Contorles de Auditoría Informática Básicos

14
Contorles de Auditoría Informática Básicos Ing. Elizabeth Guerrero V.

description

Contorles de Auditoría Informática Básicos. Ing . Elizabeth Guerrero V. Controles de Auditoría Básicos. Los controles se presentan agrupados siguiendo criterios relacionados con: Economía , eficacia y eficiencia Seguridad y Condiciones legales - PowerPoint PPT Presentation

Transcript of Contorles de Auditoría Informática Básicos

Page 1: Contorles  de Auditoría Informática Básicos

Contorles de Auditoría Informática Básicos

Ing. Elizabeth Guerrero V.

Page 2: Contorles  de Auditoría Informática Básicos

Controles de Auditoría Básicos Los controles se presentan agrupados

siguiendo criterios relacionados con: Economía, eficacia y eficiencia Seguridad y Condiciones legales

Estos controles son lo suficientemente generales para servir de base en la elaboración del guión de trabajo de la labor del equipo auditor

Page 3: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaDeterminar si el inventario ofimático refleja con

exactitud los equipos y aplicaciones existentes en la organización1. El equipo auditor comprobará que se han definido

mecanismos para garantizar que todos los equipos adquiridos en la organización son debidamente inventariados.

2. Comprará la última auditoría financiera del inventario oficial y las adquisiciones efectuadas

3. Revisará todas las dependencias, almacenes y archivos, elaborará una relación exhaustiva de los equipos informáticos y de las aplicaciones y archivos que residen en los mismos.

4. Identificará las diferencias reales entre la relación elaborada por el equipo auditor y el inventario oficial para proceder a la subsanación de los errores detectados

Page 4: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaDeterminar y evaluar el procedimiento de

adquisiciones de equipos y aplicaciones Partiendo del inventario debidamente

actualizado el auditor: Analizará los procedimientos para adquisición de

los productos seguidos en los diversos departamentos de la organización

Determinará la existencia de equipos y aplicaciones similares

Si los diversos departamentos de la compañia realizan pedidos de manera independiente, el auditor estudiará si se está desaprovechando la posibilidad de descuentos si se aplicara una política centralizada de compras

Page 5: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaDeterminar y evaluar la política de matenimiento definida

en la organización Examinará la utilización de las garantías de los productos

adquiridos, comprobando que no ser realizan pagos innecesarios sobre equipos y aplicaciones que se encuentran en garantía.

Determinará cuales productos disponen de contratos de mantenimiento vigentes con empresas externas (Verificará tiempo máximo de respuesta, recambios y mano de obra, mantenimiento preventivo, etc) y cuales recaen sobre la propia organización.

Comprobará la existencia de un registro de incidencias producides, los procedimientos establecidos para asignar recursos para solucionearlas, los guiones preparados para solventar las incidencias más frecuentes y el seguimiento de las mismas hasta su solución y el tiempo empleado en atender las solicitudes y resolver las incidencias.

Page 6: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaEvaluar la calidad de las aplicaciones del entorno

desarrolladas por personal de la propia organización Determinará la existencia de un departamento responsible

de controlar el desarrollo de aplicaciones de toda la organización.

Determinará que se han definido procedimientos generales de petición, autorización, asignación de prioridades, programación y entrega de aplicaciones.

Comprobará que las aplicaciones desarrolladas (propias o externas) internamente puedan configurarse para obtener las suficientes pistas de auditoria que permitan efectuar un seguimiento

Examinará reclamos manifestados por clientes y usuarios para detectar que aplicaciones podrían estar funcionando de un modo anómalo.

Page 7: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaEvaluar la corrección del procedimiento existente para

la realización de los cambios de versiones y aplicaciones

Determinará la existencia de procedimientos formalmente establecidos para la autorización, aprobación, adquisición de nuevas aplicaciones y cambios de versiones.

Determinará: si se analizan los problemas de integración y las

incompatibilidades de los nuevos productos previamente a su implantación;

si se ha establecido algún plan de formación de los usuarios finales que vayan a utilizar estos nuevos produectos;

si los encargados de mantenimiento han adquirido los conocimientos suficientes para que los cambios que van a prodicirse no impacten negativamente el funcionamiento de la organización

Page 8: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaDeterminar si los usuarios cuentan con

suficiente formación y la documentación de apoyo necesaria para desarrollar sus tareas de un modo eficaz y eficiente

Determinará la existencia de un plan de formación del personal en los productos que tiene que utilizar

Comprobará que el personal aplica algún mecanismo adquirido en el plan de formación y el fácil acceso a la documentación básica operativa del producto

Page 9: Contorles  de Auditoría Informática Básicos

Economía, eficacia y eficienciaDeterminar si el sistema existente se ajusta a

las necesidades reales de la organización El equipo auditor valorará el uso de los equipos

existentes, revisará las actividades que se ejecutan en cada equipo, para determinar la necesidad de actualizar los equipos o por el contrario esten sobredimensionados

Elaborará una relación de los equipos que no se encuentran operativos

Finalmente, elaborará una relación con recomendaciones sobre descatalogación de productos obsoletos, redistribuciones y adquisición de nuevos equipos y aplicaciones.

Economía, eficacia y eficiencia

Page 10: Contorles  de Auditoría Informática Básicos

SeguridadDeterminar si existen garantias suficientes para

proteger los accesos no autorizados a la información reservada de la empresa y la integridad de la misma

El equipo auditor examinará la documentación existente en materia de seguridad en la organización y comprobará que han sido definidos procedimientos de: clasificación de la información, control de acceso identificación y autentificación gestión de soportes gestión de incidencias controles de auditoria

Luego pasará a comprobar si las medidas de seguridad definidas se encuentran realmente opertativas

Page 11: Contorles  de Auditoría Informática Básicos

SeguridadDeterminar si el procedimiento de

generación de las copias de respaldo es fiable y garantiza la recuperación de la información en caso de necesidad

El equipo auditor examinará el procedimiento de copias de seguridad seguido en la organización verificando: La suficiencia de la periodicidad La correcta asignación de responsabilidades El adecuado almacenamiento de los soportes La correcta recuperación de la infomación

respaldada

Page 12: Contorles  de Auditoría Informática Básicos

SeguridadDeterminar si esta garantizado el

funcionamiento ininterrumpido de aquellas aplicaciones cuya caída podría suponer pérdidas de integridad de la información y aplicaciones

El equipo auditor determinará la existencia de sistemas de alimentación ininterrumpida, y si éstos cubren el funcionamiento de aquellos equipos en los que se ejecutan procesos cuya interrupción podría ocacionar graves repercusiones

Page 13: Contorles  de Auditoría Informática Básicos

SeguridadDeterminar el grado de exposición ante la

posibilidad de intrusión de virus El equipo auditor analizará la protección

establecida en cada uno de los puntos del sistema vulnerables: puertos usb, módem, acceso a redes, lectora de CDs o DVDs, …

Revisará la normativa para la instalación y actualización periodica de software antivirus, asi como, la configuración de los equipos para la detección de virus y eliminación de los mismos

En caso de detectar algún virus debe informar al responsible autorizado

Page 14: Contorles  de Auditoría Informática Básicos

Normativa vigente Determinar si en el entorno ofimático se

producen situaciones que puedan suponer infracciones de Protección de datos de carcter personal

Determinar si en el entorno ofimático se producen situaciones que puedan suponer infracciones sobre la propiedad intelectual