1. PERFIL DEL AUDITOR INFORMÁTICO Y
SUS CONOCIMIENTOS
Es un profesional dedicado al análisis de sistemas de información que está
especializado en alguna de las ramas de la auditoría informática, que tiene
conocimientos generales de los ámbitos en los que ésta se mueve,
además de contar con conocimientos empresariales generales.
El auditor puede actuar como consultor con su auditado, dándole ideas de
cómo enfocar la construcción de los elementos de control y administración
que le sean propios. Además, puede actuar como consejero con la
organización en la que está desarrollando su labor. Un entorno informático
bien controlado puede ser ineficiente si no es consistente con los objetivos
de la organización.
2. Profesión
Actividades y conocimientos deseables
Informático Generalista
Con experiencia amplia en ramas distintas. Deseable que s
labor se haya desarrollado en Explotación y en Desarrollo d
Proyectos. Conocedor de Sistemas.
Experto en Desarrollo de Proyectos
Amplia experiencia como responsable de proyectos. Exper
analista. Conocedor de las metodologías de Desarrollo más
importantes.
Técnico de Sistemas
Experto en Sistemas Operativos y Software Básico. Conoced
de los productos equivalentes en el mercado. Amplios
conocimientos de Explotación.
Experto en Bases de Datos y Administración
de las mismas.
Con experiencia en el mantenimiento de Bases de Datos.
Conocimiento de productos compatibles y equivalentes.
Buenos conocimientos de explotación
Experto en Software de Comunicación
Alta especialización dentro de la técnica de sistemas.
Conocimientos profundos de redes. Muy experto en
Subsistemas de teleproceso.
Experto en Explotación y Gestión de CPD´S
Responsable de algún Centro de Cálculo. Amplia experienc
en Automatización de trabajos. Experto en relaciones
humanas. Buenos conocimientos de los sistemas.
Técnico de Organización
Experto organizador y coordinador. Especialista en el anális
de flujos de información.
Técnico de evaluación de Costes
Economista con conocimiento de Informática. Gestión de
costes.
3. El auditor operativo necesita un buen conocimiento general de la tecnología
de información y el auditor de informática debe conocer las bases de la
auditoria en general. La auditoria de informática debe incluir profesionales
con formación (background) en sistemas de información preferiblemente
con conocimientos en las diferentes especialidades en tecnologías de
información: telecomunicaciones, desarrollo de sistemas, sistemas operativos
y
bases
de
datos.
Evaluar
eficacia,
eficiencia
y
economía
en:
1. Adquisición de tecnologias y contratación de servicios de tecnología
informática
(outsourcing);
2. Desarrollo, implementación y mantenimiento de sistemas de información;
3. Seguridad informática: física y lógica sobre los datos, software básico,
hardware, comunicación, redes y los programas de aplicación, entre otros;
4. Administración, configuración y uso de la infra-estructura de las
telecomunicaciones;
5.
Computación
personal
y
la
automatización
de
oficinas;
6.
Administración
y
operación
de
centros
de
cómputo;
Para ello a continuación se establecen algunos elementos con que deberá
contar:
4. CONOCIMIENTOS GENERALES.
* Todo tipo de conocimientos tecnológicos, de forma actualizada y
especializada respecto a las plataformas existentes en la organización.
*
Normas
estándares
para
la
auditoria
interna.
* Políticas organizacionales sobre la información y las tecnologías de la
información.
* Características de la organización respecto a la ética, estructura
organizacional, tipo de supervisión existente, compensaciones monetarias
a los empleados, extensión de la presión laboral sobre los empleados,
historia de la organización, cambios recientes en la administración,
operaciones o sistemas, la industria o ambiente competitivo en la cual se
desempeña
la
organización.
* Aspectos legales;
5. HERRAMIENTAS.
Herramientas de control y verificación de la seguridad.
* Herramientas de monitoreo de actividades.
AUDITORÍA CON LA COMPUTADORA
Es la auditoría que se realiza con el apoyo de los equipos de cómputo y sus
programas para evaluar cualquier tipo de actividades y operaciones, no
necesariamente computarizadas, pero sí susceptibles de ser
automatizadas.
6. AUDITORÍA SIN LA COMPUTADORA
Es la auditoria cuyos métodos, técnicas y procedimientos están
orientados únicamente a la evaluación tradicional del comportamiento
y validez de las transacciones económicas, administrativas y
operacionales de un área de cómputo.
» TÉCNICAS.
* Técnicas de Evaluación de riesgos.
* Muestreo.
* Cálculo pos operación.
* Monitoreo de actividades.
* Recopilación de grandes cantidades de información.
* Verificación de desviaciones en el comportamiento de la data.
* Análisis e interpretación de la evidencia.
7. AUDITORIA INFORMÁTICA DE SISTEMAS
Se ocupa de analizar la actividad que se conoce como
técnica de sistemas, en todos sus factores. La
importancia creciente de las telecomunicaciones o
propicia de que las comunicaciones, líneas y redes de las
instalaciones informáticas se auditen por separado,
aunque formen parte del entorno general del sistema
(Ejm. De auditar el cableado estructurado, ancho de
banda de una red LAN)
8. AUDITORIA INFORMÁTICA DE COMUNICACIÓN Y REDES
Este tipo de auditoria deberá inquirir o actuar sobre los índices de utilización
de las líneas contratadas con información sobre tiempos de uso y de no uso,
deberá conocer la topología de la red de comunicaciones, ya sea la
actual o la desactualizada. Deberá conocer cuantas líneas existen, como
son, donde están instaladas, y sobre ellas hacer una suposición de
inoperatividad informática. Todas estas actividades deben estar
coordinadas y dependientes de una sola organización (Debemos conocer
los tipos de mapas actuales y anteriores, como son las líneas, el ancho de
banda, suponer que todas las líneas están mal, la suposición mala
confirmarlo).
9. SISTEMAS DE INFORMACIÓN
LOS SISTEMAS DE INFORMACIÓN Y SU ALCANCE
Se entiende por un sistema de información al conjunto de normas,
procedimientos y demás parámetros que forman la información general
de una empresa o institución.
En un sistema de información se pueden visualizar algunos componentes
tales como:
• El nombre del sistema,
• Nombre de macros del sistema
• Software base
• Lenguajes de programación
• Paquetes,
• Unidades o departamentos que utilizan la información,
• Volúmenes de archivos que se utilizan diariamente (Semanal, mensual,
etc.)
• Requerimientos mínimos de los equipos (En muchos de los casos sí es un
software)
• Fechas críticas
• Ingreso de información
• Flujo de información
• Egresos de información