AUDITORIA INFORMÁTICA
Definición.
La auditoria informática es un proceso llevado a cabo por profesionales
especialmente capacitados para el efecto, y que consiste en recoger, agrupar y
evaluar evidencias para determinar si un sistema de información salvaguarda el
activo empresarial, mantiene la integridad de los datos, lleva a cabo
eficazmente los fines de la organización, utiliza eficientemente los recursos,
y cumple con las leyes y regulaciones establecidas. Permiten detectar de forma
sistemática el uso de los recursos y los flujos de información dentro de una
organización y determinar qué información es crítica para el cumplimiento de su
misión y objetivos, identificando necesidades, duplicidades, costes, valor y barreras,
que obstaculizan flujos de información eficientes.
Conceptos básicos
Auditoria._ La auditoria es el examen crítico y sistemático que realiza una
persona o grupo de personas independientes del sistema auditado, que puede ser
una persona, organización, sistema, proceso, proyecto o producto.
AUDITORÍA
La Auditoria en informática se refiere a la revisión práctica que se realiza
sobre los recursos informáticos con que cuenta una entidad con el fin de emitir
un informe o dictamen sobre la situación en que se desarrollan y se utilizan
esos recursos.
Objetivo.
El objetivo principal de una Auditoria es la emisión de un diagnóstico
sobre un sistema de información empresarial, que permita tomar decisiones sobre
el mismo. Estas decisiones pueden ser de diferentes tipos respecto al área
examinada y al usuario del
Dictamen o diagnóstico.
En la conceptualista tradicional los objetivos de la auditoria eran tres:
§Descubrir fraudes
§Descubrir errores de principio
§Descubrir errores técnicos
Importancia.
Principales puntos por los cuales es importante realizar una auditoria:
- La alta sistematización
- Las nuevas tecnologías
- La automatización de los controles
- Integración de información
- Importancia de la información
Herramientas utilizadas en una
auditoria informática.
Las principales herramientas de las que dispone un auditor informático son:
·Realización de cuestionarios
·Entrevistas a auditados y no
auditados
·Lista de Chequeo
·Trazas y / o Huellas
·Software de Interrogación
Vamos a ver alguno a aspectos
importantes de ellas:
Cuestionarios
Ø El trabajo del auditor consiste en
lograr toda la información necesaria para la emisión de un juicio global
objetivo, siempre amparado en hechos demostrables, llamados también evidencias.
Ø Es lo habitual comenzar solicitando
la aplicación de cuestionarios preimpresos que se envían a las personas
concretas que el auditor cree adecuadas, sin que sea obligatorio que dichas
personas sean las responsables oficiales de las diversas áreas a auditar.
Ø Estos cuestionarios no pueden ni
deben ser repetidos para instalaciones distintas, sino diferentes y muy
específicos para cada situación, y muy cuidados en su fondo y su forma.
Entrevistas
Ø El auditor comienza a continuación
las relaciones personales con el auditado.
Ø Lo hace de tres formas:
ØMediante la petición de
documentación concreta sobre alguna materia de su responsabilidad.
Ø Mediante "entrevistas" en
las que no se sigue un plan predeterminado ni un método estricto de
sometimiento a un cuestionario.
ØPor medio de entrevistas en las que
el auditor sigue un método preestablecido de antemano y busca unas finalidades
concretas.
Ø La entrevista es una de las
actividades personales más importante del auditor; en ellas, éste recoge más
información, y mejor matizada, que la proporcionada por medios propios
puramente técnicos o por las respuestas escritas a cuestionarios.
Checklist
Ø El auditor conversará y hará
preguntas "normales", que en realidad servirán para cumplir
sistemáticamente con sus Cuestionarios, de sus Checklists.
Ø Estos deben ser contestados
oralmente, ya que superan en riqueza y generalización a cualquier otra forma.
Ø Según la claridad de las preguntas
y el talento del auditor, el auditado responderá desde posiciones muy distintas
y con disposición muy variable.
Ø Tener elaboradas listas de
preguntas muy sistematizadas, coherentes y clasificadas por materias, todavía
lo es el modo y el orden de su formulación.
ØEl auditor deberá aplicar el
Checklist de modo que el auditado responda clara y escuetamente.
Ø Los cuestionarios o Checklists responden
fundamentalmente a dos tipos de "filosofía" de calificación:
Checklist de rango: Contiene preguntas que el auditor
debe puntuar dentro de un rango preestablecido (por ejemplo, de 1 a 5, siendo 1
la respuesta más negativa y el 5 el valor más positivo).
Checklists Binarios: Es constituido por preguntas con
respuestas única y excluyente: Si o No.
Trazas y/o Huellas
Ø El auditor informático debe
verificar que los programas, tanto de los Sistemas como de usuario, realizan
exactamente las funciones previstas, y no otras.
Ø Estas "Trazas" se
utilizan para comprobar la ejecución de las validaciones de datos previstas.
Ø Las trazas no deben modificar en
absoluto el Sistema. Software de Interrogación
Ø Se han utilizado productos software
llamados genéricamente, capaces de generar programas para auditores escasamente
cualificados desde el punto de vista informático.
Ø Los productos Software especiales
para la auditoria informática se orientan principalmente hacia lenguajes que
permiten la interrogación de ficheros y bases de datos de la empresa auditada.
Ø Estos productos son utilizados
solamente por los auditores externos, por cuanto los internos disponen del
software nativo propio de la instalación
Función del auditor.
AUDITORIA DE COMUNICACION
Objetivo
Tener una gerencia de comunicaciones con plena autoridad de voto y acción.
• Llevar un registro actualizado de módems, controladores, terminales,
líneas y todo equipo relacionado con las comunicaciones.
• Mantener una vigilancia constante sobre cualquier acción en la red.
• Registrar un coste de comunicaciones y reparto a encargados.
• Mejorar el rendimiento y la resolución de problemas presentados en la
red.
Perfil del auditor
El perfil de un auditor informático en redes y telecomunicaciones es el que
corresponde a un Ingeniero en Informática o en Sistemas especializado en el
área de telemática.
El auditor de informático especializado en esta área deberá inquirir sobre
los índices de utilización de las líneas contratadas con información abundante
sobre tiempos de desuso. Deberá proveerse de la topología de la Red de
Comunicaciones, actualizada, ya que la desactualización de esta documentación
significaría una grave debilidad.
La inexistencia de datos sobre la cuantas líneas existen, cómo son y donde
están instaladas, supondría que se bordea la Inoperatividad Informática.
Sin embargo, las debilidades más frecuentes
o importantes se encuentran en las disfunciones organizativas.
Porque y para que se realiza auditorias.
a) Asegurar la integridad, confidencialidad y confiabilidad de la
información.
b) Minimizar existencias de riesgos en el uso de Tecnología de información
c) Conocer la situación actual del área informática para lograr los objetivos.
d) Asegurar seguridad, utilidad, confianza, privacidad y disponibilidad en
el ambiente informático, así como también seguridad del personal, los datos, el
hardware, el software y las instalaciones.
e) Incrementar la satisfacción de los usuarios de los sistemas
informáticos.
f) Capacitar y educar sobre controles en los Sistemas de Información.
g) Buscar una mejor relación costo-beneficio de los sistemas automáticos y
tomar decisiones en cuanto a inversiones para la tecnología de información.
Aque tipo de empresas se aplica esta auditoría.
La Auditoria Informática en Redes y Telecomunicaciones se lo aplica en
especial a empresas que poseen ciertamente de tecnologías de comunicaciones y/o
sistemas de información que están conectados ya sea mediante intranet o
internet.
5._ Web Grafía
Anónimo.(2016). Auditoria de comunicación. Recuperado de
http://es.slideshare.net/kaztro93/auditora-de-redes-9931011.{29/05/2016}
Suarez, J.(2016). Auditoria de informática. Recuperado de
http://fcasua.contad.unam.mx/apuntes/interiores/docs/98/8/audi_infor.pdf.{29/05/2016}
0 comentarios:
Publicar un comentario