Auditoria Informatica
- 2. INTRODUCCIÓN Es el proceso de recoger, agrupar y evaluar evidencias para determinar si un Sistema de Información salvaguarda el activo empresarial, mantiene la integridad de los datos, lleva a cabo eficazmente los fines de la organización y utiliza eficientemente los recursos. Auditar consiste principalmente en estudiar los mecanismos de control que están implantados en una empresa u organización, determinando si los mismos son adecuados y cumplen unos determinados objetivos o estrategias, estableciendo los cambios que se deberían realizar para la consecución de los mismos.
- 3. OBEJTIVOS Evaluar la fiabilidad Evaluar la dependencia de los Sistemas y las medidas tomadas para garantizar su disponibilidad y continuidad Revisar la seguridad de los entornos y sistemas Analizar la garantía de calidad de los Sistemas de Información Analizar los controles y procedimientos tanto organizativos como operativos. Verificar el cumplimiento de la normativa y legislación vigentes Elaborar un informe externo independiente. Utilización de estándares
- 4. CARACTERISTICAS RELEVANTES La auditoría informática sirve para mejorar ciertas características en la empresa como: Eficiencia Eficacia Rentabilidad Seguridad Generalmente se puede desarrollar en alguna o combinación de las siguientes áreas: Gobierno corporativo Administración del Ciclo de vida de los sistemas Servicios de Entrega y Soporte Protección y Seguridad Planes de continuidad y recuperación de desastres
- 5. TIPOS DE AUDITORÍA INFORMÁTICA Auditoría de la gestión informática: Referido a la contratación de bienes y servicios que brinda por informática, unciones, control interno informático, estructura, relaciones con AD y PU, documentación de los programas, etc. Auditoría de las bases de datos: Controles de acceso, de actualización, de integridad y calidad de los datos, respaldo y recuperación. Auditoría informática de sistemas: Revisión de los sistemas de información actuales, tanto a nivel hardware como software, con objeto de descubrir potenciales puntos de mejora y determinar en qué modo debería actuarse para mejorar tanto éstos como otros aspectos.
- 6. TIPOS DE AUDITORÍA INFORMÁTICA Auditoría informática de explotación: Revisión de todos los procesos encargados de producir resultados, entre ellos la captura de la información, los sistemas hardware de explotación, los recursos humanos de explotación y otros. Auditoría informática de comunicaciones: Revisión de la topología de Red y de terminación de posibles mejoras, análisis de caudales y grados de utilización.
- 7. TIPOS DE AUDITORÍA INFORMÁTICA Auditoría informática de desarrollo: Revisión del proceso completo de desarrollo de proyectos por parte de la empresa auditada. El análisis se basa en cuatro aspectos fundamentales: revisión de las metodologías utilizadas, control interno de las aplicaciones, satisfacción de los usuarios y control de procesos y ejecuciones de programas críticos. Auditoría informática de seguridad: Abarca los conceptos de seguridad física y seguridad lógica. La seguridad física se refiere a la protección del hardware y de los soportes de datos, así como a la de los edificios e instalaciones que los albergan, contemplando las situaciones de incendios, sabotajes, robos, catástrofes naturales, etc.
- 8. METODOLOGÍA DE LA AUDITORÍA INFORMÁTICA 1. Alcance y Objetivos de la Auditoría Informática 2. Estudio inicial del entorno auditable 3. Determinación de los recursos necesarios para realizar la auditoría 4. Elaboración del plan y de los Programas de Trabajo 5. Actividades propiamente dichas de la auditoría 6. Confección y redacción del Informe Final 7. Redacción de la Carta de Introducción o Carta de Presentación del Informe final
- 9. FORMATO DEL PROGRAMA DE AUDITORÍA INSTITUTO PARA LA PROTECCIÓN AL AHORRO BANCARIO PROGRAMA DE AUDITORÍA INFORMÁTICA PARA REVISIÓN DEL AMBIENTE HARDWARE Fecha: 10-07-2010 Elaborado por: Victor Manuel Bernal Garcia Revisado por: Mario Rosales Franco Documentación a No. Procedimiento Responsable Fecha examinar 1 Elaborar un listado de las máquinas y de los programas más usados, usando el listado Victor Bernal 10/07/2010 Inventario sugerido 2 Especificar y documentar las observaciones especiales de las máquinas que requieran una Victor Bernal 10/07/2010 apreciación exclusiva. Como el servidor, equipos con componentes especiales, etc. 3 Elaborar un diagrama de la estructura y conexiones de red con los correspondientes Victor Bernal 10/07/2010 equipos. 4 Realizar un análisis preliminar sobre el estado Victor Bernal 10/07/2010 general del laboratorio. Elaboro Reviso ---------------------------------------------- ---------------------------------------------- Nombre y Firma Nombre y Firma
- 10. FORMATO DEL PROGRAMA DE AUDITORÍA PROGRAMA DE AUDITORIA Empresa: Instituto para la Protección al Ahorro Bancario Fecha: 10/07/2010 No. Hoja: 1 Fase Actividad Horas Programadas Encargados Visita Preliminar 1.- Solicitud de Manuales y Documentaciones. 1 8 Horas Víctor Bernal 2.- Elaboración de los cuestionarios. 3.- Recopilación de la información. Desarrollo de la Auditoria 1.- Aplicación del cuestionario al personal. 2.- Análisis de las claves de acceso, control, 2 seguridad, confiabilidad y respaldos. 36 horas Mario Rosales 3.- Evaluación de los sistemas: relevamiento de Hardware y Software, evaluación del diseño lógico y del desarrollo del sistema. Revisión y Pre-Informe Víctor Bernal 3 1.- Revisión de los papeles de trabajo. 8 Horas y Mario 3.- Determinación del Diagnostico e Implicaciones. Rosales Informe Víctor Bernal 4 4 Horas y Mario 1.- Elaboración y presentación del Informe. Rosales
- 11. FORMATO DEL DIAGRAMA DE GANTT
- 12. FORMATO DE ACCIONES DE MEJORA CEDULA DE ACCIONES DE MEJORA No. De Revisión de Control : 01/2010 Área: Dirección General de Sistemas Fecha: 10/07/2010 Tipo de Revisión: Mejoramiento de los Rubro o Proceso a Revisar: Sistema SIAR Controles Internos Núm. Área de Oportunidad y Riesgos Área de Mejora Responsables de atención Fecha Compromiso Repetición de Captura de Es conveniente evaluar la incorporación de Director de Recursos información en diversos módulos una plataforma informática con una base del SIAR Financieros de datos vinculada, que permita ser usada En revisión de la información del SIRH por parte de la Subdirección en forma reciproca por los departamentos de Operación Financiera, se bajo la adscripción de la Subdirección de capturan datos en el Modulo de Operación Financiera, a fin de evitar la Cheques del SIRH como: Unidad captura repetitiva de datos. La alternativa Coordinación de Servicios Responsable, Folio, Oficio y Monto; de solución que se tomé deberá de Información Algunos de estos datos vuelven a considerar el evitar lan dependencia de 1 ser capturados en l Modulo de 31/12/2010 Cheques del departamento de algún proveedor de software. Tesorería. Riesgos Mayor utilización de Subdirector de Desarrollo y Horas/Hombre debido a la Aplicaciones duplicidad de actividades Administrativas destinadas al registro de Datos. Incremento en la Incidencia de errores de captura Responsable del Área Auditor Subdirector de evaluación Nombre: Nombre: Nombre: Fecha: Fecha: Fecha: Firma: Firma: Firma:
- 13. FORMATO DE OBSERVACIONES FORMATO DE OBSERVACIONES Nombre de la empresa: No. De Observación: Periodo sujeto a revisión: Nombre del Informe de auditoria: Clasificación de la Observación: Alta ( ) Media ( ) Baja ( ) Descripción de la Observación: Fundamento especifico legal y/o técnico Causas: Efectos: Recomendaciones: Correctivas Preventivas:
- 14. FORMATO DE OBSERVACIONES INFORME DE AUDITORIA Nombre de la Empresa: Area auditada: Fecha inicial de auditoria: Fecha final de auditoria: Auditor: Categorización (impacto) Secuencia Punto en observación Recomendación Responsable Riesgo Critico Mayor Menor Sin Impacto
- 15. FUNCIONES DE UN AUDITOR INFORMÁTICO Participar en las revisiones durante y después del diseño, realización, implantación, explotación y cambios importantes de aplicaciones informáticas. Revisar y juzgar los controles implantados en los sistemas informáticos para verificar su adecuación a las ordenes e instrucciones de la Dirección, requisitos legales, protección de confidencialidad y cobertura ante errores y fraudes. Revisar y juzgar el nivel de eficacia, utilidad, fiabilidad y seguridad de los equipos e información.
- 16. AUDITORIA INTERNA La auditoría interna es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados económicamente. La auditoría interna existe por expresa decisión de la Empresa, o sea, que puede optar por su disolución en cualquier momento. El objetivo fundamental de la Auditoría Interna es descubrir deficiencias o irregularidades en alguna de las partes de las empresas examinadas, y apuntar hacia sus posibles soluciones. Su finalidad es auxiliar a la dirección para lograr que la administración sea optima.
- 17. AUDITORIA EXTERNA Es el examen crítico, sistemático y detallado de un sistema de información, realizado por un auditor sin vínculos laborales con la misma, utilizando técnicas determinadas y con el objeto de emitir una opinión independiente sobre la forma como opera el sistema, el control interno del mismo y formular sugerencias para su mejoramiento. La Auditoría Externa o Independiente tiene por objeto averiguar la razonabilidad, integridad y autenticidad de los estados, expedientes y documentos y toda aquella información producida por los sistemas de la organización. La auditoría externa es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditoría Interna, debido al mayor distanciamiento entre auditores y auditados.
- 18. CONCLUSIONES El informe de auditoria tiene que estar basado en una metodología, misma que debe estar soportada por mejores practicas administrativas y tecnológicas. El informe de auditoria debe contener cuando menos los puntos observados en la presentación y el formato puede elaborarse de acuerdo a las necesidades del auditor, por lo que no existe un formato en especifico. La información y observaciones vertidos en el informe deben contener un sustento y no pueden ser en ningún caso subjetivos.