leyes establecidas, utilizando herramientas como cuestionarios, entrevistas, listas de verificación, registros de actividad y documentación para respaldar sus hallazgos y conclusiones en el informe final.
La auditoría informática evalúa los controles, normas, técnicas y procedimientos de seguridad de la información en una empresa para garantizar la confiabilidad, oportunidad, seguridad y confidencialidad de los datos. El objetivo final es desarrollar software que controle continuamente las operaciones de procesamiento de datos y dar recomendaciones para mejorar el control interno.
Herramientas y Métodos para Auditoria de TI,
Instrumentos de recolección de información auditoria TI.,
Técnicas de Evaluacion aplicables en auditoria TI
El documento describe las diferentes técnicas y áreas de enfoque de una auditoría informática, incluyendo cuestionarios, entrevistas, checklists, trazas y huellas. Examina las distintas fases de planificación, organización, desarrollo de sistemas y explotación, así como los entornos de hardware y software. El objetivo es evaluar la eficiencia, eficacia, seguridad y adecuación de la informática a las necesidades de la organización.
El documento describe las diferentes técnicas y áreas de enfoque de una auditoría informática, incluyendo cuestionarios, entrevistas, checklists, trazas y huellas. Examina las distintas fases de planificación, organización, desarrollo de sistemas y explotación, así como los entornos de hardware y software. El objetivo es evaluar la eficiencia, eficacia, seguridad y adecuación de la informática a las necesidades de la organización.
Este documento presenta una metodología para realizar auditorías informáticas en instituciones educativas. La metodología consta de 7 fases: 1) Definición del alcance y objetivos, 2) Estudio inicial, 3) Entorno operacional, 4) Determinación de recursos, 5) Actividades de auditoría, 6) Informe final, y 7) Carta de presentación. Cada fase incluye pasos específicos para evaluar aspectos como la infraestructura tecnológica, la administración de recursos y la efectividad del uso de
Los pasos clave de una auditoría de sistemas de información incluyen:
1) Realizar una revisión preliminar para obtener información y decidir el enfoque de la auditoría.
2) Llevar a cabo una revisión detallada para comprender a profundidad los controles internos.
3) Examinar y evaluar la información de manera que sirva de base sólida para los hallazgos y recomendaciones.
Este documento contiene 10 preguntas de repaso sobre auditoría de aplicaciones informáticas. La primera pregunta explica que las aplicaciones persiguen registrar información de manera fiel, permitir procesos de cálculo y edición, facilitar consultas sobre la información y generar informes. La segunda pregunta enumera posibles amenazas como fallos técnicos y acceso no autorizado a la información. La tercera pregunta define una "pista de auditoría" como un archivo que almacena datos de auditoría.
La auditoría de sistemas de información es un proceso de revisión y evaluación de los controles, sistemas y procedimientos de informática de una organización con el fin de asegurar una utilización más eficiente y segura de la información. Requiere personal capacitado y conocimientos técnicos. El objetivo principal es asegurar la integridad, confidencialidad y confiabilidad de la información mediante la recomendación de seguridades y controles.
La auditoría es una evaluación sistemática que realizan personas capacitadas para verificar el correcto funcionamiento de un sistema o gestión dentro de una organización. Existen dos tipos de auditoría: la interna, realizada por personal de la empresa, y la externa, llevada a cabo por personas ajenas. La auditoría informática evalúa los sistemas de información para garantizar que los datos se procesen adecuadamente y se utilicen los recursos de forma eficiente.
Este documento proporciona una introducción a la auditoría y resume sus diferentes tipos según Carlos Muñoz Razo. Define la auditoría como una actividad independiente para evaluar las operaciones de una organización y verificar su cumplimiento de objetivos. Luego resume nueve tipos de auditoría, incluyendo auditoría integral, gubernamental, informática, con computadora, sin computadora, de sistemas de cómputo, alrededor de la computadora, de seguridad de sistemas computacionales, y de sistemas de redes.
En la ciudad de Pasto, estamos revolucionando el acceso a microcréditos y la formalización de microempresarios informales con nuestra aplicación CrediAvanza. Nuestro objetivo es empoderar a los emprendedores locales proporcionándoles una plataforma integral que facilite el acceso a servicios financieros y asesoría profesional.
1. AUDITORIA INFORMÁTICA
Es la revisión y evaluación de los controles, sistemas, procedimientos
de informática; de los equipos de cómputo, su utilización, eficiencia y
seguridad, de la organización que participa en el procesamiento de la
información, a fin de que por medio del señalamiento de cursos alternativos
se logre una utilización más eficiente y segura de la información que servirá
para una adecuada toma de decisiones.
HERRAMIENTAS PARA LA APLICACIÓN DE UNA AUDITORIA
INFORMÁTICA
Entre las herramientas para la aplicación de una auditoria tenemos:
Cuestionarios: Las auditorías informáticas se materializan recabando
información y documentación de todo tipo. Los informes finales de los
auditores dependen de sus capacidades para analizar las situaciones de
debilidad o fortaleza de los diferentes entornos. El trabajo de campo del
auditor consiste en recolectar toda la información necesaria para la emisión
de un juicio global objetivo, siempre amparado en hechos demostrables,
llamados también evidencias. Para esto, suele ser lo habitual comenzar
solicitando la implementación de cuestionarios que se envían a las personas
concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas
personas sean las responsables oficiales de las diversas áreas a auditar.
Estos cuestionarios no pueden ni deben ser repetidos para
instalaciones distintas, sino diferentes y muy específicos para cada situación,
y muy cuidados en su fondo y su forma. Sobre esta base, se estudia y
analiza la documentación recibida, de modo que tal análisis determine a su
vez la información que deberá elaborar el propio auditor..
2. Entrevistas: La entrevista es una de las actividades personales más
importante del auditor; en ellas, éste recoge más información, y mejor
matizada, que la proporcionada por medios propios puramente técnicos o por
las respuestas escritas a cuestionarios.
El auditor crea relaciones personales con el auditado y lo hace de tres
formas:
1. Mediante la petición de documentación concreta sobre alguna materia
de su responsabilidad.
2. Mediante "entrevistas" en las que no se sigue un plan predeterminado
ni un método estricto de sometimiento a un cuestionario.
3. Por medio de entrevistas en las que el auditor sigue un método
preestablecido de antemano y busca unas finalidades concretas.
Aparte de algunas cuestiones menos importantes, la entrevista entre
auditor y auditado se basa fundamentalmente en el concepto de
interrogatorio. El auditor informático experto entrevista al auditado siguiendo
un cuidadoso sistema previamente establecido, consistente en que bajo la
forma de una conversación correcta y lo menos tensa posible, el auditado
conteste sencillamente y con pulcritud a una serie de preguntas variadas,
también sencillas. Sin embargo, esta sencillez es solo aparente. Tras ella
debe existir una preparación muy elaborada y sistematizada, y que es
diferente para cada caso particular.
Checklist: Es una técnica muy utilizada en el campo de la auditoría
informática. No es más que una lista de comprobación o cuestionario, que
sigue unas pautas determinadas dependiendo de qué estemos evaluando o
qué objetivos queramos alcanzar. El auditor crea un checklist para evaluar un
sistema informático y sacar conclusiones, guiándose por las respuestas que
el cliente ha dado a través del cuestionario o checklist.
3. Principalmente existen dos tipos de checklists, dependiendo del tipo
de respuesta que haya que dar a las preguntas que se plantean:
Checklist de Rango: En las respuestas el cliente tendrá que
introducir un número dentro de un rango dado, como por ejemplo, a la
pregunta de que si está satisfecho con el trabajo de los empleados de
la empresa deberá responder con una puntuación que estará entre un
mínimo y un máximo. El rango de respuesta podrá variar,
dependiendo del auditor o de la pregunta que se formule por ejemplo,
0 si no está nada de satisfecho y 5 si está totalmente satisfecho.
Checklist binario: Este tipo es de respuestas verdadero y falso (1 y 0
respectivamente). Solamente se podrá contestar con esos dos valores
independientemente de cual sea la pregunta.
Trazas o Huellas: Con frecuencia, el auditor informático debe verificar que
los programas, tanto de los sistemas como de usuario, realizan exactamente
las funciones previstas, y no otras. Para ello se apoya en productos de
software que, entre otras funciones, rastrean los caminos que siguen los
datos a través del programa. Estas “trazas” se utilizan para comprobar la
ejecución de las validaciones de datos previstas. Las mencionadas trazas no
deben modificar en absoluto el sistema.
TÉCNICAS PARA LA APLICACIÓN DE UNA AUDITORIA INFORMÁTICA
Entre las técnicas que se pueden aplicar para la auditoria informática
tenemos:
Evaluación: Consiste en analizar mediante pruebas la calidad y
cumplimiento de funciones, actividades y procedimientos que se
realizan en una organización o área.
4. Inspección: La inspección permite evaluar la eficiencia y eficacia del
sistema, en cuanto a operación y procesamiento de datos para reducir
los riesgos y unificar el trabajo hasta finalizarlo.
Confirmación: El aspecto más importante en la auditoria es la
confirmación de los hechos y la certificación de los datos que se
obtienen en la revisión, ya que el resultado final de la auditoria es la
emisión de un dictamen donde el auditor expone sus opiniones, este
informe es aceptado siempre y cuando los datos sean veraces y
confiables
Comparación: es la comparación de los datos obtenidos en un área o
en toda la organización y cotejando esa información con los datos
similares o iguales de otra organización con características
semejantes.
Revisión Documental: Para recopilar información relacionada con la
actividad, operación o función que se realiza en el área informática,
así como también se puede observar anticipadamente su
cumplimiento.
Matriz DOFA: Este es un método de análisis y diagnóstico usado para
la evaluación de un centro de cómputo, que permite la evaluación del
desempeño de los sistemas software, aquí se evalúan los factores
internos y externos, para que el auditor puede evaluar el cumplimiento
de la misión y objetivo general del área de informática de la
organización.
METODOLOGÍA PARA EL DESARROLLO DE UNA AUDITORIA
INFORMÁTICA
La metodología existente para desarrollar una auditoria informática se
divide en 7 fases:
Alcance y Objetivos de la Auditoría Informática
5. Estudio inicial del entorno auditable
Determinación de los recursos necesarios para realizar la auditoría
Elaboración del plan y de los Programas de Trabajo
Actividades propiamente dichas de la auditoría
Confección y redacción del Informe Final
Redacción de la Carta de Introducción o Carta de Presentación del
Informe final
Fase 1: Alcance y objetivos de la auditoria informática
El alcance de la auditoría expresa los límites de la misma. Debe existir
un acuerdo muy preciso entre auditores y clientes sobre las funciones, las
materias y las organizaciones a auditar. A los efectos de limitar el trabajo,
resulta muy beneficioso para ambas partes expresar las excepciones de
alcance de la auditoría, es decir cuales materias, funciones u organizaciones
no van a ser auditadas. Tanto los alcances como las excepciones deben
figurar al comienzo del Informe Final.
Las personas que realizan la auditoría han de conocer con la mayor
exactitud posible los objetivos a los que su tarea debe llegar. Deben
comprender los deseos y pretensiones del cliente, de forma que las metas
fijadas puedan ser cumplidas. Una vez definidos los objetivos específicos,
éstos se añadirán a los objetivos generales y comunes de toda auditoría
Informática: La operatividad de los Sistemas y los Controles Generales de
Gestión Informática.
Fase 2: Estudio Inicial
Para realizar dicho estudio ha de examinarse las funciones y
actividades generales de la informática. Para su realización el auditor debe
conocer lo siguiente:
6. Organización: Para el equipo auditor, el conocimiento de quién ordena,
quién diseña y quién ejecuta es fundamental. Para realizar esto en auditor
deberá fijarse en:
Organigrama: El organigrama expresa la estructura oficial de la
organización a auditar. Si se descubriera que existe un organigrama
fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia.
Departamentos: Se entiende como departamento a los órganos que
siguen inmediatamente a la Dirección. El equipo auditor describirá
brevemente las funciones de cada uno de ellos.
Relaciones Jerárquicas y funcionales entre órganos de la
Organización: El equipo auditor verificará si se cumplen las
relaciones funcionales y Jerárquicas previstas por el organigrama, o
por el contrario detectará, por ejemplo, si algún empleado tiene dos
jefes. Las de Jerarquía implican la correspondiente subordinación. Las
funcionales por el contrario, indican relaciones no estrictamente
subordínales.
Flujos de Información: Además de las corrientes verticales
interdepartamentales, la estructura organizativa cualquiera que sea,
produce corrientes de información horizontales y oblicuas extra
departamentales. Los flujos de información entre los grupos de una
organización son necesarios para su eficiente gestión, siempre y
cuando tales corrientes no distorsionen el propio organigrama. En
ocasiones, las organizaciones crean espontáneamente canales
alternativos de información, sin los cuales las funciones no podrían
ejercerse con eficacia; estos canales alternativos se producen porque
hay pequeños o grandes fallos en la estructura y en el organigrama
que los representa.
Número de Puestos de trabajo: El equipo auditor comprobará que
los nombres de los Puestos de Trabajo de la organización
7. corresponden a las funciones reales distintas. Es frecuente que bajo
nombres diferentes se realicen funciones idénticas, lo cual indica la
existencia de funciones operativas redundantes. Esta situación pone
de manifiesto deficiencias estructurales; los auditores darán a conocer
tal circunstancia y expresarán el número de puestos de trabajo
verdaderamente diferentes.
Número de personas por Puesto de Trabajo: Es un parámetro que
los auditores informáticos deben considerar. La inadecuación del
personal determina que el número de personas que realizan las
mismas funciones rara vez coincida con la estructura oficial de la
organización.
Fase 3: Entorno Operacional
El equipo de auditoría informática debe poseer una adecuada referencia del
entorno en el que va a desenvolverse. Este conocimiento previo se logra
determinando, fundamentalmente, los siguientes puntos:
Situación geográfica de los Sistemas: Se determinará la ubicación
geográfica de los distintos Centros de Proceso de Datos en la
empresa. A continuación, se verificará la existencia de responsables
en cada uno de ellos, así como el uso de los mismos estándares de
trabajo.
Arquitectura y configuración de Hardware y Software: Cuando
existen varios equipos, es fundamental la configuración elegida para
cada uno de ellos, ya que los mismos deben constituir un sistema
compatible e intercomunicado. La configuración de los sistemas está
muy ligada a las políticas de seguridad lógica de las compañías.
Inventario de Hardware y Software: El auditor recabará información
escrita, en donde figuren todos los elementos físicos y lógicos de la
instalación. En cuanto a Hardware figurarán las CPUs, unidades de
8. control local y remoto, periféricos de todo tipo, etc. El inventario de
software debe contener todos los productos lógicos del Sistema,
desde el software básico hasta los programas de utilidad adquiridos o
desarrollados internamente. Suele ser habitual clasificarlos en
facturables y no facturables.
Comunicación y Redes de Comunicación: En el estudio inicial los
auditores dispondrán del número, situación y características
principales de las líneas, así como de los accesos a la red pública de
comunicaciones. Igualmente, poseerán información de las Redes
Locales de la Empresa.
Aplicaciones bases de datos y ficheros: El estudio inicial que han
de realizar los auditores se cierra y culmina con una idea general de
los procesos informáticos realizados en la empresa auditada. Para ello
deberán conocer lo siguiente:
Volumen, antigüedad y complejidad de las Aplicaciones.
Metodología del Diseño: Se clasificará globalmente la
existencia total o parcial de metodología en el desarrollo de las
aplicaciones. Si se han utilizados varias a lo largo del tiempo se
pondrá de manifiesto.
Documentación: La existencia de una adecuada
documentación de las aplicaciones proporciona beneficios
tangibles e inmediatos muy importantes. La documentación de
programas disminuye el mantenimiento de los mismos.
Cantidad y complejidad de Bases de Datos y Ficheros: El
auditor recabará información de tamaño y características de las
Bases de Datos, clasificándolas en relación y jerarquías.
Hallará un promedio de número de accesos a ellas por hora o
días. Esta operación se repetirá con los ficheros, así como la
frecuencia de actualizaciones de los mismos.
9. Fase 4: Determinación de recursos de la Auditoría Informática
Mediante los resultados del estudio inicial realizado se procede a
determinar los recursos humanos y materiales que han de emplearse en la
auditoría, tales como:
Recursos materiales
Es muy importante su determinación, por cuanto la mayoría de ellos
son proporcionados por el cliente. Las herramientas de software propias del
equipo van a utilizarse igualmente en el sistema auditado, por lo que han de
convenirse en lo posible las fechas y horas de uso entre el auditor y cliente.
Los recursos materiales del auditor son de dos tipos:
Recursos materiales Software
Programas propios de la auditoría: Son muy potentes y
Flexibles. Habitualmente se añaden a las ejecuciones de los
procesos del cliente para verificarlos.
Monitores: Se utilizan en función del grado de desarrollo
observado en la actividad de Técnica de Sistemas del auditado
y de la cantidad y calidad de los datos ya existentes.
Recursos materiales Hardware
Los recursos hardware que el auditor necesita son proporcionados por el
cliente. Los procesos de control deben efectuarse necesariamente en las
Computadoras del auditado. Para lo cual habrá de convenir el tiempo de
máquina, espacio de disco, impresoras ocupadas, etc.
Recursos Humanos: La cantidad de recursos depende del volumen
auditable. Las características y perfiles del personal seleccionado
10. dependen de la materia auditable. Es igualmente resaltable que la
auditoría en general suele ser ejercida por profesionales universitarios
y por otras personas de probada experiencia multidisciplinaria. Según
el perfil profesional de los auditores informáticos se cumplirán
diferentes tareas:
Profesión Actividades y conocimientos deseables
Informático en general Con experiencia amplia en ramas distintas. Es
deseable que su labor se haya desarrollado en
Explotación y en Desarrollo de Proyectos.
Conocedor de Sistemas.
Experto en Desarrollo de
Proyectos
Amplia experiencia como responsable de
proyectos. Experto analista. Conocedor de las
metodologías de Desarrollo más importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software
Básico. Conocedor de los productos
equivalentes en el mercado. Amplios
conocimientos de Explotación.
Experto en Bases de Datos y
Administración de las mismas.
Con experiencia en el mantenimiento de Bases
de Datos. Conocimiento de productos
compatibles y equivalentes. Buenos
conocimientos de explotación
Experto en Software de
Comunicación
Alta especialización dentro de la técnica de
sistemas. Conocimientos profundos de redes.
Muy experto en Subsistemas de teleproceso.
Experto en Explotación y
Gestión de CPD
Responsable de algún Centro de Cómputos.
Amplia experiencia en Automatización de
trabajos. Experto en relaciones humanas.
Buenos conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista
en el análisis de flujos de información.
Técnico de evaluación de
Costes
Economista con conocimiento de Informática.
Gestión de costes.
Una vez asignados los recursos, el responsable de la auditoría y sus
colaboradores establecen un plan de trabajo. Decidido éste, se procede a la
programación del mismo.
El plan se elabora teniendo en cuenta, entre otros criterios, los siguientes:
11. Si la Revisión debe realizarse por áreas generales o áreas
específicas. En el primer caso, la elaboración es más compleja y
costosa.
Si la auditoría es global, de toda la Informática, o parcial. El volumen
determina no solamente el número de auditores necesarios, sino las
especialidades necesarias del personal.
En el Plan no se consideran calendarios, porque se manejan recursos
genéricos y no específicos.
En el Plan se establecen los recursos y esfuerzos globales que van a
ser necesarios.
En el Plan se establecen las prioridades de materias auditables, de
acuerdo siempre con las prioridades del cliente.
El Plan establece disponibilidad futura de los recursos durante la
revisión.
El Plan estructura las tareas a realizar por cada integrante del grupo.
En el Plan se expresan todas las ayudas que el auditor ha de recibir
del auditado.
Una vez elaborado el Plan, se procede a la Programación de
actividades. Esta ha de ser lo suficientemente como para permitir
modificaciones a lo largo del proyecto.
Fase 5: Actividades de la Auditoría Informática
Auditoría por temas generales o por áreas específicas: La
auditoría Informática general se realiza por áreas generales o por
áreas específicas. Si se examina por grandes temas, resulta evidente
la mayor calidad y el empleo de más tiempo total y mayores recursos.
Cuando la auditoría se realiza por áreas específicas, se abarcan de
una vez todas las peculiaridades que afectan a la misma, de forma
que el resultado se obtiene más rápidamente y con menor calidad.
12. Técnicas de Trabajo: Está compuesta por:
Análisis de la información recabada del auditado.
Análisis de la información propia.
Cruzamiento de las informaciones anteriores.
Entrevistas.
Simulación.
Muestreos.
Herramientas: Entre ellas tenemos:
Cuestionario general inicial.
Cuestionario Checklist.
Estándares.
Monitores.
Simuladores (Generadores de datos).
Paquetes de auditoría (Generadores de Programas).
Matrices de riesgo.
Fase 6: Informe Final
La función de la auditoría se materializa exclusivamente por escrito.
Por lo tanto la elaboración final es el exponente de su calidad. Resulta
evidente la necesidad de redactar borradores e informes parciales previos al
informe final, los que son elementos de contraste entre opinión entre auditor
y auditado y que pueden descubrir fallos de apreciación en el auditor.
Estructura del informe final:
El informe comienza con la fecha de inicio de la auditoría y la fecha de
redacción del mismo. Se incluyen los nombres del equipo auditor y los
nombres de todas las personas entrevistadas, con indicación de la
jefatura, responsabilidad y puesto de trabajo que ostente.
Definición de objetivos y alcance de la auditoría.
13. Enumeración de temas considerados: Antes de tratarlos con
profundidad, se enumerarán lo más exhaustivamente posible todos los
temas objeto de la auditoría.
Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a
saber:
Situación actual. Cuando se trate de una revisión periódica, en
la que se analiza no solamente una situación sino además su
evolución en el tiempo, se expondrá la situación prevista y la
situación real
Tendencias. Se tratarán de hallar parámetros que permitan
establecer tendencias futuras.
Puntos débiles y amenazas
Recomendaciones y planes de acción. Constituyen junto con
la exposición de puntos débiles, el verdadero objetivo de la
auditoría informática.
Redacción posterior de la Carta de Introducción o
Presentación.
Modelo conceptual de la exposición del informe final:
El informe debe incluir solamente hechos importantes.
La inclusión de hechos poco relevantes o accesorios desvía la
atención del lector.
El Informe debe consolidar los hechos que se describen en el mismo.
El término de “hechos consolidados” adquiere un especial significado
de verificación objetiva y deben estar documentalmente probados y
soportados. La consolidación de los hechos debe satisfacer, al menos
los siguientes criterios:
El hecho debe poder ser sometido a cambios.
14. Las ventajas del cambio deben superar los inconvenientes
derivados de mantener la situación.
No deben existir alternativas viables que superen al cambio
propuesto.
La recomendación del auditor sobre el hecho debe mantener o
mejorar las normas y estándares existentes en la instalación.
La aparición de un hecho en un informe de auditoría implica
necesariamente la existencia de una debilidad que ha de ser
corregida.
Flujo del hecho o debilidad:
1. Hecho encontrado:
Ha de ser relevante para el auditor y pera el cliente
Ha de ser exacto, y además convincente.
No deben existir hechos repetidos.
2. Consecuencias del hecho:
Las consecuencias deben redactarse de modo que sean
directamente deducibles del hecho.
3. Repercusión del hecho:
Se redactará las influencias directas que el hecho pueda tener
sobre otros aspectos informáticos u otros ámbitos de la
empresa.
4. Conclusión del hecho:
No deben redactarse conclusiones más que en los casos en que la
exposición haya sido muy extensa o compleja.
5. Recomendación del auditor informático:
Deberá entenderse por sí sola, por simple lectura.
Deberá estar suficientemente soportada en el propio texto.
15. Deberá ser concreta y exacta en el tiempo, para que pueda ser
verificada su implementación.
La recomendación se redactará de forma que vaya dirigida
expresamente a la persona o personas que puedan
implementarla.
Fase 7: Carta de Introducción o Presentación del Informe Final
La carta de introducción tiene especial importancia porque en ella ha
de resumirse la auditoría realizada. Se destina exclusivamente al
responsable máximo de la empresa, o a la persona concreta que encargo o
contrato la auditoría. Así como pueden existir tantas copias del informe Final
como solicite el cliente, la auditoría no hará copias de la citada carta de
Introducción.
La carta de introducción poseerá los siguientes atributos:
Tendrá como máximo 4 folios
Incluirá fecha, naturaleza, objetivos y alcance
Cuantificará la importancia de las áreas analizadas.
Proporcionará una conclusión general, concretando las áreas de gran
debilidad.
Presentará las debilidades en orden de importancia y gravedad.
En la carta de Introducción no se escribirán nunca recomendaciones.