PLANIFICACIÓN DE LA AUDITORIA INFORMÁTICA

UNIVERSIDAD NACIONAL DE CHIMBORAZOFACULTAD DE CIENCIAS POLÍTICAS Y ADMINISTRATIVASCARRERA DE CONTABILIDAD Y AUDITORÍAAUDITORIA DE SISTEMA INFORMATICA IIRESUMEN UNIDAD INÉLIDA PILAR PONCE10mo SEMESTRE "A"ING. JORGE CRUZ

a8916241-1639-465f-8f15-854cac07d344 (image/jpg)

PLANIFICACIÓN DE LA AUDITORIA INFORMÁTICA

Planificación, es el proceso consciente de selección y desarrollo del mejor curso de acción para lograr el objetivo. La planificación de la auditoría: es un conjunto de procedimientos documentados diseñados para alcanzar los objetivos de auditoría planificados.

FASES DE LA AUDITORIA

Fase I: Conocimientos del Sistema Fase II: Análisis de transacciones y recursos Fase III: Análisis de riesgos y amenazas Fase IV: Análisis de controles Fase V: Evaluación de Controles Fase VI: El Informe de auditoria Fase VII: Seguimiento de las Recomendaciones

Entendimiento general de la entidad: Consiste en identificar las relaciones entre el Departamento de TI y su entorno (legal, regulatorio, cultura, procesos), entender la organización, sus objetivos, estrategias, capacidades y habilidades, así como identificar todos aquellos objetos (áreas, procesos, proyectos, etc.) del área de TI que están expuestos a riesgos.

PLANEACIÓN

Para hacer una adecuada planeación de la auditoría en informática hay que seguir una serie de pasos previos que permitirán dimensionar el tamaño y características del área dentro del organismo a auditar, sus sistemas, organización y equipo. Con ello podremos determinar el número y características del personal de auditoría, las herramientas para, en caso necesario, poder elaborar el contrato de servicios.

f6ecb04c-7c76-4917-90e3-c189efe60d80 (image/jpg)

En el caso de la auditoría en informática, la planeación es fundamental, pues habrá que hacerla desde el punto de vista de varios objetivos: Evaluación administrativa del área de procesos electrónicos. Evaluación de los sistemas y procedimientos. Evaluación de los equipos de cómputo.   Evaluación del proceso de datos, de los sistemas y de los equipos de cómputo (Sw, Hw, redes, BDs, comunicaciones). Seguridad y confidencialidad de la información. Aspectos legales de los sistemas y de la información

Planificación estratégica.

La planificación estratégica, como primera etapa del proceso de planificación, reúne el conocimiento acumulado de la organización, la información adicional obtenida como consecuencia de un primer acercamiento a las actividades ocurridas en el periodo a auditar y resume este conocimiento en la definición de decisiones preliminares para cada componente.

7b4bd717-cdc4-4d89-a8cd-c74ff3a41a34 (image/jpg)

Para simplificar la planificación de auditoría, cada ente se divide en partes manejables denominadas “componentes”. El proceso de identificación de componentes debe reflejar una perspectiva “de arriba hacia abajo” y concentrarse en los asuntos significativos. Conocimiento acumulado La comprensión del negocio del ente es fundamental para realizar una planificación efectiva y una auditoria eficiente. El conocimiento adquirido en trabajo de auditoría recurrente para un ente, en particular tiene un valor agregado que debe aprovecharse en años sucesivos.

Planificación detallada

 La planificación detallada se trabaja cada componente en particular, en forma separada del resto de los componentes. Uno de los factores clave que hacen al enfoque empresarial de auditoría, además de los mencionados cuando se comentó la planificación estratégica, consiste en concentrar los esfuerzos de auditoría en las áreas de mayor riesgo.

924d676c-8d6b-483e-9542-8e606ae326ac (image/jpg)

Una vez completado el proceso de planificación estratégica se documentarán las decisiones preliminares para cada uno de los componentes. Luego se obtiene toda la información adicional por cada componente y se documenta o actualiza la comprensión de los aspectos relevantes de los sistemas de información de la organización y los controles generales relacionados.  

El paso siguiente será la selección de los procedimientos de auditoría, que comúnmente se traducen en la preparación de los programas de trabajo. Planificación detallada:1. Objetivos2. Alcances de auditoría 3. Determinación de recursos de la Auditoría 4. Selección de procedimientos de auditoria 5. Preparación de programas de trabajo.

REVISIÓN PRELIMINAR.

El primer paso en el desarrollo de la auditoría, después de la planeación, es la revisión preliminar del área de informática. El objetivo de la revisión preliminar el auditor puede proceder en uno de los tres caminos siguientes. Diseño de la auditoría. Puede haber problemas debido a la falta de competencia técnica para realizar la auditoría. Realizar una revisión detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles internos de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias.  

REVISIÓN DETALLADA.

Los objetivos de la fase detallada son los de obtener la información necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del área de informática. El auditor debe decidir si debe de continuar elaborando pruebas de consentimiento, con la esperanza de obtener mayor confianza por medio del sistema de control interno, o proceder directamente a la revisión con los usuarios (pruebas compensatorias), o a las pruebas sustantivas.

82861e70-8ea4-41c7-8424-a5e3f5d96116 (image/jpg)

Los auditores internos deberán obtener, analizar, interpretar y documentar la información para apoyar los resultados de la auditoría. El proceso de examen y evaluación de la información es el siguiente: 1.- Se debe obtener la información de todos los asuntos relacionados con los objetivos y alcances de la auditoría. 2.- La información deberá ser suficiente, competente, relevante y útil para que proporcione bases sólidas en relación con los hallazgos y recomendaciones de la auditoría.

EXAMEN Y EVALUACIÓN DE LA INFORMACIÓN

2e6b9110-b8a0-4a79-94b7-c938eb6ca614 (image/jpg)

PRUEBAS DE CONTROLES DE USUARIO. En algunos casos el auditor puede decidirse el no confiar en los controles internos dentro de las instalaciones informáticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles internos de informática. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, vistas y evaluaciones hechas directamente con los usuarios.

PRUEBAS SUSTANTIVAS. El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cuándo pueden ocurrir pérdidas materiales durante el procesamiento de la información. El auditor externo expresara este juicio en forma de opinión sobre cuándo puede existir un proceso equivocado o falta de control de la información.

1. Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. 2. Pruebas para asegurar la calidad de los datos. 3. Pruebas para identificar la inconsistencia de los datos. 4. Pruebas para comparar con los datos o contadores físicos. 5. Confirmación de datos con fuentes externas. 6. Pruebas para confirmar la adecuada comunicación.7. Pruebas para determinar falta de seguridad. 8. Pruebas para determinar problemas de legalidad.

Se pueden identificar ocho diferentes pruebas sustantivas:

 Una de las formas de evaluar la importancia que puede tener para la organización un determinado sistema, es considerar el riesgo que implica el que no sea utilizado adecuadamente, la pérdida de la información o bien el que sea usado por personal ajeno a la organización.

EVALUACIÓN DE LOS SISTEMAS DE ACUERDO AL RIESGO.

INVESTIGACIÓN PRELIMINAR

El objeto de este primer contacto es percibir rápidamente las estructuras fundamentales y diferencias principales entre el organismo a auditar y otras organizaciones que se hayan investigado. La investigación preliminar debe incorporar fases de evaluación del control gerencial y del control de las aplicaciones. Durante la revisión de los controles gerenciales el auditor debe entender a la organización y las políticas y prácticas gerenciales usadas en cada uno de los niveles, dentro de la jerarquía de la instalación en que se encuentran las computadoras.

Se debe recopilar información para obtener una visión general del departamento por medio de observaciones, entrevistas preliminares y solicitudes de documentos; la finalidad es definir el objetivo y alcance del estudio, así como el programa detallado de la investigación.

PERSONAL PARTICIPANTE

Una de las partes más importantes en la planeación de la auditoría en informática es el personal que deberá participar. En este punto no veremos el número de personas que deberán participar, ya que esto depende de las dimensiones de la organización, de los sistemas y de los equipos; lo que se deberá considerar son las características del personal que habrá de participar en la auditoría. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga esté debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimización de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo. Con estas bases debemos considerar los conocimientos, la práctica profesional y la capacitación que debe tener el personal que intervendrá en la auditoría.

 La creciente importancia asignada a los sistemas de información como ayuda inestimable e imprescindible en el desarrollo de los procesos de negocio, aportando información, que apoye la correcta toma de decisiones, se le atribuye esa misma importancia a la auditoría de los sistemas de información. La planificación de la auditoria de sistemas de información, si bien es una etapa de la auditoria, es un proceso en sí mismo, son una serie de actos u operaciones que conducen a un fin específico. Ese fin será determinar cuáles serán los procedimientos de auditoría a emplear que permitan obtener la satisfacción necesaria para emitir una opinión mediante un informe que apoye a las organizaciones 

CONCLUSIÓN

Una planificación adecuada es el primer paso necesario para realizar auditorías de sistema eficaces, el auditor de sistemas debe comprender el ambiente del negocio en el que se ha de realizar la auditoría así como los riesgos del negocio y control asociado. La auditaría de sistemas es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de los sistemas que operan en la organización. Es una herramienta poco conocida y muy valiosa a la hora de tomar decisiones en lo que a TIC/SI se refiere. Una auditoría (externa o interna) nos brinda la información necesaria para tomar decisiones sobre una base sólida y con garantías de éxito.

AUDITORÍA INFORMÁTICA

Concepto de Auditoría La auditoría es un examen objetivo, sistemático y profesional de las operaciones ejecutadas con la finalidad de evaluarlas, verificarlas y emitir un informe que contenga comentarios, conclusiones y recomendaciones. La auditoria es el examen critico y sistemático que realiza una persona o grupo de personas independientes del sistema auditado.Informática Es el campo que se encarga del estudio y aplicación práctica de las tecnologías, métodos, técnicas y herramientas relacionadas con las computadoras y al manejo de la información por medios electrónicos. Objetivos de la Informática • Reducir tiempo y esfuerzo • Capturar datos en su propia fuente • Centralizar el control • Aumentar la velocidad de entrega de la información • Reducir costos de operación y captura de datos

Es el proceso metodológico ejecutado por especialistas del área de auditoría y de informática.Tipos de auditoria: Auditoría Interna, es el sistema conformado por un conjunto de procedimientos que interrelacionadas entre si, tienen como objetivo proteger los activos de la organización.Auditoría Externa, es la encargada de examinar y evalúa cualquiera de los sistemas de información de una organización y emite una opinión independiente.

Auditoria informática

da5e405f-20fc-466c-a2b4-014df46ccce3 (image/jpg)

• Alto grado de calificación técnica. • Integrado a las corrientes empresariales. • Conocimientos de las técnicas de auditoría • Competencia en materia informática.Normas y estándares • Normas ISO • British Standard • Estándares NIST • Estándares COBIT

Perfil de un Auditor Informático

• Trabajar en equipo • Resolver problemas y comunicar de forma adecuada sus ideas Competencias de apoyo al crecimiento:• Buen análisis y síntesis• Inteligencia emocional • Integridad • Motivación • Dominio del ingles u otros idiomas (Según lo exija la organización)

Competencias del auditor informático

• Analizar la administración de riesgos de la información y la seguridad implícita. • Analizar la administración de sistemas de información desde un enfoque de riesgos de seguridad. • Administración y efectividad • Análisis de la integridad, fiabilidad y certeza de la información a través de las aplicaciones

Funciones del auditor informático

Actividades del auditor informático • Planificar lo que se realizará durante la auditoría • Consensuar un cronograma con el auditado o el cliente • Solicitar y analizar documentación • Emitir opciones de mejoramiento • Análisis de datos a través de herramientas • Entregar conclusiones del: trabajo de campo, entrevistas, revisiones en las instalaciones de la organización

Control Interno de la Auditoría Informática Es cualquier actividad o acción realizada manual o automáticamente para prevenir o corregir errores que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Control Interno de la Auditoría Informática Es cualquier actividad o acción realizada manual o automáticamente para prevenir o corregir errores que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

• Controles preventivos, para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema. • Controles detectivos: cuando fallan los preventivos, ara tratar de conocer cuanto antes el evento, por ejemplo: el registro de intentos de acceso no autorizado; el registro de actividades diarias para detectar errores u omisiones, etc.

Principios aplicados al auditor informático • Beneficio del auditado • Calidad • Confianza • Capacidad • Comportamiento profesional

Planeación de la auditoría informática: Revisión preliminar El objetivo es obtener la información necesaria para que el auditor pueda tomar la decisión de como proceder en la dicha auditoría. Se puede observar el estado general del área, su situación dentro de la organización, si existe la información solicitada si es o no necesaria y la fecha de su última actualización

• Control, es aquel que existe y que se propicia por falta de control de las actividades de la empresa y pueden generar deficiencias en el sistema de control interno. • Infección, es el que se asume por parte de los auditores que en su revisión no detecten deficiencias en el sistema de control interno. • Inherente, son aquellos que se presentan inherentes a la característica del sistema de control internoEtapas fundamentales de la metodología • Planeación de la auditoria de sistemas computacionales • Ejecución de la auditoria de sistemas computacionales • Dictamen de la auditoria de sistemas computacionales

Tipos de riesgos