Secuencia
de pasos lógicos y ordenada de proceder para llegar a un resultado, generalmente
existen diversas formas de obtener un resultado determinado y de esto se deriva
las existencias de varias metodologías para llevar a cabo una auditoria
informática.
3.1. Investigación preliminar
Ø recolección de evidencias por medio de entrevistas con el personal de la
instalación, la observación de las actividades en la instalación y la revisión
de la documentación preliminar.
Ø Debemos considerar que ésta será sólo una información
inicial que nos permitirá elaborar el plan de trabajo, la cual se profundizará
en el desarrollo de la auditoría.
3.2. Planeación de la auditoría en
informática
Para realizar una auditoria hay que
dimensionar el tamaño y característica del área auditar, sus sistemas, con ello
podremos definir el número y características del personal de auditoria
El trabajo de
auditoría deberá incluir la planeación de la auditoría, el examen y la
evaluación de la información, la comunicación de los resultados y el
seguimiento.
La planeación de
la auditoría deberá ser documentada e incluirá:
Ø El establecimiento de los objetivos y el alcance del
trabajo.
Ø La obtención de información de apoyo sobre las
actividades que se auditarán.
Ø La determinación de los recursos necesarios para realizar
la auditoría.
Ø El establecimiento de la comunicación necesaria con todos
los que estarán involucrados en la auditoría.
3.3.
Obtención de información
En esta
fase se obtendrán toda la información pertinente sobre el caso estudiado
pudiendo recurrir a herramientas como, entrevistas, encuestas, observaciones
dependiendo del tipo de información que se necesite para la auditoria.
3.4. Análisis, evaluación y presentación de la auditoría
El
análisis suministra una base de comprensión, para llegar a conocer la situación
con mayor claridad.
Una vez
obtenida la información, se analiza, para conocer la eficiencia con que la
empresa ha logrado o está logrando sus objetivos y las causas ·que reducen su
eficiencia.
El informe de auditoría
Después de
haber analizado la información tenemos que elaborar un informe, el cual es un
instrumento para la toma de decisiones.
El informe
indica la situación administrativa de la empresa y da las recomendaciones y las
formas de mejorarlas.
Implantación
de las recomendaciones La implantación de las recomendaciones hechas por el
auditor debe ponerse en vigor para solucionar el problema que originó la
auditoría administrativa. Aquí se aplicarán las medidas de mejoramiento
administrativo.
3.5. Dictamen de la auditoría
La
principal función de un auditor y la mayor responsabilidad que sobre el recae
en la actividad independiente es la expresión de una opinión profesional sobre
los controles examinados.
Este
informe se conoce como informe de auditoría o dictamen, siendo un documento
formal por el cual el auditor otorga confiabilidad al producto de sistema de
información auditado validando ante terceros dicha información.
3.6.
Organización del área de auditoría en informática
Ø SISTEMAS DE INFORMACIÓN DE UNA
ORGANIZACIÓN
Los sistemas de información y la arquitectura que
los soporta son muy importantes debido a que son soportes básicos para la
gestión y control del negocio, siendo así uno de los requerimientos básicos de
cualquier organización ya sea dentro del contexto estratégico como el
operativo.
Ø DEPARTAMENTO DE SISIEMAS DE INFORMACIÓN
Se encarga de llevar una organización para cumplir
el objetivo de dichos sistemas, los recursos que los manejan y las inversiones
que se ponen a disposición de dichos recursos para que el funcionamiento y los
resultados sean los esperados.
Ø AUDITORIA INFORMATICA
Es una función de control de la gestión de los
sistemas y del departamento de sistemas de información.
Ø FUNCIÓN DE AUDITORIA
INFORMATICA
La auditoria, la revisión, el diagnóstico y el
control de los sistemas de información y de los sistemas informativos que
soportan estos debe ser realizado por personas con experiencia en ambas
disciplinas: en informática y auditoria.
Ø AUDITOR INFORMÁTICO GENERAL
Es un profesional dedicado al análisis de sistemas
de información e informáticos que esta especializado en algunas de las
múltiples ramas de la auditoria informática, que tiene conocimientos generales
y que además posea las características necesarias para actuar como consultor
con su auditado, dándole ideas de cómo enfocar la construcción de los elementos
de control y de gestión y actuar como consejero en la organización en la que está
desarrollando su labor.
Ø PERFILES PROFESIONALES DE LA
FUNCION DE AUDITORIA INFORMATICA
Las personas que integren esta función deben
contemplar en su formación básica una mezcla de conocimientos de auditoria
financiera y de auditoria informática general.
Conocimientos básicos:
Desarrollo
informático; gestión de proyectos y del ciclo de vida de un proyecto de
desarrollo.
Gestión del Dpto.
de Sistemas.
Análisis de riesgos
en un entorno informático.
Sistema operativo (este
aspecto dependerá de varios factores, pero principalmente de si va a trabajar
en un entorno único-auditor interno- o, por el contrario va a tener
posibilidades de trabajar en varios entornos como auditor externo).
Telecomunicaciones
Gestión de bases de
datos
Redes locales
Seguridad física
Operación y
planificación informática
Gestión de la
seguridad de los sistemas y de la continuidad empresarial
Gestión de
problemas y de cambios en entornos informáticos
Administración de
datos
Ofimática
Comercio
electrónico
Encriptación de
datos.
Ø FUNCIONES A DESARROLLAR POR LA
FUNCION DE AUDITORIA INFORMATICA
Hoy en día existen múltiples controversias sobre
las funciones que se desarrollan en cuanto al trabajo de auditoria informático
como son:
Cuál es el objetivo?, y Que se debe revisar,
analizar, o diagnosticar?
La función de auditoria informática debe realizar
un amplio abanico de actividades objetivas, y estas son:
Ø Verificación del
control interno
Ø Análisis de la
gestión de los sistemas de información
Ø Análisis de la
integridad, fiabilidad y certeza de la información
Ø Auditoria de
riesgos operativos de los circuitos de información
Ø Análisis de la
gestión de los riesgos de la información
Ø Verificación del
nivel de continuidad
Ø Análisis del estado
del arte tecnológico de la instalación revisada
Ø Diagnóstico sobre
el grado de cobertura
Ø El auditor
informático es responsable para establecer los objetivos de control que
reduzcan o eliminen la exposición al riesgo de control interno.
Cuando los objetivos de la auditoria se hayan
establecido, el auditor debe revisar los controles y evaluar los resultados de
su revisión para determinar las áreas que requieren correcciones o mejoras.
El concepto de control interno tiene la obligación
de convertirse un poco en consultor y en ayuda del auditado aportando ideas.
La organización interna debe estar dirigida por un jefe del
departamento; este desarrolla un plan operativo, las descripciones de los
puestos de trabajo del personal a su cargo.
No hay comentarios.:
Publicar un comentario