El documento describe las cuatro fases de una auditoría de sistemas: estudio preliminar, revisión y evaluación de controles y seguridad, examen detallado de áreas críticas, y comunicación de resultados. También explica los pasos para la investigación preliminar, incluyendo la recopilación de información sobre la administración, sistemas e información del área a auditar, así como el perfil requerido para los auditores.
2. METODOLOGIA DE UNA
AUDITORIA DE SISTEMAS
• Existen cuatro fases básicas para realizar una auditoria.
• Estudio preliminar
• Revisión y evaluación de controles y la seguridad.
• Examen detallado de áreas criticas.
• Comunicación de los resultados
3. METODOLOGIA
• Estudio preliminar
• Define grupo de trabajo y el programa de auditoria.
• Realizar visitas a la unidad de informática para conocer la
gestión.
• Se evalúa el control interno a través de entrevistas y
cuestionarios al personal para obtener información.
• Ser evalúan plan de actividades, manuales, políticas y
reglamentos.
4. METODOLOGIAS
• Revisión y evaluación de controles y la seguridad
• Revisión de diagramas de flujos de procesos
• Realización de pruebas de cumplimiento de las seguridades
• Revisión de aplicaciones de áreas criticas
• Revisión de procesos históricos (backups y logs)
• Revisión de documentación y archivos
5. METODOLOGIAS
• Examen detallado de áreas criticas
• En base a las fases anteriores y los puntos de control básicos
se definen los puntos vulnerables a los que hay que hacer un
análisis profundo.
• Establece definitivamente el grupo de trabajo y la distribución
del mismo.
• Establece objetivos y recursos que usara así como
metodología y duración.
• En base a lo anterior se elabora el plan de trabajo.
6. METODOLOGIAS
• Comunicar los resultados
• Se elabora un borrador del informe, el cual antes debe ser
discutido y analizado con los ejecutivos de la empresa.
• Después del análisis se llega a un informe definitivo, el cual se
puede presentar en forma de matriz, cuadros o redacción
lineal (viñetas).
• Se destacan los problemas encontrados, los efectos y las
recomendaciones.
7. Definiendo
Sistemas de Información-> Informática
• Auditoria en Informática
• La auditoria en informática es la revisión y la evaluación de los
controles, sistemas, procedimientos de informática; de los
equipos de cómputo, su utilización, eficiencia y seguridad.
• De la organización que participa en el procesamiento de la
información, a fin de que por medio del señalamiento de
medios alternativos se logre una utilización más eficiente y
segura de la información que servirá para una adecuada toma
de decisiones.
8. Investigación Preliminar
• Se deberá observar el estado general del área, su situación dentro
de la organización, si existe la información solicitada, si es o no
necesaria y la fecha de su última actualización.
9. Investigación Preliminar
Administración
• Se recopila la información para obtener una visión general por
medio de observaciones, entrevistas preliminares y solicitud
de documentos para definir el objetivo y alcances del
departamento.
• Para analizar y dimensionar la estructura por auditar se debe
solicitar:
• A NIVEL DEL ÁREA DE INFORMÁTICA:
• Objetivos a corto y largo plazo.
• RECURSOS MATERIALES Y TECNICOS:
• Solicitar documentos sobre los equipos, número de ellos,
localización y características.
10. Investigación Preliminar
Administración
• Documentos técnicos y registros:
• Estudios de viabilidad.
• Número de equipos, localización y las características (de los
equipos instalados y por instalar y programados)
• Fechas de instalación de los equipos y planes de instalación.
• Contratos vigentes de compra, renta y servicio de
mantenimiento.
• Contratos de seguros.
• Convenios que se tienen con otras instalaciones.
• Configuración de los equipos y capacidades actuales y máximas.
• Planes de expansión.
• Ubicación general de los equipos.
• Políticas de operación.
• Políticas de uso de los equipos.
11. Investigación Preliminar
Sistemas
• Descripción general de los sistemas instalados y de los que
estén por instalarse que contengan volúmenes de
información.
• Manual de formas.
• Manual de procedimientos de los sistemas.
• Descripción genérica.
• Diagramas de entrada, archivos, salida.
• Salidas.
• Fecha de instalación de los sistemas.
• Proyecto de instalación de nuevos sistemas.
12. Investigación Preliminar
Información
• Se solicita información:
• No se tiene y se necesita
• No se tiene y no se necesita
• Se tiene la información:
• Se usa
• Es incompleta
• No esta actualizada
• No es adecuada
• Se usa, esta actualizada, esta completa y es la adecuada
13. Investigación Preliminar
Información
• Casos de análisis
• Caso #1:No se tiene y no se necesita, se debe evaluar la causa
por la que no es necesaria.
• Caso #2: No se tiene pero es necesaria, se debe recomendar
que se elabore de acuerdo con las necesidades y con el uso
que se le va a dar.
• Caso #3: De que se tenga la información pero no se utilice, se
debe analizar por que no se usa.
• Caso #4: De que se tenga la información, se debe analizar si se
usa, si esta actualizada, si es la adecuada y si esta completa.
14. Investigación Preliminar
Pensamiento Critico
• Estudiar hechos y no opiniones (no se toman en cuenta los
rumores ni la información sin fundamento)
• Investigar las causas, no los efectos.
• Atender razones, no excusas.
• No confiar en la memoria, preguntar constantemente.
• Criticar objetivamente y a fondo todos los informes y los datos
recabados.
16. Investigación Preliminar
Perfil Auditor
• Ejemplo:
• Puesto: Auditor Junior
• Estudios: 7mo. Semestre de Licenciatura en Informática o
carrera afín (Graduado preferible)
• Experiencia: un año como técnico de soporte del área de
informática o un año como programador en cualquier
lenguaje (comprobable)
• Competencias: análisis de sistemas, office avanzado, redes y
administración de proyectos, manejo de Windows y Linux.
• Buena Presentación
• Sueldo: Q 6500.00 + prestaciones de ley
17. Sumario
• Cuatro fases básicas de una auditoria informática
• Definiendo auditoria de sistemas
• Investigación preliminar
• Administración
• Sistemas
• Información
• Pensamiento critico
• Perfil de los participantes