Este documento describe la auditoría informática, incluyendo su introducción, objetivos, características relevantes, tipos y metodología. La auditoría informática evalúa la fiabilidad, disponibilidad, seguridad y calidad de los sistemas de información de una organización para mejorar su eficiencia, eficacia y seguridad. Puede realizarse en áreas como la gestión, bases de datos, sistemas, comunicaciones, desarrollo y seguridad.
2. INTRODUCCIÓN
Es el proceso de recoger, agrupar y evaluar evidencias para
determinar si un Sistema de Información salvaguarda el activo
empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización y utiliza eficientemente
los recursos.
Auditar consiste principalmente en estudiar los mecanismos de
control que están implantados en una empresa u organización,
determinando si los mismos son adecuados y cumplen unos
determinados objetivos o estrategias, estableciendo los
cambios que se deberían realizar para la consecución de los
mismos.
3. OBEJTIVOS
Evaluar la fiabilidad
Evaluar la dependencia de los Sistemas y las medidas tomadas para
garantizar su disponibilidad y continuidad
Revisar la seguridad de los entornos y sistemas
Analizar la garantía de calidad de los Sistemas de Información
Analizar los controles y procedimientos tanto organizativos como
operativos.
Verificar el cumplimiento de la normativa y legislación vigentes
Elaborar un informe externo independiente.
Utilización de estándares
4. CARACTERISTICAS RELEVANTES
La auditoría informática sirve para mejorar ciertas características en
la empresa como:
Eficiencia
Eficacia
Rentabilidad
Seguridad
Generalmente se puede desarrollar en alguna o combinación de las
siguientes áreas:
Gobierno corporativo
Administración del Ciclo de vida de los sistemas
Servicios de Entrega y Soporte
Protección y Seguridad
Planes de continuidad y recuperación de desastres
5. TIPOS DE AUDITORÍA INFORMÁTICA
Auditoría de la gestión informática: Referido a la contratación
de bienes y servicios que brinda por informática, unciones,
control interno informático, estructura, relaciones con AD y PU,
documentación de los programas, etc.
Auditoría de las bases de datos: Controles de acceso, de
actualización, de integridad y calidad de los datos, respaldo y
recuperación.
Auditoría informática de sistemas: Revisión de los sistemas de
información actuales, tanto a nivel hardware como software,
con objeto de descubrir potenciales puntos de mejora y
determinar en qué modo debería actuarse para mejorar tanto
éstos como otros aspectos.
6. TIPOS DE AUDITORÍA INFORMÁTICA
Auditoría informática de explotación: Revisión de todos
los procesos encargados de producir resultados, entre
ellos la captura de la información, los sistemas
hardware de explotación, los recursos humanos de
explotación y otros.
Auditoría informática de comunicaciones: Revisión de la
topología de Red y de terminación de posibles mejoras,
análisis de caudales y grados de utilización.
7. TIPOS DE AUDITORÍA INFORMÁTICA
Auditoría informática de desarrollo: Revisión del proceso completo de
desarrollo de proyectos por parte de la empresa auditada. El análisis
se basa en cuatro aspectos fundamentales: revisión de las
metodologías utilizadas, control interno de las aplicaciones,
satisfacción de los usuarios y control de procesos y ejecuciones de
programas críticos.
Auditoría informática de seguridad: Abarca los conceptos de
seguridad física y seguridad lógica. La seguridad física se refiere a la
protección del hardware y de los soportes de datos, así como a la de
los edificios e instalaciones que los albergan, contemplando las
situaciones de incendios, sabotajes, robos, catástrofes naturales,
etc.
8. METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA
1. Alcance y Objetivos de la Auditoría Informática
2. Estudio inicial del entorno auditable
3. Determinación de los recursos necesarios para
realizar la auditoría
4. Elaboración del plan y de los Programas de Trabajo
5. Actividades propiamente dichas de la auditoría
6. Confección y redacción del Informe Final
7. Redacción de la Carta de Introducción o Carta de
Presentación del Informe final
9. FORMATO DEL PROGRAMA DE AUDITORÍA
INSTITUTO PARA LA PROTECCIÓN AL AHORRO BANCARIO
PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE
Fecha: 10-07-2010
Elaborado por: Victor Manuel Bernal Garcia
Revisado por: Mario Rosales Franco
Documentación a
No. Procedimiento Responsable Fecha
examinar
1 Elaborar un listado de las máquinas y de los
programas más usados, usando el listado Victor Bernal 10/07/2010 Inventario
sugerido
2 Especificar y documentar las observaciones
especiales de las máquinas que requieran una
Victor Bernal 10/07/2010
apreciación exclusiva. Como el servidor, equipos
con componentes especiales, etc.
3 Elaborar un diagrama de la estructura y
conexiones de red con los correspondientes Victor Bernal 10/07/2010
equipos.
4 Realizar un análisis preliminar sobre el estado
Victor Bernal 10/07/2010
general del laboratorio.
Elaboro Reviso
---------------------------------------------- ----------------------------------------------
Nombre y Firma Nombre y Firma
10. FORMATO DEL PROGRAMA DE AUDITORÍA
PROGRAMA DE AUDITORIA
Empresa: Instituto para la Protección al Ahorro Bancario Fecha: 10/07/2010 No. Hoja: 1
Fase Actividad Horas Programadas Encargados
Visita Preliminar
1.- Solicitud de Manuales y Documentaciones.
1 8 Horas Víctor Bernal
2.- Elaboración de los cuestionarios.
3.- Recopilación de la información.
Desarrollo de la Auditoria
1.- Aplicación del cuestionario al personal.
2.- Análisis de las claves de acceso, control,
2 seguridad, confiabilidad y respaldos. 36 horas Mario Rosales
3.- Evaluación de los sistemas: relevamiento de
Hardware y Software, evaluación del diseño
lógico y del desarrollo del sistema.
Revisión y Pre-Informe Víctor Bernal
3 1.- Revisión de los papeles de trabajo. 8 Horas y Mario
3.- Determinación del Diagnostico e Implicaciones. Rosales
Informe Víctor Bernal
4 4 Horas y Mario
1.- Elaboración y presentación del Informe.
Rosales
12. FORMATO DE ACCIONES DE MEJORA
CEDULA DE ACCIONES DE MEJORA
No. De Revisión de Control : 01/2010 Área: Dirección General de Sistemas Fecha: 10/07/2010
Tipo de Revisión: Mejoramiento de los Rubro o Proceso a Revisar: Sistema SIAR
Controles Internos
Núm. Área de Oportunidad y Riesgos Área de Mejora Responsables de atención Fecha Compromiso
Repetición de Captura de Es conveniente evaluar la incorporación de Director de Recursos
información en diversos módulos una plataforma informática con una base
del SIAR Financieros
de datos vinculada, que permita ser usada
En revisión de la información del
SIRH por parte de la Subdirección en forma reciproca por los departamentos
de Operación Financiera, se bajo la adscripción de la Subdirección de
capturan datos en el Modulo de Operación Financiera, a fin de evitar la
Cheques del SIRH como: Unidad captura repetitiva de datos. La alternativa Coordinación de Servicios
Responsable, Folio, Oficio y Monto; de solución que se tomé deberá de Información
Algunos de estos datos vuelven a
considerar el evitar lan dependencia de
1 ser capturados en l Modulo de 31/12/2010
Cheques del departamento de algún proveedor de software.
Tesorería.
Riesgos
Mayor utilización de
Subdirector de Desarrollo y
Horas/Hombre debido a la
Aplicaciones
duplicidad de actividades
Administrativas
destinadas al registro de Datos.
Incremento en la Incidencia de
errores de captura
Responsable del Área Auditor Subdirector de evaluación
Nombre: Nombre: Nombre:
Fecha: Fecha: Fecha:
Firma: Firma: Firma:
13. FORMATO DE OBSERVACIONES
FORMATO DE OBSERVACIONES
Nombre de la empresa:
No. De Observación: Periodo sujeto a revisión:
Nombre del Informe de auditoria:
Clasificación de la Observación: Alta ( ) Media ( ) Baja ( )
Descripción de la Observación:
Fundamento especifico legal y/o técnico
Causas:
Efectos:
Recomendaciones:
Correctivas
Preventivas:
14. FORMATO DE OBSERVACIONES
INFORME DE AUDITORIA
Nombre de la Empresa:
Area auditada:
Fecha inicial de auditoria: Fecha final de auditoria: Auditor:
Categorización (impacto)
Secuencia Punto en observación Recomendación Responsable Riesgo
Critico Mayor Menor Sin Impacto
15. FUNCIONES DE UN AUDITOR INFORMÁTICO
Participar en las revisiones durante y después del diseño,
realización, implantación, explotación y cambios
importantes de aplicaciones informáticas.
Revisar y juzgar los controles implantados en los sistemas
informáticos para verificar su adecuación a las ordenes e
instrucciones de la Dirección, requisitos legales, protección
de confidencialidad y cobertura ante errores y fraudes.
Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y
seguridad de los equipos e información.
16. AUDITORIA INTERNA
La auditoría interna es la realizada con recursos materiales y
personas que pertenecen a la empresa auditada. Los
empleados que realizan esta tarea son remunerados
económicamente. La auditoría interna existe por expresa
decisión de la Empresa, o sea, que puede optar por su
disolución en cualquier momento.
El objetivo fundamental de la Auditoría Interna es descubrir
deficiencias o irregularidades en alguna de las partes de las
empresas examinadas, y apuntar hacia sus posibles
soluciones.
Su finalidad es auxiliar a la dirección para lograr que la
administración sea optima.
17. AUDITORIA EXTERNA
Es el examen crítico, sistemático y detallado de un sistema de
información, realizado por un auditor sin vínculos laborales con la
misma, utilizando técnicas determinadas y con el objeto de emitir
una opinión independiente sobre la forma como opera el sistema, el
control interno del mismo y formular sugerencias para su
mejoramiento.
La Auditoría Externa o Independiente tiene por objeto averiguar la
razonabilidad, integridad y autenticidad de los estados, expedientes
y documentos y toda aquella información producida por los sistemas
de la organización.
La auditoría externa es realizada por personas afines a la empresa
auditada; es siempre remunerada. Se presupone una mayor
objetividad que en la Auditoría Interna, debido al mayor
distanciamiento entre auditores y auditados.
18. CONCLUSIONES
El informe de auditoria tiene que estar basado en una
metodología, misma que debe estar soportada por mejores
practicas administrativas y tecnológicas.
El informe de auditoria debe contener cuando menos los
puntos observados en la presentación y el formato puede
elaborarse de acuerdo a las necesidades del auditor, por lo que
no existe un formato en especifico.
La información y observaciones vertidos en el informe deben
contener un sustento y no pueden ser en ningún caso
subjetivos.