Monografias.com > Computación > General
Descargar Imprimir Comentar Ver trabajos relacionados

Auditoría de Sistemas




Enviado por wilmer Zurita



     

    Indice
    1.
    Auditoría

    2. La función de la
    auditoría en la organización

    3. Tipos y clases de
    auditoría

    4. Sistemas De
    Información

    5. Tendencias que afectan a os sistemas de
    información

    6. Base Conceptual
    7. Proceso De
    Implementación

    1.
    Auditoría

    Papel Del Auditor Informático.-
    Si se entiende que la auditoria informática comprende las tareas de
    evaluar, analizar los procesos
    informáticos, el papel de
    auditor debe estar encaminado hacia la búsqueda de
    problemas
    existentes dentro de los sistemas
    utilizados, y a la vez proponer soluciones
    para estos problemas.
    Además que auditor Informático debe estar
    capacitado en los siguientes aspectos:

    1. Deberá ver cuando se puede conseguir la
      máxima eficacia y
      rentabilidad
      de los medios
      informáticos de la empresa
      auditada, estando obligado a presentar recomendaciones acerca
      del reforzamiento del sistema y del
      estudio de las soluciones mas idóneas, según los
      problemas detectados en el sistema informático, siempre
      y cuando las soluciones que se adopten no violen la ley ni los
      principios
      éticos. (Ej. Por que está mal el
      reporte)
    2. Una vez estudiado el sistema informático a
      auditar, el auditor deberá establecer los requisitos
      mínimos, aconsejables y óptimos para su
      adecuación con la finalidad de que cumpla para lo que
      fue diseñado, determinando en cada clase su
      adaptabilidad, su fiabilidad, limitaciones, posibles mejoras,
      costos.
    3. El auditor deberá lógicamente
      abstenerse de recomendar actuaciones innecesariamente onerosas,
      dañina, o que genere riesgo in
      justificativo para el auditado e igualmente de proponer
      modificaciones carentes de bases científicas
      insuficientemente probadas o de imprevisible
      futuro.
    4. El auditor al igual que otros profesionales (Ej.
      Médicos, abogados, educadores, etc.) pueden incidir en
      la toma de
      decisiones en la mayoría de sus clientes con un
      elevado grado de autonomía, dado la dificultad
      práctica de los mismos, de constatar su capacidad
      profesional y en desequilibrio de desconocimientos
      técnicos existente entre al auditor y los auditados
      (Puede pesar gravemente).
    5. El auditor deberá prestar sus servicios de
      acuerdo a las posibilidades de la ciencia y
      a los medios a su alcance con absoluta libertad,
      respecto a la utilización de dichos medios y en unas
      condiciones técnicas
      adecuadas para el idóneo cumplimiento de su labor. En
      los casos en que precariedad de los medios puestos a su
      disposición, impidan o dificulten seriamente la
      realización de la auditoria deberá negarse
      realizar hasta que se le garantice un mínimo de
      condiciones técnicas que no comprometan la calidad de sus
      servicios o dictámenes.
    6. Cuando durante la ejecución de la auditoria,
      el auditor considere conveniente recabar informe de
      otros mas calificados, sobre un aspecto o incidencia que
      superase su capacidad profesional para analizarlo en
      idóneas condiciones deberá remitir el mismo a un
      especialista en la materia o
      recabar su dictamen para reforzar la calidad y viabilidad
      global de la auditoria.
    7. El auditor debe actuar con cierto grado de humildad
      evitando dar la impresión de estar al corriente de una
      información privilegiada sobre nuevas
      tecnologías a fin de actuar en de previsiones rectas
      y un porcentaje de riesgo debidamente fundamentado. (Si
      conocemos alguna tecnología de primer orden debemos tener
      un cierto grado de humildad, que no se salga de la realidad
      [decir que ya sabemos esto…].
    8. El auditor tanto en sus relaciones con el auditado
      como con terceras personas deberá en todo momento,
      deberá actuar conforme a las normas
      implícitas o explícitas de dignidad de la
      profesión y de corrección en el trato personal. (Que
      en todo momento, como cuando estamos en el bar,
      cafetería, o fiesta por que los auditores tienen la
      responsabilidad)
    9. El auditor deberá facilitar e incrementar la
      confianza de auditado en base a una actuación de
      transparencia, en su actividad profesional sin alardes
      científico- técnico, que, por su
      incomprensión, pueden restar credibilidad a los
      resultados obtenidos y a las directrices
      aconsejadas.

    2. La función de
    la auditoría en la
    organización

    Concepto De Auditar
    Conjunto de procedimientos y
    técnicas para evaluar y controlar total o parcialmente un
    sistema informático con el fin de proteger sus activos y
    recursos,
    verificar si sus actividades se desarrollan eficientemente de
    acuerdo con las normas informáticas y gener5ales
    existentes en cada empresa y para
    conseguir la eficacia exigida en el marco de la
    organización correspondiente.
    Al igual que los demás órganos de la empresa los
    sistemas informáticos están sometidos a un control. La
    importancia de llevar un control, se puede deducir de varios
    aspectos, así tenemos:
    Las computadoras y
    los centros de procesos de datos se pueden
    convertir en blancos apetecibles no solo para el espionaje no
    para la delincuencia y
    el terrorismo.
    Las computadoras creadas para procesar y difundir resultados
    pueden en cierto momento generar resultados o información
    errónea (Virus, tc). (La
    máquina suele arrojar resultados erróneos cuando es
    alimentada con datos erróneos).
    Un sistema informático mal diseñado puede
    convertirse en una herramienta peligrosa para la persona, puesto
    que las máquinas
    obedecen las órdenes recibidas y la modelización de
    la empresa está determinada por las computadoras que
    materializan los sistemas de
    información, por lo tanto la gestión
    y la organización de la empresa no pueden
    depender de un SOFTWARE o un HARDWARE mal
    diseñado.

    Auditoría Interna Y Auditoría Externa
    La auditoria es realizada en recursos materiales y
    personas que perteneces a la empresa auditada.
    Auditoría
    Interna
    Existe por expresa decisión de la empresa, es decir que
    también se puede optar por su disolución en
    cualquier momento.
    Auditoría Externa
    Es realizada por personas afines a la empresa se presupone una
    mayor objetividad que en la auditoria interna debido Al mayor
    distanciamiento entre auditor y auditado.
    La auditoria informática tanto interna como externa debe
    ser una actividad exenta de cualquier contenido o matiz
    político ajena a la propia estrategia y
    política
    general de la empresa.

    Areas De La Planificación De La Auditoría
    Las empresas acuden a
    las auditorias
    cuando existen algunos síntomas bien perceptibles de
    debilidad. Estos síntomas pueden agruparse en algunas
    clases:
    Síntomas De Descoordinación Y
    Desorganización
    ¨ ¨
    No coinciden los objetivos de
    la informática de la
    compañía
    ¨ ¨
    Los estándares de productividad se
    desvían sencillamente de los promedios habituales.
    Síntomas De Mala Imagen O
    Insatisfacción De Los Usuarios
    ¨ ¨ No se atienden a las peticiones de
    cambio de los
    usuarios
    ¨
    ¨ No se reparan las
    averías de HARDWARE ni se resuelven problemas en plazos
    razonables
    ¨
    ¨ No se cumplen los
    plazos de entregas de resultados
    Síntomas De Debilidades Económico –
    Financiero
    ¨
    ¨ Incremento
    desmesurado de costos
    ¨ ¨
    Necesidad de justificación de inversiones
    informáticas
    ¨ ¨
    Desviaciones presupuestarias
    significativas
    ¨ ¨
    Costos y plazos nuevos para proyectos
    Síntomas De Inseguridad
    (Evaluación
    Del Nivel De Riesgo)
    ¨ ¨
    Seguridad
    lógica
    ¨
    ¨ Seguridad
    física
    ¨
    ¨
    Confidencialidad.- Los datos son de propiedad de
    la organización que nos genera, los datos de personal son
    especialmente confidenciales.
    ¨ ¨
    Continuidad del servicio.
    (Establecer las estrategias de
    continuidad para fallos mediante planes de
    configuración).

    Ubicación Y Organización De La
    Auditoría
    La ubicación de los procesos auditores dentro de un
    área de sistemas depende del tipo de auditoria que se
    desee implementar, Así tenemos que en muchas ocasiones la
    auditoria depende exclusivamente de la parte directriz o
    gerencial y en otras ocasiones de acuerdo a las necesidades de la
    empresa. La auditoria informática nace de los niveles
    medios bajos de la empresa . (A nivel de organización la
    ubicación es medio bajo, medios bajos son los Usuarios,
    con una serie de quejas obligan a hacer auditoria)

    3. Tipos y clases de
    auditoría

    Auditoria Informática De Explotación
    La explotación informática se ocupa de producir
    resultados, tales como listados, archivos
    soportados magnéticamente, ordenes automatizadas,
    modificación de procesos, etc. Para realizar la
    explotación informática se dispone de datos, las
    cuales sufren una transformación y se someten a controles
    de integridad y calidad.
    (Integridad nos sirve a nosotros; la calidad es que sirven los
    datos, pero pueden que no sirvan; estos dos juntos realizan una
    información buena)

    Auditoria Informática De Desarrollo De
    Proyectos O
    Aplicaciones
    La función de desarrollo es una
    evaluación del llamado Análisis de programación y sistemas. Así por
    ejemplo una aplicación podría tener las siguientes
    fases
    ¨
    Prerrequisitos del usuario y del
    entorno
    ¨
    Análisis funcional
    ¨ Diseño
    ¨ Análisis
    orgánico (preprogramación y
    programación)
    ¨ Pruebas
    ¨ Explotación

    Todas estas fases deben estar sometidas a un exigente control
    interno, de lo contrario, pueden producirse
    insatisfacción del cliente,
    insatisfacción del usuario, altos costos, etc. Por lo
    tanto la auditoria deberá comprobar la seguridad de los
    programas, en
    el sentido de garantizar que el servicio ejecutado por la
    máquina, los resultados sean exactamente los previstos y
    no otros (El nivel organizativo es medio por los usuarios, se da
    cuenta el administrador
    Ejm. La contabilidad
    debe estar cuadrada)

    Auditoria Informática De Sistemas
    Se ocupa de analizar la actividad que se conoce como
    técnica de sistemas, en todos sus factores. La importancia
    creciente de las telecomunicaciones o propicia de que las comunicaciones, líneas y redes de las instalaciones
    informáticas se auditen por separado, aunque formen parte
    del entorno general del sistema (Ejm. De auditar el cableado
    estructurado, ancho de banda de una red
    LAN)

    Auditoria Informática De Comunicación Y Redes
    Este tipo de auditoria deberá inquirir o actuar sobre los
    índices de utilización de las líneas
    contratadas con información sobre tiempos de uso y de no
    uso, deberá conocer la topología de la red de comunicaciones, ya
    sea la actual o la desactualizada. Deberá conocer cuantas
    líneas existen, como son, donde están instaladas, y
    sobre ellas hacer una suposición de inoperatividad
    informática. Todas estas actividades deben estar
    coordinadas y dependientes de una sola organización
    (Debemos conocer los tipos de mapas actuales y
    anteriores, como son las líneas, el ancho de banda,
    suponer que todas las líneas están mal, la
    suposición mala confirmarlo).

    Auditoria De La Seguridad
    Informática
    Se debe tener presente la cantidad
    de información almacenada en el computador, la
    cual en muchos casos puede ser confidencial, ya sea para los
    individuos, las empresas o las instituciones,
    lo que significa que se debe cuidar del mal uso de esta
    información, de los robos, los fraudes, sabotajes y sobre
    todo de la destrucción parcial o total. En la actualidad
    se debe también cuidar la información de los
    virus
    informáticos, los cuales permanecen ocultos y
    dañan sistemáticamente los datos.

    4. Sistemas De
    Información

    Los Sistemas De Información Y Su Alcance
    Se entiende por un sistema de
    información al conjunto de normas, procedimientos y
    demás parámetros que forman la información
    general de una empresa o
    institución.
    En un sistema de información se pueden visualizar algunos
    componentes tales como:

    • El nombre del sistema,
    • Nombre de macros del
      sistema
    • Software base
    • Lenguajes de programación
    • Paquetes,
    • Unidades o departamentos que utilizan la
      información,
    • Volúmenes de archivos que se utilizan
      diariamente (Semanal, mensual, etc.)
    • Requerimientos mínimos de los equipos (En
      muchos de los casos sí es un software)
    • Fechas críticas
    • Ingreso de información
    • Flujo de información
    • Egresos de información

    5. Tendencias que afectan a
    os sistemas de información

    Al considerar un Sistema de Información como un
    conjunto de normas y procesos generales de una determinada, se
    deben considerar algunos puntos negativos y positivos que afectan
    directamente al sistema así por ejemplo:

    1. Actualizaciones: Se refiere a que los sistemas de
      información de cualquier empresa, debe ser revisado
      periódicamente; no con una frecuencia continua, si no
      mas bien espaciada, se recomienda las revisiones bi –
      anuales (No se recomienda que se actualice en una empresa
      paulatinamente, por ejemplo el software, cuadros
      estadísticos, es recomendable dentro de un año
      cambiarlo, todo lo que es máquinas y software; por que
      si no realizaríamos esto, se cambiaría toda la
      estructura
      organizacional de la misma).
    2. Reestructuración Organizacional (Puede ser una
      reestructuración con los mismos puestos)
      Una reestructuración organizacional con cualquier
      empresa, implica cambios siempre en vista a buscar un mejor
      funcionamiento, evitar la burocracia,
      agilitar trámites o procesos, la reestructuración
      puede ser de varios tipos, así por ejemplo. Aumentar o
      disminuir departamentos, puestos, reestructuración de
      objetivos, etc. Siempre la reestructuración afecta a los
      sistemas de información de la empresa.
    3. Revisión y Valorización del
      escalafón (No es para bien si no también para
      mal)
      La revisión y la revalorización del
      escalafón se espera que afecte a favor de los sistemas
      de información de las empresas, si el efecto es
      contrario el auditor informático deberá emitir un
      informe del empleado a los empleados (Específicamente de
      departamentos), que están boicoteando la
      información de la empresa.
    4. Cambios en el flujo de Información (Datos para
      el sistema de Información)
      Se refiere al cambio de flujo de datos exclusivamente en el
      área informática, esto afecta directamente en
      sistema informático y por tanto al sistema de
      información. En lo que respecta a la Auditoría
      informática, el efecto puede ser positivo y
      negativo, dependiendo a los resultados obtenidos en cuanto al
      proceso de
      datos (menos seguridad, mas seguridad, backup). Así por
      ejemplo:
      Se ha cambiado el flujo de información en el área
      contable, para generar los roles mensuales (De inicio del rol
      era realizado por la secretaria, la cual ingresaba las
      existencias, fallas, atrasos, etc.; determinando un monto a
      descontar. Un monto bruto y un salario
      final, esto pasaba a la contadora para que justifique
      especialmente multas, se rectificaba en algunos casos, y se
      mandaba a imprimir el rol. Se considera un nuevo flujo de
      información, en el cual se ingresan los datos a un
      sistema informático, y de acuerdo a los
      parámetros y normas de la empresa el sistema arroja un
      sueldo líquido a cobrarse, genera automáticamente
      el reporte, los cheques y el
      contador solo aprueba este reporte).

    (Un ejemplo es cuando existe migración
    de datos, la información migra o se cambia a otro sistema
    más sofisticado )

    6. Base
    Conceptual

    En base al sistema de información el auditor
    informático realizará su estudio y análisis
    siguiendo cualquier metodología de trabajo, pero sin desviarse
    de la base conceptual del sistema de información de la
    empresa auditada.
    Si por cualquier circunstancia el auditor informático
    percibe y por lo menos tiene la idea de que tomó
    parámetros de que no están presentes en el sistema
    de información necesariamente deberá volver a
    empezar (Por ejemplo en el área de redes abarca muchas
    otras facetas que un auditor no podría conocerlas por lo
    que se necesita ayuda externa para realizar una buena
    Auditoría)
    Conceptualmente los Sistemas de Información, tienen sus
    base en algunos aspectos de importancia dentro de cualquier
    empresa: Así por ejemplo:

    1. Aspectos económicos
      Se deben considerar los recursos de la empresa, las crisis, el
      control, etc.
    2. Aspectos tecnológicos
      Se refiere al equipo físico dentro de la empresa, se
      debe considerar el incremento, los cambios, ya sea de software
      o hardware
    3. Aspectos sociales
      Se refiere a mejoras orientadas hacia los empleados de la
      empresa, así por ejemplo, cursos,
      capacitación, etc.
    4. Aspecto político legal
      Se refiere a
      las normas y leyes vigentes
      para las empresas, tanto internas como externas, se debe
      cuidar, el aspecto legal, especialmente en el
      Software
    5. Aspecto Administrativo
      Se refiere a la
      relación a nivel de gerencias, mayor confianza en la
      tona de posiciones, decisiones o fortunas, siempre a favor de
      las empresas

    Simbología En Los Sistemas De
    Información
    Todo sistema de información puede ser representado
    mediante diagramas,
    mediante los cuales depende de la complejidad de cada empresa, un
    ejemplo sencillo puede ser:

    7. Proceso De
    Implementación

    Para implementar un sistema de información se
    puede seguir varios pasos, o metodologías o inclusive se
    lo puede hacer empíricamente. E n la implementación
    se considera siempre la implementación del software (es
    decir dentro de la implementación del sistema de
    información siempre deberá implementar el software
    a utilizarse esta empresa).

    Así por ejemplo se podrían seguir los
    siguientes pasos:
    a.- Recopilación y análisis de datos
    b.- Selección
    de datos idóneos a ingresarse o utilizarse
    c.- Ingreso y manipulación de datos
    d.- Procesamiento
    e.- Análisis de resultados

    Seguridad De Los Sistema Informáticos
    Para realizar o evaluar la seguridad en los sistemas, es
    importante conocer como: desarrollar, ejecutar e implantar un
    sistema de seguridad.
    Desarrollar un sistema de seguridad significa planear, organizar,
    coordinar, dirigir y controlar actividades relacionadas para
    garantizar la integridad física de los
    recursos implicados en el departamento informático,
    así como el resguardo de los activos de la empresa.
    Un sistema integral de seguridad debe contemplar los siguientes
    aspectos:

    • Definir elementos administrativos
    • Definir políticos de seguridad
    • Definir elementos a nivel departamental
    • Definir elementos a nivel institucional
    • Organizar y dividir las responsabilidades
    • Prever desastres
      naturales y causas de descuido del personal de mantenimiento equipo cableado, etc.

    Además se debe considerar algunos aspectos extras
    así por ejemplo:
    Motivación.-En la cual es conveniente
    desarrollar métodos de
    participación reflexionando lo que significa la seguridad
    y el riesgo, el impacto a nivel empresarial, las
    responsabilidades individuales, etc.
    Capacitación general.- Se debe empezar con los ejecutivos
    de la empresa a fin que conozca la relación entre riesgo,
    seguridad y la información y su impacto en la empresa.
    El objetivo debe
    ser detectar las debilidades y potencialidades de la
    organización frente al riesgo, en este proceso debe
    incluir la implantación y la ejecución de planes de
    contingencia y la simulación
    de posibles delitos.
    Capacitación de técnicos.- Es importante formar
    técnicos encargados de mantener la seguridad como parte
    fundamental de su trabajo y que este capacitado para capacitar a
    otras personas, en lo que es la ejecución de medidas
    preventivas y correctivas.
    Beneficios de un sistema de seguridad.- Los beneficios de
    seguridad son inmediatos ya que la organización
    trabajará sobre una plataforma confiable que se puede
    reflejar los siguientes aspectos:

    • Aumento de la
      motivación de personal
    • Compromiso de la misión y
      visión
    • Aumento de la productividad
    • Mejora de las relaciones
      laborales
    • Mejora en los equipos de la
      institución

    Estrategias de protección
    Toda empresa dentro de su plan anual de
    actividades debe contemplar un plan
    estratégico de protección o plan de
    contingencia sobre su sistema informatico, entendiendose a dicho
    plan como un conjunto de pasos que se realizan con el
    propósito de salvaguardar los recursos de la empresa,
    tanto físico como a nivel lógico.
    Se puede mencionar algunos puntos importantes que debe contemplar
    el plan de contingencia, así por ejemplo:

    • Actividades antes de un desastre
    • Actividades durante el desastre
    • Actividades después del desastre

    Actividades antes de un desastre

    • Planificación de un plan de contingencia (debe
      contener aspectos relacionados a la prevención de un
      desastre de cualquier tipo, así por ejemplo sacar
      respaldos, lugares de evacuación, buscar sitios seguros,
      prevención contra cortes eléctricos, asignar
      responsabilidades.
    • Simulacros de desastre, se refiere a simular en cada
      computadora
      un buen anti virus (actualizable que cubra la mayor cantidad de
      virus conocidos, que detecte limpie y vacune, que posea un
      manual de
      procedimiento,
      versatilidad residente en memoria).
    • Preparar personal calificado de las distintas
      áreas de seguridad
      • Area informatica se refiere a designar 1 o 2
        personas para realizar respaldos diarios de la
        información una o dos personas diferentes para
        enviar los resultados a sitios seguros.

    Area social se refiere a preparar personal que este
    capacitado para socorrer a loa compañeros en caso de
    desastre ( debe tener especial cuidado en las personas de la
    tercera edad).
    Este personal también deberá capacitarse en el uso
    de dispositivos o elementos físicos para casos de
    emergencia (así por ejemplo uso de alarmas contra fuego,
    uso de bombas de
    agua , uso de
    switch de
    seguridad).

    Actividades después del desastre

    • Seguir el plan de contingencia
    • Sujetarse a las disposiciones dadas por elpersonal
      calificado para desastres
    • Tratar de rescatar la mayor cantidad de
      información posible en el acto

    Actividades después del desastre

    • Verificar la calidad e integridad de la
      información existente (hacer las pruebas
      sobre los programas que antes del desastre funcionaban
      correctamente).
    • Verificar la calidad e integridad de la
      información de respaldo
    • Verificar la parte física o
      hadware
    • En lo posible volver al estado
      original de la información antes del
      desastre

    Tipos y clases de auditorias
    Para cada uno delos tipos de auditoria se pueden especificar
    áreas especificas en las culaes siempre se debe realizar
    una auditoria informatica, así tenemos: área
    interna, área de dirección, área de nivel de usuario
    y área de seguridad.
    Área interna – cuando se realiza cualquier tipo de
    auditoria en el área interna se debe tener presente que
    solamente se debe auditar al departamento o área en
    mención sin fijarse en sus correlaciones con otros
    departamentos.
    Area de dirección –Se refiere a realizar la
    auditoria en cualquier tipo a nivel gerencial o de
    dirección ya sea el departamento o de los departamentos
    con sus respectivos Inter.-relaciones.
    Area de usuario – Se refiere a realizar la auditoria a
    nivel de usuario con todas las Inter.-relaciones que el usuario
    tenga dentro del departamento o fuera con otros
    departamentos.
    Area de seguridad – Cualquiera sea el tipo de auditoria que
    esta realizando siempre debe fijarse en el área de
    seguridad la cual constituye pilar fundamental para aprobar o
    reprobar una auditoria.

     

     

     

     

     

     

    Autor:

    Wilmer Rolando Zurita Lara

    Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

    Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

    Categorias
    Newsletter