Auditoria informatica
- 1. REPÚBLICA BOLIVARIANA DE VENEZUELA INSTITUTO UNIVERSITARIO POLITÉCNICO “SANTIAGO MARIÑO” ESCUELA DE INGENIERIA DE SISTEMAS EXTENSIÓN MATURIN Profesora: Bachiller: Yakarina González Gamero Stefany CI: 24.118.238
- 2. La auditoría es el proceso que efectúa un auditor al examinar los estados financieros realizados por una sociedad económica, con el propósito de emitir un juicio y/o una opinión profesional sobre la realidad de dichos estados financieros y por la cual la describe en un documento formal llamado Dictamen. Se llama auditor/a o contralor/a, a la persona capacitada y experimentada que se designa por una autoridad competente o por una empresa de consultoría, para revisar, examinar y evaluar con coherencia los resultados de la gestión administrativa y financiera de una dependencia o entidad con el propósito de informar o dictaminar acerca de ellas, realizando las observaciones y recomendaciones pertinentes para mejorar su eficacia y eficiencia en su desempeño.
- 3. Se requieren varios pasos para realizar una auditoría, entre ellos tenemos los siguientes: 1. DEFINICIÓN DE ALCANCE Y OBJETIVOS El alcance de la auditoría expresa los límites de la misma. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar. A los efectos de acotar el trabajo, resulta muy beneficioso para ambas partes expresar las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del informe final. Las personas que realizan la auditoría han de conocer con la mayor exactitud posible los objetivos a los que su tarea debe llegar. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. 2. ESTUDIO INICIAL Para realizar dicho estudio ha de examinarse las funciones y actividades generales de la informática. El auditor debe conocer la organización, tener el conocimiento de quién ordena, quién diseña y quién ejecuta.
- 4. Para realizar esto el auditor deberá fijarse en: Organigrama: expresa la estructura oficial de la organización a auditar. Si se descubriera que existe un organigrama fáctico diferente al oficial, se pondrá de manifiesto tal circunstancia. Departamentos: órganos que siguen inmediatamente a la Dirección. El equipo auditor describirá brevemente las funciones de cada uno de ellos. Relaciones jerárquicas y funcionales entre órganos de la organización: El equipo auditor verificará si se cumplen las relaciones funcionales y jerárquicas previstas por el organigrama, o por el contrario detectará, por ejemplo, si algún empleado tiene dos jefes. Flujos de Información: Además de las corrientes verticales intradepartamentales, la estructura organizativa cualquiera que sea, produce corrientes de información horizontales y oblicuas extradepartamentales. Los flujos de información entre los grupos de una organización son necesarios para su eficiente gestión, siempre y cuando tales corrientes no distorsionen el propio organigrama. Número de Puestos de trabajo: El equipo auditor comprobará que los nombres de los Puesto de los Puestos de Trabajo de la organización corresponden a las funciones reales distintas. Es frecuente que bajo nombres diferentes se realicen funciones idénticas, lo cual indica la existencia de funciones operativas redundantes. Esta situación pone de manifiesto deficiencias estructurales; los auditores darán a conocer tal circunstancia y expresarán el número de puestos de trabajo verdaderamente diferentes. Número de personas por Puesto de Trabajo: Es un parámetro que los auditores informáticos deben considerar. La inadecuación del personal determina que el número de personas que realizan las mismas funciones rara vez coincida con la estructura oficial de la organización.
- 5. 3. ENTORNO OPERACIONAL El equipo de auditoría informática debe poseer una adecuada referencia del entorno en el que va a desenvolverse. Este conocimiento previo se logra determinando, fundamentalmente, los siguientes extremos: Situación geográfica de los Sistemas: Se determinará la ubicación geográfica de los distintos Centros de Proceso de Datos en la empresa. A continuación, se verificará la existencia de responsables en cada unos de ellos, así como el uso de los mismos estándares de trabajo. Arquitectura y configuración de Hardware y Software: Cuando existen varios equipos, es fundamental la configuración elegida para cada uno de ellos, ya que los mismos deben constituir un sistema compatible e intercomunicado. La configuración de los sistemas esta muy ligada a las políticas de seguridad lógica de las compañías. Los auditores, en su estudio inicial, deben tener en su poder la distribución e interconexión de los equipos. Inventario de Hardware y Software: El auditor recabará información escrita, en donde figuren todos los elementos físicos y lógicos de la instalación. En cuanto a Hardware figurarán las CPUs, unidades de control local y remotas, periféricos de todo tipo, etc. El inventario de software debe contener todos los productos lógicos del Sistema, desde el software básico hasta los programas de utilidad adquiridos o desarrollados internamente. Suele ser habitual clasificarlos en facturables y no facturables. Comunicación y Redes de Comunicación: En el estudio inicial los auditores dispondrán del número, situación y características principales de las líneas, así como de los accesos a la red pública de comunicaciones.
- 6. 4. DETERMINACIÓN DE RECURSOS DE LA AUDITORÍA INFORMÁTICA Mediante los resultados del estudio inicial realizado se procede a determinar los recursos humanos y materiales que han de emplearse en la auditoría. Recursos humanos: La cantidad de recursos depende del volumen auditable. Las características y perfiles del personal seleccionado depende de la materia auditable. Es igualmente señalable que la auditoría en general suele ser ejercida por profesionales universitarios y por otras personas de probada experiencia multidisciplinaria. Recursos materiales: Es muy importante su determinación, por cuanto la mayoría de ellos son proporcionados por el cliente. Las herramientas de software propias del equipo van a utilizarse igualmente en el sistema auditado, por lo que han de convenirse en lo posible las fechas y horas de uso entre el auditor y cliente. Los recursos materiales del auditor son de dos tipos: recursos materiales software y recursos materiales hardware. 5. ACTIVIDADES DE LA AUDITORÍA INFORMATICA La auditoría Informática general se realiza por áreas generales o por áreas específicas. Si se examina por grandes temas, resulta evidente la mayor calidad y el empleo de más tiempo total y mayores recursos. Cuando la auditoría se realiza por áreas específicas, se abarcan de una vez todas las peculiaridades que afectan a la misma, de forma que el resultado se obtiene más rápidamente y con menor calidad.
- 7. 6. INFORME FINAL La función de la auditoría se materializa exclusivamente por escrito. Por lo tanto la elaboración final es el exponente de su calidad. Resulta evidente la necesidad de redactar borradores e informes parciales previos al informe final, los que son elementos de contraste entre opinión entre auditor y auditado y que pueden descubrir fallos de apreciación en el auditor. Estructura del informe final El informe comienza con la fecha de comienzo de la auditoría y la fecha de redacción del mismo. Se incluyen los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicación de la jefatura, responsabilidad y puesto de trabajo que ostente. Definición de objetivos y alcance de la auditoría. Enumeración de temas considerados: Antes de tratarlos con profundidad, se enumerarán lo más exhaustivamente posible todos los temas objeto de la auditoría. Cuerpo expositivo: Para cada tema, se seguirá el siguiente orden a saber: -Situación actual - Tendencias -Puntos débiles y amenazas - Recomendaciones y planes de acción - Redacción posterior de la carta de introducción o presentación
- 8. 7. CARTA DE INTRODUCCIÓN O PRESENTACIÓN DEL INFORME FINAL La carta de introducción tiene especial importancia porque en ella ha de resumirse la auditoría realizada. Se destina exclusivamente al responsable máximo de la empresa, o a la persona concreta que encargo o contrato la auditoría. Así como pueden existir tantas copias del informe final como solicite el cliente, la auditoría no hará copias de la citada carta de Introducción. La carta de introducción poseerá los siguientes atributos: Tendrá como máximo 4 folios Incluirá fecha, naturaleza, objetivos y alcance Cuantificará la importancia de las áreas analizadas. Proporcionará una conclusión general, concretando las áreas de gran debilidad. Presentará las debilidades en orden de importancia y gravedad. En la carta de Introducción no se escribirán nunca recomendaciones.
- 9. Se realiza para determinar fallas que ocasionen retrasos en las operaciones de la empresa, así como vulnerabilidades y oportunidades de mejora en sus sistemas, ya que pérdidas de tiempo y dinero se ven constantemente relacionadas con problemas con los sistemas. Y porque se obtienen ciertos beneficios, que son: Mejora la imagen pública. Confianza en los usuarios sobre la seguridad y control de los servicios de las tecnologías de información. Optimiza las relaciones internas y del clima de trabajo. Disminuye los costos de la mala calidad (reprocesos, rechazos, reclamos, entre otros). Genera un balance de los riesgos en tecnologías de información. Realiza un control de la inversión en un entorno las tecnologías de información, a menudo impredecible.
- 10. La auditoría informática dentro de una institución se realiza, cuando: 1. Toma decisiones incorrectas 2. Se generan altos costos por errores cometidos. 3. Tiene un desfase de tecnología 4. Hay pérdidas de datos 5. Exista un valor del hardware, software y personal sobrevaluado o subvaluado. 6. Se evade la confidencialidad de la información. 7. Exista un posible fraude informático Si uno o varios de estos síntomas están presentes en su empresa, debe considerar, que es hora de realizar una Auditoría Informática.