La auditoría informática se refiere al análisis de las condiciones de una instalación informática por un auditor externo e independiente. Existen varios tipos de auditoría informática como la auditoría de explotación, desarrollo de proyectos, sistemas, comunicación de redes y seguridad informática. Una auditoría informática efectiva requiere de planeamiento, mantenimiento, capacitación continua del personal y creación de una unidad especializada en tecnología de la información.
1. UNIVERSIDAD TECNICA DEL NORTE
FAC. CIENCIAS ADMINISTRATIVAS Y ECONOMICAS
ESC. CONTABILIDAD SUPERIOR Y AUDITORIA
autor:
RUANO EVELIN
AUDITORÍA INFORMÁTICA
2. Auditoría es un término que puede hacer
referencia a tres cosas diferentes pero
conectadas entre sí: puede referirse
al trabajo que realiza un auditor, a
la tarea de estudiar la economía de una
empresa, o a la oficina donde se
realizan estas tareas (donde trabaja el
auditor). La actividad de auditar consiste
en realizar un examen de los procesos y
de la actividad económica de una
organización para confirmar si se ajustan
a lo fijado por las leyes o los buenos
criterios.
Por lo general, el término se refiere a
la auditoría contable, que consiste en
examinar las cuentas de una entidad.
3. Disciplina incluida en el campo de la
auditoría que se refiere al análisis de las
condiciones de una instalación informática
por un auditor externo e independiente
que realiza un dictamen sobre diferentes
aspectos.
Conjunto de procedimientos y técnicas
para evaluar y controlar, total o
parcialmente, un sistema informático, con
el fin de proteger sus activos y recursos,
verificar si sus actividades se desarrollan
eficientemente y de acuerdo con la
normativa informática y general existentes
en cada empresa y para conseguir la
eficacia exigida en el marco de la
organización correspondiente.
4. Características de la Auditoría Informática:
La información de la empresa y para la empresa, siempre
importante, se ha convertido en un Activo Real de la misma,
como sus Stocks o materias primas si las hay. Por ende, han de
realizarse inversiones informáticas, materia de la que se ocupa
la Auditoría de Inversión Informática.
Del mismo modo, los Sistemas Informáticos han de protegerse de
modo global y particular: a ello se debe la existencia de
la Auditoría de Seguridad Informática en general, o a la auditoría
de Seguridad de alguna de sus áreas, como pudieran ser
Desarrollo o Técnica de Sistemas.
Cuando se producen cambios estructurales en la Informática, se
reorganiza de alguna forma su función: se está en el campo de
la Auditoría de Organización Informática.
Estos tres tipos de auditorías engloban a las actividades auditoras
que se realizan en una auditoría parcial. De otra manera: cuando
se realiza una auditoria del área de Desarrollo de Proyectos de la
Informática de una empresa, es porque en ese Desarrollo existen,
además de ineficiencias, debilidades de organización, o de
inversiones, o de seguridad, o alguna mezcla de ellas.
5. El método de trabajo del auditor pasa por las siguientes
etapas:
1. Alcance y Objetivos de la Auditoría Informática.
2. Estudio inicial del entorno auditable.
3. Determinación de los recursos necesarios para realizar
la auditoría.
4. Elaboración del plan y de los Programas de Trabajo.
5. Actividades propiamente dichas de la auditoría.
6. Confección y redacción del Informe Final.
7. Redacción de la Carta de Introducción o Carta de
Presentación del Informe final.
6. Desde el punto de vista de informática la podemos clasificar así:
a) Auditoría Informática de Explotación
b) Auditoría Informática de Desarrollo de Proyectos o Aplicaciones
c) Auditoría Informática de Sistemas
d) Auditoría Informática de Comunicación de Redes
e) Auditoría de la Seguridad Informática
7. La explotación Informática se ocupa de producir resultados, tales como
listados, archivos soportados magnéticamente, ordenes automatizadas,
modificación de procesos, etc. Para realizar la explotación Informática se
dispone de datos, las cuales sufren un transformación y se someten a
controles de integridad y calidad. (Integridad nos sirve a nosotros; la
calidad es que sirven los datos, pero pueden que no sirvan; estos dos
juntos realizan un información buena.
8. La función de desarrollo de una evaluación del llamado Análisis de
Programación y sistemas. Así por ejemplo una aplicación podría tener
las siguientes fases:
a) Prerrequisitos del usuario y del entorno
b) Análisis Funcional
c) Diseño
d) Análisis orgánico (Preprogramación y Programación)
e) Pruebas y
f) Explotación.
Todas estas fases deben estar sometidas a un exigente control interno,
de lo contrario, pueden producirse insatisfacciones del cliente,
insatisfacción del usuario, altos costos, etc. Por lo tanto la Auditoría
deberá comprobar la seguridad de los programas, en el sentido de
garantizar que el servicio ejecutado por la maquina, los resultados sean
exactamente los previstos y no otros
9. Auditoría Informática de Sistemas. Se ocupa de analizar la
actividad que se conoce como técnica de sistemas, en todos sus
factores. La importancia creciente de las telecomunicaciones o
propicia de que las comunicaciones, líneas y redes de las
instalaciones informáticas se auditen por separado, aunque formen
parte del entorno general del sistema. (Ej. Auditar el cableado
estructurado, ancho de banda de una red LAN)
10. Auditoria Informática de comunicación y Redes. Este tipo de
Auditoría deberá inquirir o actuar sobre índices de utilización de las
líneas contratadas con información sobre tiempos de uso, deberá
conocer la topología de la red de comunicaciones, ya sea la actual o la
desactualizada. Deberá conocer cuantas líneas existen, como son,
donde están instaladas, y sobre ellas hacer una suposición de
inoperatividad Informática. Todas estas actividades deben estar
coordinadas y dependientes de una sola organización. (Debemos
conocer los tipos de mapas actuales y anteriores, como son las líneas,
el ancho de banda, suponer que todas las líneas están mal, la
suposición mala confirmarlo).
11. Auditoría de la Seguridad Informática. Se debe tener presente la
cantidad de información almacenada en el computador, la cual en
muchos casos puede ser confidencial, ya sea individuos, las
empresa o las instituciones, lo que significa que se debe cuidar del
mal uso de esta información, de los robos, los fraudes, sabotajes y
sobre todo de la destrucción parcial o total. En la actualidad se
debe también cuidar la información d los virus informáticos, los
cuales permanecen ocultos y dañan sistemáticamente los datos
12. Profesión Actividades y conocimientos deseables
Informático Generalista Con experiencia amplia en ramas distintas. Deseable que su
labor se haya desarrollado en Explotación y en Desarrollo de
Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos Amplia experiencia como responsable de proyectos. Experto
analista. Conocedor de las metodologías de Desarrollo más
importantes.
Técnico de Sistemas Experto en Sistemas Operativos y Software Básico.
Conocedor de los productos equivalentes en el mercado.
Amplios conocimientos de Explotación.
Experto en Bases de Datos y Administración Con experiencia en el mantenimiento de Bases de Datos.
de las mismas. Conocimiento de productos compatibles y equivalentes.
Buenos conocimientos de explotación
Experto en Software de Comunicación Alta especialización dentro de la técnica de sistemas.
Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S Responsable de algún Centro de Cálculo. Amplia experiencia
en Automatización de trabajos. Experto en relaciones
humanas. Buenos conocimientos de los sistemas.
Técnico de Organización Experto organizador y coordinador. Especialista en el
análisis de flujos de información.
Técnico de evaluación de Costes Economista con conocimiento de Informática. Gestión de
costes.
13. En el proceso de promover la auditoría informática se necesita de un
buen planeamiento, mantenimiento de la ejecución y estar preparados
para cualquier cambio que pueda traer con el pasar del tiempo, el
entrenamiento del personal para nuevos enfrentamientos también es un
labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos
que se ha puesto se han obtenido muy buenos resultados, como meta
para el futuro es el de poner mas esfuerzo en el entrenamiento del
personal de la auditoria informática, crear secciones especialmente
encargadas de la auditoria informática, también a la vez crear un
Sistema de Soporte a la Tecnología de la Información ( Information
Technology Support ) y reglamentos para el progreso de la auditoria
informática, todo esto son metas para entrar al año 2000, elevar y
brindar un mejor servicio de calidad poner los esfuerzos que se debe en
el trabajo de la Auditoria.