AUDITORÍA INFORMÁTICA

Consiste en verificar el funcionamiento de un sistema de información, aplicando una serie de conocimientos, técnicas y métodos con el propósito de examinar la operatividad del sistema.

¿QUÉ ES?

METODOLOGIAS DE CONTROL INTERNO ,SEGURIDAD Y AUDITORIA

INFORMATICAMetodologías cuantitativasEstán diseñadas para producir una lista de riesgos que pueden compararse entre sí con facilidad por tener asignados unos valores numéricos. Estos valores en el caso de metodologías de análisis de riesgos son datos de probabilidad de ocurrencia de un evento que se debe extraer de un registro de incidencias donde el número de incidencias tienda al infinito. Metodologías cualitativas/subjetivasSe basan en métodos estadísticos y lógica borrosa. Precisan de un profesional experimentado, pero requieren menos recursos humanos/tiempo que las metodologías cuantitativas.

Función de Control en la auditoria Informática; esta tiene función de vigilancia y evaluación mediante dictámenes, los auditores de tienen diferentes objetivos de los de cuentas, ellos evalúan eficiencia, costos y la seguridad con mayor visión, y realizan evaluaciones de tipo cualitativo. Control interno informático; Cumplen funciones de control dual en los diferentes departamentos, que puede ser normativa, marco jurídico, la funciones del control interno es la siguientes determinar los propietarios y los perfiles según la clase de información,

• FUNCIÓN DE AUDITORIA INFORMATICALa auditoría, la revisión, el diagnóstico y el control de los sistemas de información y de los sistemas informativos que soportan estos debe ser realizado por personas con experiencia en ambas disciplinas: en informática y auditoria.

• AUDITOR INFORMÁTICO GENERALEs un profesional dedicado al análisis de sistemas de información e informáticos que está especializado en algunas de las múltiples ramas de la auditoria informática, que tiene conocimientos generales y que además posea las características necesarias para actuar como consultor con su auditado, dándole ideas de cómo enfocar la construcción de los elementos de control y de gestión y actuar como consejero en la organización en la que está desarrollando su labor.

FUNCIONES DE LA AUDITORIA INFORMATICA

• Verificación del control interno• Análisis de la gestión de los sistemas de información• Análisis de la integridad, fiabilidad y certeza de la

información• Auditoria de riesgos operativos de los circuitos de

información• Análisis de la gestión de los riesgos de la información• Verificación del nivel de continuidad• Análisis del estado del arte tecnológico de la instalación

revisada• Diagnóstico sobre el grado de cobertura• El auditor informático es responsable para establecer los

objetivos de control que reduzcan o eliminen la exposición al riesgo de control interno.

MARCO JURIDICO DE LA AUDITORIA DE INFORMATICA

Informática Jurídica de GestiónInstrumento eficaz para la tramitación de procedimientos judiciales, administración de los despachos de notarios, abogados, procuradores, etc.

Informática Jurídica DocumentalUtilización de la Informática para facilitar el almacenamiento de grandes volúmenes de datos, relativos a Legislación, Jurisprudencia y Doctrina, para permitir el acceso a los mismos de forma rápida, fácil y segura

Informática Jurídica para la Toma de Decisiones (jueces ante las sentencias)

Basada en la utilización de sistemas expertos

AUDITORIA FISICA

En esta área se proporciona evidencia del nivel de la seguridad física en el ámbito en el que se va a desarrollar la actividad profesional, no limitándose a comprobar que existen los medios físicos, sino también su funcionalidad, racionalidad y seguridad.La seguridad física garantiza la integridad de los activos humanos, lógicos y materiales en un centro de procesamiento de información.

ANTES

• Ubicación del edificio

• Ubicación del centro de procesamiento dentro del edificio

• División• Elementos de

construcción• Potencia eléctrica• Sistemas contra

incendios• Control de accesos• Seguridad de los

medios• Medidas de

protección• Duplicación de

medios DURANTE

• Ejecutar un plan de contingencia adecuado, el cual realice un análisis de riesgos de sistemas críticos, establezca un periodo crítico de recuperación (del desastre), realice un análisis de aplicaciones críticas, establezca prioridades y objetivos de recuperación, designe un Centro Alternativo de Procesamiento, y asegurar la capacidad de las comunicaciones y de los servicios de back-up.

DESPUÉS

• Centro de proceso y equipamiento

• Reconstrucción de medios de software

• Gastos extra• Interrupción del

negocio• Documentos y

registros valiosos• Errores y omisiones• Cobertura de

fidelidad• Transporte de

medios• Contratos con

proveedores y de mantenimiento

Existen tres momentos para responder ante una falla en esta área, relacionados con la cronología de

la misma

AUDITORIA DE DIRECCION

Siempre en una organización se dice que esta es un reflejo de las características de su dirección, los modos y maneras de actuar de aquella están influenciados por la filosofía y personalidad del director.

Acciones de un Director• Planificar. (Este acorde al plan estratégico (conocimiento a evaluar acciones a realizar)). Lectura y análisis de actas, acuerdos, etc.Lectura y análisis de informes gerenciales.Entrevistas con el mismo director del departamento y con los directores de otras áreas.• Organizar• Controlar• Coordinar

LA AUDITORIA DE LA TÉCNICA DE SISTEMAS

Herramientas y Técnicas para la Auditoria Informática:

Cuestionarios:Las auditorias informáticas se materializan recabando información y documentación de todo tipo. Los informes finales de los auditores dependen de sus capacidades para analizar las situaciones de debilidad o fortaleza de los diferentes entornos.

Entrevistas:El auditor comienza a continuación las relaciones personales con el auditado. Lo hace de tres formas:Mediante la petición de documentación concreta sobre alguna materia de su responsabilidad.Mediante "entrevistas" en las que no se sigue un plan predeterminado ni un método estricto de sometimiento a un cuestionario.

Checklist:El auditor profesional y experto es aquél que reelabora muchas veces sus cuestionarios en función de los escenarios auditados. Tiene claro lo que necesita saber, y por qué. Sus cuestionarios son vitales para el trabajo de análisis, cruzamiento y síntesis posterior, lo cual no quiere decir que haya de someter al auditado a unas preguntas estereotipadas que no conducen a nada. Muy por el contrario, el auditor conversará y hará preguntas "normales", que en realidad servirán para la cumplimentación sistemática de sus Cuestionarios, de sus Checklists.

Trazas y/o Huellas:Con frecuencia, el auditor informático debe verificar que los programas, tanto de los Sistemas como de usuario, realizan exactamente las funciones previstas, y no otras. Para ello se apoya en productos Software muy potentes y modulares que, entre otras funciones, rastrean los caminos que siguen los datos a través del programa.

AUDITORIA DE LA CALIDAD

Una Auditoría de Calidad es, según la definición de la Norma Internacional ISO 8402 y aprobada como Norma Europea, un examen metódico e independiente, que se realiza para determinar si las actividades y los resultados relativos a la calidad cumplen las disposiciones previamente establecidas y si estas disposiciones se llevan a cabo de forma efectiva y son adecuadas para alcanzar los objetivos establecidos.

Aspectos a Tener en Cuenta…

La auditoría de la calidad se aplica normalmente, pero no se limita, a un sistema de la calidad o a sus elementos, a procesos, a productos o a servicios. Tales auditorías se denominan habitualmente "auditoría del sistema de la calidad", "auditoría de la calidad del proceso", "auditoría de la calidad del producto", "auditoría de la calidad del servicio".

Las auditorías de la calidad se llevan a cabo por personas que no tengan responsabilidad directa en áreas que se desea auditar, pero trabajando preferentemente con la cooperación del personal de esas áreas.

Uno de los objetivos de una auditoría de la calidad es evaluar si es necesario introducir acciones de mejora o correctoras. No se debe confundir una auditoría con actividades de "supervisión de la calidad" o de "inspección"; el objetivos de estas últimas es el control de un proceso con aceptación de un producto.

Las auditorías de la calidad pueden realizarse a propósitos internos o externos.

El auditor debe estar claro, que la auditoria debe estar basada en objetivos definidos.  El alcance es determinado por el auditor líder para alcanzar los

objetivos.  El alcance describe la extensión y límites de la auditoría.